LGPD – Ley General de Protección de Datos de Brasil

La LGPD (Lei Geral de Proteção de Dados Pessoais) es la ley de protección de datos de Brasil. Ha sido influenciada por el RGPD de la UE y crea requisitos de protección de datos a las organizaciones que los procesen. También reconoce a los residentes en Brasil ciertos derechos sobre sus datos personales.

    ¡Que cumplir no sea un problema!

    Descubre si tu sitio cumple y qué hacer si no.


    LGPD compliance with Cookiebot CMP

    Introducción a la LGPD de Brasil

    La LGPD de Brasil entró en vigor en agosto de 2020 con un periodo de gracia de 12 meses. Su aplicación comenzó en agosto de 2021 y está dirigida por la Autoridad Nacional de Protección de Datos (ANPD).

    Las organizaciones que recopilan y tratan datos personales de individuos en Brasil deben familiarizarse con la LGPD y conseguir el cumplimiento.

    Cookiebot CMP by Usercentrics se encuentra en funcionamiento desde 2012 y ofrece un cumplimiento total de las principales leyes de protección de datos, como la LGPD brasileña, el RGPD/ePR europeo y la CCPA/CPRA de California.

    Prueba Cookiebot CMP gratis para cumplir la LGPD hoy mismo

    ¿Usa mi sitio web cookies?

    Escanea tu sitio web de forma gratuita con Cookiebot CMP

    El Senado brasileño aprobó la PEC 17/19 (propuesta de enmienda constitucional) el 31 de agosto de 2021. 

    Altera la Constitución Federal para incluir la protección de datos personales entre los derechos y garantías fundamentales, al mismo tiempo que habilita a la Unión para legislar sobre la protección y el tratamiento de datos personales. 

    Uno de los objetivos de la PEC es garantizar que no haya riesgo de que los estados y municipios legislen o interfieran en la aplicación de la LGPD. 

    Con la aprobación de la PEC 17/19, se consolidan las normas, leyes y reglamentos de protección de datos personales, incluida la LGPD, y se incluyen en el Código de Protección del Consumidor (Código de Proteção do Consumidor), lo que proporcionará más garantías frente a las infracciones y fraudes.

    LGPD: la ley de protección de datos de Brasil

    Brasil tiene unos 140 millones de usuarios en internet, el mayor mercado digital de América Latina y el cuarto mayor del mundo. Brasil ya tenía más de 40 regulaciones federales que cubrían la protección de datos y la privacidad de diversas maneras, complicando el marco legal.

    Muchas de estas normas se relacionan por separado con la banca, el sector inmobiliario, la protección al consumidor, etc. y no eran integrales.

    LaLei Geral de Proteção de Dados Pessoais pretende reemplazar este panorama jurídico por un marco regulatorio general.

    Cualquier recopilación o tratamiento de datos en Brasil están protegidos por la LGPD, incluso de los procesadores de datos ubicados fuera del país.

    Otorga a las personas un conjunto simplificado de derechos, inspirado en el Reglamento General de Protección de Datos (RGPD) de la UE.

    Las empresas que ya cumplan con el RGPD, habrán hecho una buena parte del trabajo para cumplir también con la LGPD.

    Existen, con todo, algunas diferencias significativas entre la LGPD y el RGPD.

    ¿Qué es la LGPD de Brasil?

    La Lei Geral de Proteção de Dados (LGPD), crea un marco legal sobre cómo se deben administrar los datos personales en Brasil. Consta de 65 artículos.

    Perspectiva general de la LGPD

    En su artículo 18 la LGPD (Lei Geral de Proteção de Dados) de Brasil crea nueve derechos para los interesados:

    1. Confirmación de la existencia del procesamiento de sus datos
    2. Acceso a sus datos
    3. Corregir información incompleta, inexacta o desactualizada
    4. Anonimizar, bloquear o eliminar datos innecesarios o excesivos que no se estén procesando conforme a la LGPD
    5. Hacer que sus datos sean portables, es decir, que se puedan facilitar a otro servicio o procesador si se solicita
    6. Que se eliminen sus datos
    7. Información sobre entidades públicas o privadas con las que el controlador haya compartido datos
    8. Información sobre la posibilidad de denegar el consentimiento y las consecuencias
    9. Revocar el consentimiento

    Estos derechos tomaron como modelo principalmente los que el RGPD otorga a los ciudadanos europeos y tienen implicaciones directas para los propietarios y operadores de los sitios web por todo el mundo, que recopilan y/o tratan datos de individuos en Brasil.

