This post is also available in: English
La Ley General de Protección de Datos brasileña (“LGPD”, y en portugués, Lei Geral de Proteção de Dados) entró en vigor el pasado viernes 18 de septiembre, tras más de dos años de vacatio legis después de su aprobación en agosto de 2018.
Según la redacción original, la LGPD debería haber entrado en vigor en febrero de este año, pero tras varias iniciativas legislativas promovidas por el Gobierno de Jair Bolsonaro, que pretendía que la normativa entrara en vigor en enero de 2021, finalmente el Senado del país ha obligado a adelantar la fecha de entrada en vigor, fijando en agosto de 2021 el inicio de las sanciones por incumplimiento de la nueva normativa.
La LGPD, o Ley 13.709, está fuertemente inspirada en el Reglamento General de Protección de Datos de la Unión Europea (“RGPD”, o Reglamento UE 679/2016) según el propio portal del Senado brasileño, y tiene como finalidad regular el uso, la protección y la transferencia de datos personales en Brasil. La ley pretende garantizar un mayor control de los ciudadanos sobre sus datos personales, exigiendo consentimiento explícito para su recolección y tratamiento, y obliga a ofrecer al usuario las opciones de visualizar, corregir y excluir dichos datos.
Diferencias entre la LGPD y el RGPD
Considerando la similitud entre la regulación europea y la nueva normativa brasileña, los sujetos obligados que operen bajo el RGPD no deberían tener grandes dificultades en adaptar sus programas de cumplimiento si pretenden realizar tratamiento de datos en el país sudamericano. No obstante, deberán tener en cuenta algunas de las principales diferencias entre ambos marcos jurídicos, que se recogen a continuación sin ánimo de exhaustividad:
El reto pendiente: la implementación de la Autoridad Nacional de Protección de Datos
Un mes después de la aprobación de la LGPD en agosto de 2018, el anterior Presidente de Brasil, Michel Temer, vetó la posible creación de una Autoridad Nacional de Protección de Datos, que venía contemplada en el proyecto de ley aprobado, ya que la creación de un órgano indirecto de la Administración es una prerrogativa del Poder Ejecutivo bajo la legislación brasileña. Sin embargo, tal y como explicamos en esta entrada del blog, el ejecutivo de Temer finalmente aprobó en diciembre de ese mismo año la Medida Provisional 869/2018 (en portugués, Medida Provisória 868/2018) que instituía la creación de la Autoridad Nacional de Protección de Datos como un órgano dependiente de la Presidencia de la República.
Pese a que la configuración de la ANPD aseguraba la autonomía técnica de la entidad, su dependencia de la Presidencia de la República generó controversia por los posibles riesgos de injerencias, derivados de la subordinación jerárquica y de la falta de independencia.
En julio de 2019, bajo el nuevo ejecutivo de Jair Bolsonaro, el legislativo brasileño aprobó la Ley 13.853, que modificaba en algunos aspectos la creación de la ANPD, definiendo la estructura y composición de sus órganos, pero manteniendo la dependencia orgánica de la entidad respecto de la Presidencia de la República.
El diseño institucional, las competencias efectivamente asumidas y el desempeño autónomo de la ANPD serán vitales para una posible transferencia libre de datos personales con la Unión Europea. La Comisión Europea, bajo el RGPD, tiene la facultad de determinar mediante una decisión de acuación si un país no perteneciente a la UE ofrece un nivel apropiado de protección de datos para así permitir el libre intercambio de datos sobre la base de garantías sólidas de protección. Una decisión de adecuación con Brasil supondría una ventaja competitiva para los operadores brasileños con intereses comerciales en la Unión Europea, en comparación con otros países de la región que aún no disponen de una regulación completa y garantista en materia de protección de datos.
Pese a la entrada en vigor de la LGPD el pasado viernes, aún no se ha producido ningún nombramiento de cargos para la ANPD, y tampoco ha sido aprobado un presupuesto para el organismo, que deberá ser incluido en los próximos Presupuestos Generales (en portugués, Orçamento Geral da União). Todo ello, unido a la falta de independencia orgánica y jerárquica, podrá suponer un obstáculo para una posible decisión de adecuación por parte de la Unión Europea, que deberá esperar prudentemente a la implementación efectiva en agosto de 2021 de las sanciones de la LGPD y al despliegue progresivo de la ANPD en sus funciones de supervisión y complementación normativa.
This post is also available in: English