Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

¿Qué es la LGPD y cómo puedes adaptarte a ella?

Guía de la Ley General de Protección de Datos de Brasil (LGPD)

¿Qué es la LGPD, cómo te afecta y cómo puedes adaptarte a ella? Te lo explicamos de forma fácil y comprensible a continuación.

En resumen

¿Qué es la LGPD y cuáles son sus requisitos?

La Ley General de Protección de Datos de Brasil, Lei Geral de Proteção de Dados Pessoais (LGPD) puede considerarse como el equivalente de Brasil al RGPD. De hecho, la ley brasileña comparte muchos aspectos con el Reglamento de la UE, aunque también presenta ciertas diferencias. Su finalidad es reemplazar o completar el panorama legal brasileño actual (que cuenta con más de 40 normas a nivel sectorial) con un marco normativo común.

La LGPD tiene como objetivo crear un nuevo marco legal para el uso de datos personales en Brasil, tanto online como offline, en el sector público y privado.

En general, la LGPD exige que solo trates datos personales para fines legítimos, específicos, explícitos y claramente comunicados. Tal y como sucede con el RGPD, se aplican los principios de transparencia y minimización de datos (tan solo debes usar los datos que necesitas).

Pese a que hubo una propuesta que pedía retrasar la entrada en vigor de la LGPD a diciembre de 2020, tras una votación del Senado se eliminó esta sugerencia del proyecto de ley (PLV) 34/2020. El Presidente de Brasil ha ratificado dicho proyecto de ley, confirmando la fecha de entrada en vigor de la LGPD a 18 de septiembre de 2020. En este contexto, se promulgó un decreto por el que se creaba la autoridad nacional de protección de datos, que se bautizó como Autoridad Nacional de Protección de Datos (ANPD).

Definiciones especiales utilizadas a continuación
  • El término “usuario” hace referencia a una persona física cuyos datos personales son tratados por un responsable o encargado del tratamiento (también conocido anteriormente como titular o interesado).
  • El término “responsable del tratamiento” hace referencia a cualquier persona física o jurídica, pública o privada, que determine los fines y los medios del tratamiento de datos personales.
  • El término “encargado del tratamiento” u “operador” hace referencia a cualquier persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.
  • El término Autoridad de Protección de Datos (APD) en este documento hace referencia a la Autoridad de Protección de Datos brasileña (ANPD)

Por ejemplo, una empresa de internet puede recopilar información de sus usuarios a través de su sitio web y almacenarla en un servicio en la nube proporcionado por un tercero. En este caso, la empresa de internet sería el responsable del tratamiento y la organización que presta el servicio en la nube sería la encargada del tratamiento.

¿Dónde se aplica la LGPD? (Ámbito de aplicación territorial de la LGPD)

Como sucede con el RGPD, la LGPD tiene un ámbito de aplicación territorial que se extiende más allá de Brasil. Esto significa que puede que tengas que cumplir con lo dispuesto en la LGPD incluso si ni tú ni tu empresa estáis radicados en Brasil. En la práctica, la LGPD te afecta si:

  • tus actividades de tratamiento de datos se llevan a cabo en Brasil (por ejemplo, utilizas servidores situados en Brasil);
  • ofreces bienes o servicios a personas radicadas en Brasil, independientemente de su nacionalidad o
  • tratas datos que se refieren a individuos radicados en Brasil (incluso si la persona solo hubiera estado en Brasil en el momento de la recogida de los datos y hubiera cambiado de ubicación desde entonces).

En términos generales, puedes asumir que la LGPD te afecta si tratas los datos personales de personas radicadas en Brasil o si tratas datos personales en el territorio brasileño, sin importar su nacionalidad.

Excepciones a la aplicación

Existen algunas excepciones a la aplicación de la LGPD, incluso en situaciones en las que el responsable del tratamiento de los datos entra dentro del ámbito de aplicación territorial de la ley. Puedes consultar estas excepciones a continuación. La LGPD no se aplica si:

  • una persona física lleva a cabo el tratamiento de los datos personales, sola y exclusivamente para fines privados y no comerciales; o
  • si se tratan los datos personales exclusivamente para uno de los siguientes fines:
    • expresión artística o periodística,
    • investigación académica,
    • seguridad pública,
    • defensa y seguridad nacional,
    • investigación y enjuiciamiento de delitos y causas penales.

¿Qué se consideran “datos personales” según la LGPD?

La LGPD emplea una definición amplia de los datos personales. Al igual que en el RGPD, en el marco de la LGPD los datos personales son cualquier tipo de datos que se puedan relacionar con un individuo identificado o identificable. En resumen, se consideran datos personales todos aquellos datos que se relacionen con un individuo identificado o identificable. Esto incluye datos que se pueden combinar con otro tipo de información para identificar a un individuo.

¿Qué dice la LGPD sobre los datos anonimizados?

Los datos realmente anonimizados (datos que no pueden llevar directa o indirectamente, por medios razonables, a la identificación de una persona) quedan fuera del ámbito de aplicación de la LGPD. Sin embargo, si el proceso de anonimización puede ser reversible, o si los datos se utilizan para la elaboración de perfiles de comportamiento, sí que entrarán dentro del alcance de la LGPD.

Entre los ejemplos de datos personales cabe incluir (entre otros) datos básicos de identidad como nombres, datos genéticos, biométricos o relacionados con la salud, datos web como direcciones IP, direcciones de correo electrónico personales, opiniones políticas y datos relativos a la orientación sexual.
Entre los ejemplos de datos no personales se pueden incluir números de inscripción de empresas en el Registro Mercantil, direcciones de correo electrónico genéricas de la empresa como info@company.com y datos anonimizados.