    La LGPD y los datos personales

    La LGPD define sus términos y conceptos clave en su Artículo 5. Estos incluyen qué son los datos personales, los datos personales sensibles, el interesado y el procesador, entre otros.

    Datos personales en la LGPD

    Los datos personales se definen de manera muy amplia en la LGPD: “la información relacionada con una persona natural identificada o identificable” (Artículo 5, I – traducido por Cookiebot CMP).

    Esto puede ser cualquier cosa, desde nombres, números de identificación, información de ubicación o identificadores online, hasta datos físicos, psicológicos, genéticos, mentales, económicos, culturales o sociales, aunque la LGPD no enumera ninguno de estos ejemplos explícitamente.

    La LGPD y los datos personales sensibles

    Los datos personales sensibles se definen como una subcategoría dentro de los datos personales. Requieren de un tratamiento especialmente cuidadoso y restringido y se aplican cuando los datos procesados tienen relación con “datos personales sobre el origen racial o étnico, creencia religiosa, opinión política, afiliación a un sindicato u organización de carácter religioso, filosófico o político, datos relativos a la salud o a la vida sexual y datos genéticos o biométricos” (Artículo 5, II – traducido por Cookiebot CMP).

    La LGPD especifica en el Artículo 11 las pocas situaciones en las que el procesamiento de datos personales sensibles se puede llevar a cabo.

    Try Cookiebot CMP for free for compliance with Brazil's LGPD.
    La definición de información personal en la LGPD y en el RGPD es similar, aunque con ligeras diferencias.

    Incluyen el “consentimiento específico y prominente”, “por la administración pública para la ejecución de políticas públicas” y “estudios llevados a cabo por una entidad investigadora”, lo último bajo la garantía de que los datos sean anonimizados siempre que sea posible.

    La LGPD y datos anonimizados

    Esta subcategoría se refiere a los “datos relacionados con un interesado que no se puede identificar” mediante medios técnicos en el momento del tratamiento. Si los datos anonimizados son reidentificables de alguna forma, es decir, se podrían emplear para identificar o para realizar perfiles conductuales, no se consideran datos anonimizados, y se clasifican como datos personales.

    Más definiciones importantes para la LGPD (Artículo 5)

    1. El procesamiento se define en la LGPD como “cualquier operación llevada a cabo con datos personales”.
    2. El consentimiento se define en la LGPD como “la manifestación libre, informada e inequívoca por la cual el interesado acepta el procesamiento de sus datos personales para un propósito determinado”.
    3. Una base de datos se define en la LGPD como “un conjunto estructurado de datos personales, establecido en una o varias ubicaciones, en soporte electrónico o físico”.
    4. Un responsable se define en la LGPD como una “persona natural o jurídica, de derecho público o privado, a la que le corresponden las decisiones relativas al tratamiento de datos personales”.
    5. Un encargado se define en la LGPD como una “persona natural o jurídica, de derecho público o privado, que realiza el tratamiento de los datos personales en nombre del controlador”.
    6. Un delegado se define en la LGPD como “una persona natural, designada por el controlador, que actúa como canal de comunicación entre el controlador y los interesados y la autoridad nacional” (la ANPD).

    Cumplimiento de la LGPD en Brasil

    La LGPD brasileña otorga a los interesados 9derechos, define lo que constituye la información personal y crea 10 bases jurídicas para el tratamiento lícito.

    También responsabiliza a las compañías y organizaciones de nombrar un Oficial de Protección de Datos (OPD) y confiere a la Autoridade Nacional de Proteção de Dados (ANPD) poderes de supervisión, orientación y ejecución de sus sanciones administrativas.

