6 años de LGPD: ¿Qué aún queda por hacer?

El 14 de agosto de 2024, Brasil celebra el 6° aniversario de la Ley General de Protección de Datos Personales (LGPD). La legislación marcó el avance en la protección de la privacidad y los datos personales en el país. Aprobada el 14 de agosto de 2018, la LGPD entró en vigor en septiembre de 2020, con sanciones aplicables a partir de agosto de 2021. 

La LGPD define los datos personales como cualquier información que pueda identificar o hacer identificable a una persona física o jurídica, como nombre, CPF, RG, correo electrónico y otros datos. El objetivo principal de la LGPD es garantizar que estos datos se utilicen de forma segura y transparente, evitando el mal uso y garantizando la protección y seguridad jurídica de los ciudadanos.

En mayo de 2021, dos años después de la sanción de la LGPD, la Corte Suprema Federal (STF) reconoció la protección de datos personales como un derecho fundamental. Este reconocimiento fue incluido en la Constitución Federal en febrero de 2022, mediante la Enmienda Constitucional no 115/22. Con la Constitución Federal de 1988, los derechos a la privacidad y confidencialidad de las comunicaciones ya habían sido positivizados, pero la protección de datos personales solo pasó a formar parte del texto constitucional más recientemente. Leyes como el Marco Civil de Internet y la Ley de Acceso a la Información fueron importantes precursoras que contribuyeron a la formulación de la LGPD.

Luego de la promulgación de la ley, las empresas tuvieron que adaptarse a la nueva legislación, adoptando prácticas específicas. Esto implicó la creación de políticas y procedimientos de privacidad, capacitación de empleados y la implementación de tecnologías de seguridad de la información. La LGPD establece multas y sanciones por incumplimiento, lo que -teóricamente- incentivó a las empresas a cumplir con la ley.

Sin embargo, la LGPD aún no se cumple plenamente en algunas partes del país. Una encuesta realizada por el portal LGPD Brasil mostró que incluso con el requisito, sólo 16% de las empresas del país cumplen con la ley. Esto revela que, aunque ya tiene cierto conocimiento de la ley, todavía está bastante concentrada en los grandes centros urbanos, y es necesario llevar este conocimiento a otras regiones del país.

El abogado y especialista en derecho digital de la FGV, Lucas Maldonado D. Latini, señala que una de las mayores dificultades para la adaptación a la LGPD es el desconocimiento sobre la ley y cómo afecta las operaciones de las empresas. Muchas organizaciones aún no saben que la legislación se aplica a su campo de actividad. El abogado señala que la legislación cubre empresas de diversos sectores, como finanzas, educación, comercio minorista, etc.

Para él, las disposiciones sobre protección de datos estaban dispersas en varias leyes, lo que dificultaba la interpretación y aplicación de estos derechos.“Una unificación promovida por la LGPD aportó claridad y cohesión al marco regulatorio brasileño. Además, tuvimos la creación de la Autoridad Nacional de Protección de Datos (ANPD) para asegurar la supervisión y cumplimiento de la” ley, comenta. Hoy, la ANPD es responsable de emitir resoluciones y lineamientos que ayuden a los agentes de procesamiento de datos a comprender y cumplir con sus obligaciones.

¿Qué podemos esperar de un futuro cada vez más tecnológico?

Si bien el marco regulatorio ha avanzado significativamente desde su implementación, hay varias cuestiones que aún deben ser abordadas por la Autoridad Nacional de Protección de Datos (ANPD) para garantizar que la aplicación siga siendo efectiva.

Uno de los temas de interés es la regulación de las transferencias internacionales de datos. En 2022, la ANPD lanzó una consulta pública para crear directrices sobre cómo se pueden enviar datos personales fuera de Brasil. La LGPD exige que estas transferencias se realicen para garantizar una protección adecuada de los datos en otros países. Para ello, la ANPD necesita establecer reglas claras, incluso sobre los países donde considera que tienen niveles de protección compatibles con la legislación brasileña.

Otro punto es la regulación de la Inteligencia Artificial (IA). Hasta la fecha, la legislación brasileña no aborda específicamente el uso de la IA en relación con la protección de datos. La ANPD participa en las discusiones del Proyecto de Ley 2.338/2023, que tiene como objetivo establecer un marco legal para la IA y está siendo evaluado por el Senado Federal.

El abogado señala que uno de los puntos más importantes es que las empresas establezcan medidas de seguridad, técnicas y administrativas, necesarias para la protección de datos personales. Estas pautas pueden incluir estándares mínimos de seguridad, uso de cifrado, firewalls y políticas de acceso, la implementación de cada una de ellas es una forma de prevenir incidentes de seguridad, como filtraciones de datos, y garantizar que la información esté protegida contra el acceso no autorizado.