    La LGPD de Brasil define al interesado o sujeto de datos como “la persona física a la que se refieren los datos personales que son objeto de tratamiento”. En otras palabras, el individuo cuyos datos personales están siendo recopilados y/o procesados.

    La LGPD de Brasil tiene una “aplicación transversal” y “multisectorial”, lo que significa que se aplica tanto al sector público como al privado, así como en línea y fuera de línea.

    La LGPD de Brasil también tiene una “aplicación extraterritorial”, lo que significa que las empresas u organizaciones que procesan datos personales de individuos en Brasil están obligadas a cumplir con la LGPD, independientemente de a qué parte del mundo pertenezcan o desde dónde se operen.

    El Artículo 3 especifica que la LGPD se aplica al:

    1. tratamiento de datos en el territorio de Brasil;
    2. tratamiento de datos de individuos que se encuentran dentro del territorio de Brasil, independientemente de en qué parte del mundo se encuentre el procesador de datos; y
    3. tratamiento de datos recopilados en Brasil.
    LGPD compliance in Brazil with Cookiebot CMP.
    La LGPD de Brasil no solamente protege a los brasileños, sino a todos los individuos cuyos datos hayan sido recopilados o procesados mientras estaban en Brasil, independientemente de su nacionalidad.

    Cumplimiento de la LGPD y adecuación con la UE

    Como la LGPD de Brasil se ha basado en el RGPD, ha sido fácil llegar a un acuerdo de adecuación con la UE, asegurando el libre flujo de datos entre ambos territorios. Esto significa que la UE considera que Brasil tiene una política de protección de datos y privacidad lo suficientemente robusta como para cumplir con sus estándares.

    La LGPD de Brasil y Cookiebot CMP

    Cookiebot CMP provee gestión de consentimientos. Permite a las páginas web lograr y mantener el cumplimiento de la ley en cuanto al uso de cookies y otras tecnologías de seguimiento.

    El escáner de Cookiebot CMP encuentra todas las cookies y tecnologías de seguimiento del estilo, y las bloquea automáticamente hasta que los usuarios den su consentimiento específico e inequívoco a qué tipos de cookies permiten activar en su navegador.

    Logo banner powered by Cookiebot by Usercentrics
    Banner de consentimiento de Cookiebot CMP para el cumplimiento de la LGPD.

    Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes un sitio web pequeño

    Escanea tu sitio web de forma gratuita para saber qué cookies se encuentran en uso 

    La LGPD y el consentimiento y bases jurídicas para el tratamiento

    De las diez bases jurídicas para el tratamiento lícito que la LGPD establece, el consentimiento es la primera.

    Esto es muy importante para Cookiebot CMP, ya que tiene implicaciones directas sobre cómo se le permite a tu sitio web establecer cookies, procesar los datos de los usuarios y compartirlos con terceros.

    El Artículo 8 de la LGPD deja claro que el consentimiento no se puede obtener a través de una “autorización genérica”, sino que debe servir a propósitos concretos o ser explícito y granular como bajo el RGPD.

    Esto significa que los sitios web, empresas y organizaciones deben primero obtener el consentimiento específico e inequívoco de los interesados antes de que se lleve a cabo cualquier tipo de tratamiento de sus datos personales.

    El consentimiento debe poderse revocar en cualquier momento y también debe ser prestado por el interesado “de forma escrita o por otros medios”, por ejemplo, por medio de un banner de consentimiento en un sitio web.

    A la hora de procesar datos personales, los sitios web, empresas u organizaciones deben presentar una base jurídica específica, es decir, una justificación de por qué necesitan recopilar y tratar datos personales.

    Las bases jurídicas de la LGPD para el tratamiento de datos

    Las diez bases jurídicas de la LGPD (Artículo 7) bajo las que está permitido realizar el tratamiento lícito de datos personales son:

    1. El consentimiento del interesado.
    2. Para el cumplimiento con la obligación legal o reglamentaria del controlador.
    3. Para la ejecución de políticas públicas previstas en leyes o reglamentos, o basadas en contratos, acuerdos o instrumentos similares.
    4. Para la realización de estudios llevados a cabo por entidades investigadoras que garanticen, siempre que sea posible, la anonimización de datos personales.
    5. Para la ejecución de un contrato o de los procedimientos preliminares relacionados con la ejecución de un contrato del que el interesado sea parte.
    6. Para el ejercicio de derechos en procedimientos judiciales, administrativos o arbitrales.
    7. Para la protección de la vida o de la seguridad física del interesado o de un tercero.
    8. Para la protección de la salud, en un procedimiento llevado a cabo por profesionales de la salud o por entidades sanitarias.
    9. Para atender a los intereses legítimos del controlador o de un tercero, excepto cuando los derechos y libertades fundamentales del interesado requieran que la protección de sus datos personales prevalezca.
    10. Para la protección del crédito.

    Todo procesamiento de datos personales o sensibles debe ser documentado desde su recopilación inicial hasta su término. También es obligatoria una descripción de qué tipo de datos se están recopilando, el propósito de esa recopilación y tratamiento, el tiempo de retención, y con quién se pueden compartir esos datos.

    Los controladores y procesadores pueden ser responsables conjuntamente o por separado de violaciones de datos y casos de incumplimiento de la ley.

    La LGPD y las autoridades de protección de datos

    La ley de protección de datos de Brasil establece tanto una autoridad nacional de protección de datos (la ANPD), como la obligación de las empresas y organizaciones a nombrar a un delegado de protección de datos.

    Autoridad Nacional de Protección de Datos (ANPD) – la autoridad de protección de datos de Brasil

    La ANPD, la autoridad nacional de protección de datos de Brasil, se estableció mediante decreto presidencial el 26 de agosto de 2020. Su junta directiva se nombró el lunes 9 de noviembre de 2020, constituyendo y habilitando así oficialmente la autoridad nacional de protección de datos.

    Try Cookiebot CMP for LGPD compliance.
    La ANPD vela por el cumplimiento de la LGPD.

    Los principales objetivos de la ANPD son establecer estándares técnicos, supervisar y auditar, educar sobre la ley y sus aplicaciones correctas, atender a las notificaciones de violaciones de datos y hacer cumplir sus sanciones.

    La autoridad nacional de protección de datos está íntimamente relacionada con la oficina de la presidencia.

    La ANPD consta de dos órganos: la Junta Directiva, compuesta por cinco miembros con experiencia en los ámbitos de la privacidad y la protección de datos, y el Consejo Nacional, un comité asesor de 23 miembros con representación del gobierno, la sociedad civil, las instituciones investigadoras y el sector privado.

    La LGPD y el Delegado de Protección de Datos (DPD)

    De acuerdo con la versión final de la LGPD, las empresas serán responsables de nombrar un Delegado de Protección de Datos. Su tarea será garantizar el cumplimiento de la LGPD por parte del responsable, quien lo designa.

    Sanciones y penalizaciones de la LGPD

    La LGPD resulta clara en lo que se refiere a las consecuencias del incumplimiento de la ley.

    Las penalizaciones varían entre:

    • Advertencias emitidas en caso de violaciones o casos de incumplimiento, con la intención de que la entidad adopte medidas correctivas
    • Multas diarias
    • Multas de hasta un 2% de la facturación anual en Brasil o 50 millones R$ por violación de datos (aproximadamente 11 millones de euros)
    Become compliant with Brazil's LGPD with Cookiebot CMP.
    Las multas más altas llegan a los 50 millones de reales brasileños o al 2% de la facturación anual por violar la LGPD.

    LGPD vs RGPD

    La LGPD se fundamentó en el Reglamento General de Protección de Datos europeo.

    LGPD vs RGPD – derechos del interesado

    El RGPD otorga a los interesados ocho derechos fundamentales, mientras que la LGPD otorga nueve derechos.

    Esto es en parte debido a que la LGPD ha dividido el más general “derecho a ser informado” en el “derecho a ser informado de las partes con las que el controlador ha compartido los datos” y el “derecho a ser informado sobre la posibilidad de denegar el consentimiento”.

    LGPD vs RGPD – bases jurídicas para el tratamiento de datos

    La LGPD difiere del RGPD solo ligeramente en lo que se refiere al marco que constituye cuáles son las bases jurídicas por las que se permite el tratamiento de datos.

    Donde el RGPD tiene seis bases jurídicas para el tratamiento de datos, la LGPD tiene diez, como se ha enumerado antes.

    La LGPD divide la expresión más general del RGPD en disposiciones más específicas.

    La base jurídica del RGPD de “para salvar la vida de alguien” se ha dividido en primer lugar en “para la protección de la vida y la seguridad física” y en segundo lugar en “para la protección de la salud, en un procedimiento llevado a cabo por profesionales de la salud o entidades sanitarias” en la LGPD.

    Otras divisiones incluyen la “necesidad de realizar una tarea por el interés público” del RGPD que pasa a ser en la LGPD “para la ejecución de políticas públicas” y “para la realización de estudios llevados a cabo por entidades investigadoras”. Además, la LGPD incluye una base jurídica que el RGPD directamente no contempla, la base de la protección del crédito.

    LGPD vs RGPD – datos personales

    Los datos personales tienen una definición más amplia en la LGPD que en el RGPD.

    De acuerdo con la LGPD, los datos personales son cualquier cosa relacionada con una persona natural identificable. En el RGPD, esto se especifica en más detalle con ejemplos como nombres, direcciones o género.

    GDPR and LGPD compliance with Cookiebot CMP.
    El europeo RGPD es más detallado que la LGPD brasileña en lo que respecta a su aplicación.

    Los datos sensibles son, como en el RGPD, una categoría separada de los datos personales, que incluyen información sobre la raza, etnia, creencias religiosas, opinión política, salud, sexualidad, genética y biométrica. Las restricciones para procesar datos sensibles en la LGPD son más estrictas que en el RGPD.

    La LGPD no aporta definiciones o disposiciones sobre los datos seudonimizados, como sí lo hace el RGPD, excepto en el contexto de la investigación llevada a cabo por organizaciones sanitarias públicas. Mientras que el RGPD es muy específico en sus requerimientos para procesar datos personales con fines publicitarios, la LGPD no lo menciona en absoluto.

    LGPD vs RGPD – OPD, EIPD y violaciones de datos

    En el RGPD, se instituye la Evaluación de Impacto en la Protección de Datos (EIPD) para evaluar los riesgos potenciales del tratamiento de datos de una organización. También requiere que los procesadores notifiquen a sus respectivas autoridades de protección de datos si se evalúan altos riesgos asociados con el tratamiento de datos.

    La LGPD también incluye requisitos de EIPD, pero no especifica cómo se deben emplear, ni establece requerimiento alguno de notificación a ninguna autoridad supervisora.

    La LGPD obliga a las empresas a tener un oficial de protección de datos (OPD), mientras que esto solo es necesario bajo ciertas circunstancias en el RGPD.

    Las limitaciones temporales para notificar violaciones de datos se definen contundentemente en el RGPD, siendo de 72 horas, mientras que la LGPD obliga de forma más laxa a notificar las violaciones de datos a las autoridades en un “periodo de tiempo razonable”.

    LGPD vs RGPD – sanciones

    En comparación con el RGPD, la LGPD es mucho menos severa en sus habilidades para multar y penalizar las violaciones y el incumplimiento de la ley.

    Las multas más altas por incumplimiento del RGPD son de 20 millones de euros o de un 4% de la facturación anual de la empresa en caso de violaciones severas o repetidas. La LGPD pone el tope en multas de 50 millones de reales brasileños (unos 11 millones de euros) o en un 2% de la facturación anual de la empresa por cada violación.

    LGPD vs RGPD – aplicación territorial

    La LGPD trata la transferencia de datos personales internacionalmente, más o menos del mismo modo que el RGPD, evaluando si el otro país tiene y aplica un nivel adecuado de leyes en materia de protección de datos.

    Sin embargo, la LGPD (a diferencia del RGPD) no se hace responsable de los datos que se transmiten a través de Brasil sin un tratamiento adicional.

    Resumen

    Con la nueva ley de protección de datos de Brasil, la Lei Geral de Proteção de Dados Pessoais (LGPD), el país tiene un marco integral para la protección de datos que incluye todo tratamiento y recopilación de datos dentro del territorio nacional, protege los datos personales de la ciudadanía brasileña y permite transferencias de datos y relaciones comerciales internacionales con países de todo el mundo.

    Prueba Cookiebot CMP gratis para cumplir con la LGPD hoy

    Preguntas frecuentes

    ¿Qué es la LGPD?

    La LGPD (Lei Geral de Proteção de Dados) es la ley federal de protección de datos de Brasil que regula todo tipo de tratamiento de datos personales en el país. Se aprobó en agosto de 2018 y entró en vigor en agosto de 2020. La LGPD concede a los individuos dentro de Brasil nueve derechos exigibles sobre sus propios datos personales.

    Prueba Cookiebot CMP gratis durante 14 días para cumplir con la LGPD

    ¿Qué se consideran datos personales según la LGPD?

    La LGPD define los datos personales como cualquier tipo de información relacionada con una persona natural identificada o identificable. Esto puede ser cualquier cosa, desde nombres, direcciones, información de ubicación, información de hechos físicos, genéticos, mentales, económicos, culturales o sociales, así como identificadores online como direcciones IP, cookies e historiales de búsqueda y del navegador.

    Haz una prueba gratuita para ver qué datos personales procesa tu sitio web

    ¿Quién debe cumplir con la LGPD?

    Cualquier sitio web, empresa u organización que procese datos personales dentro del territorio de Brasil debe cumplir con la LGPD – incluso los procesadores de datos extranjeros. La LGPD es de aplicación extraterritorial, lo que significa que las páginas de cualquier lugar del mundo deben estar conformes con la LGPD si procesan datos personales de individuos dentro de Brasil.

    Prueba hoy el test de cumplimiento gratuito de Cookiebot CMP

    ¿Cómo puede mi sitio web cumplir con la LGPD?

    Tu sitio web debe tener una base legal para procesar datos personales dentro de Brasil. Tu web necesita pedir y obtener el consentimiento claro e inequívoco de sus usuarios antes de que legalmente se le permita procesar cualquier tipo de datos personales, por ejemplo, a través del uso de cookies y rastreadores activos en tu sitio web.

    Prueba Cookiebot CMP gratis durante 14 días para controlar todas las cookies

    Fuentes

    Texto legal oficial de la Lei Geral de Proteção de Dados Pessoais, LGPDP (en portugués)

    La Autoridad Nacional de Protección de datos (ANPD) de Brasil (en portugués)

    Guía de la ANPD sobre la protección de los datos personales bajo la LGPD (en portugués)

    Perspectiva general de la LGPD por la IAPP

    Cambios recientes realizados en la versión final de la LGPD (en inglés)

    Los ocho derechos fundamentales de los interesados presentes en el RGPD (en inglés)

    Los legisladores brasileños suavizan la LGPD, según los expertos en privacidad (en inglés)

    El requisito del consentimiento y las bases del tratamiento lícito del RGPD explicados por la UE (en inglés)

    La comparación oficial de la UE entre su propio RGPD y la LGPD brasileña (en inglés)

      Mantente al día

      Únete a nuestra comunidad de entusiastas de la privacidad de datos en expansión ahora. Suscríbete a la newsletter de Cookiebot™ para poder recibir las últimas actualizaciones directamente en tu bandeja de entrada.

      Clicando en “Suscribirme” confirmo que quiero suscribirme a la newsletter de Cookiebot™. Puedo retirar este consentimiento clicando en el botón para darme de baja o simplemente escribiendo a [email protected]. Consultar la Política de privacidad.

      Haz que tu uso de cookies y seguimiento online cumpla con la normativa hoy

      PRUÉBALO AHORA GRATIS