Advertencia sobre los datos sensibles según la LGPD

La LGPD identifica los datos “sensibles” como parte de los datos personales “normales” y establece reglas especiales para esta categoría concreta de datos personales. Los datos sensibles son todos aquellos que se relacionan con el origen racial o étnico de una persona, sus creencias religiosas, opiniones políticas, sus datos de salud o vida sexual; o bien datos que permitan la identificación inequívoca y permanente del usuario, como sus datos genéticos o biométricos.

Como es más probable que el tratamiento de datos sensibles exponga al usuario al riesgo de discriminación, el tratamiento de estos datos se debe llevar a cabo con medidas de seguridad adicionales y sobre bases jurídicas muy específicas.

En general, tan solo puedes tratar datos sensibles si el usuario (o su progenitor o tutor legal si la persona en cuestión es menor de edad) ha otorgado su consentimiento para dicho tratamiento. Existen algunas excepciones.

💡 Sugerencia: Puedes usar el menú flotante a la izquierda para saltar de una sección a otra (por ejemplo, “Cómo adaptarse a la LGPD”)

PRINCIPALES REQUISITOS DE LA LGPD Y CÓMO ADAPTARSE A ELLA

Conceptos clave de la LGPD

Principios del tratamiento

Los principios para el tratamiento de datos son muy similares a los del RGPD. En particular:

  • El tratamiento de los datos debe tener una finalidad determinada. Esto significa que cualquier actividad de tratamiento de datos se debe llevar a cabo por fines legítimos, específicos, explícitos y claramente comunicados. Es decir, no debes realizar ningún tipo de tratamiento adicional que no entre dentro de los fines comunicados originalmente.
  • Adecuación. Tanto la forma de tratamiento de los datos como los datos tratados en sí mismos deben ajustarse a los fines del tratamiento
  • Limitación de la finalidad. Esto es parecido al concepto de minimización de datos del RGPD y simplemente significa que solo debes tratar los datos que son necesarios para el cumplimiento de los fines de tratamiento declarados.
  • Libertad para ejercitar los derechos y libre acceso a la información. Los usuarios deben poder ejercer libremente sus derechos en virtud de la LGPD y poder acceder fácilmente y sin trabas a cualquier información sobre el tratamiento de sus datos personales, de forma gratuita.
  • Integridad y calidad de los datos. Como responsable del tratamiento, debes garantizar la exactitud de los datos tratados y mantenerlos actualizados y relevantes, en concordancia con los fines del tratamiento de los mismos.
  • Transparencia. La información sobre tus actividades de tratamiento de datos debe ser clara, veraz y fácilmente accesible para los usuarios. Los usuarios también deben poder acceder a la información sobre los terceros con los que compartes sus datos.
  • Seguridad. Tanto el responsable como los encargados (operadores) del tratamiento deben establecer medidas técnicas y organizativas para proteger los datos personales de accesos no autorizados, destrucción accidental o ilícita, alteraciones y comunicaciones o divulgaciones no autorizadas.
  • Prevención. Tanto el responsable como el encargado del tratamiento tienen la responsabilidad de establecer medidas técnicas y organizativas para prevenir cualquier daño causado por el tratamiento de datos personales;
  • No discriminación. No se debe llevar a cabo ninguna actividad de tratamiento de datos con fines discriminatorios.
  • Responsabilidad proactiva. Como responsable del tratamiento, debes cumplir con la normativa y ser capaz de demostrarlo.

Bases jurídicas para el tratamiento de datos según la LGPD

Según la LGPD, solo se pueden tratar datos personales si existe al menos una base jurídica para hacerlo.

Las bases jurídicas son:

  • El consentimiento del usuario
  • El cumplimiento de una obligación legal o reglamentaria que vincule al responsable del tratamiento
  • La ejecución de políticas públicas (cuando dichas políticas se apoyen en leyes, regulaciones o disposiciones contractuales)
  • La realización de estudios por parte de organismos de investigación, garantizando, siempre que sea posible, la anonimización de los datos personales empleados*
  • El cumplimiento de una obligación contractual de la que sea parte el usuario (o sus actividades preparatorias)
  • El ejercicio de derechos en procedimientos judiciales, administrativos o arbitrales *
  • La protección de la vida o la integridad física del usuario o de un tercero
  • La protección de la salud, en un procedimiento llevado a cabo por profesionales o servicios médicos o por las autoridades sanitarias*
  • Los intereses legítimos del responsable del tratamiento o de un tercero, excepto cuando prevalezcan sobre ellos los intereses, derechos y libertades del usuario
  • La protección crediticia, incluyendo las disposiciones de la legislación relevante*

*No se incluye como base jurídica en el RGPD.

El consentimiento según la LGPD

Dado que el consentimiento es una cuestión de vital importancia y normalmente muy relevante en lo referente a las actividades de tratamiento de datos online, a continuación analizaremos los requisitos específicos de dicho consentimiento según la LGPD.

Según la LGPD, el consentimiento debe ser “libre, informado e inequívoco”. Esto significa que el consentimiento no debe ser obtenido mediante coacción: la acción de consentimiento de los usuarios debe ser clara y estos deben ser informados de forma adecuada antes de otorgar su consentimiento. Además, el consentimiento debe prestarse para un fin específico y los usuarios siempre deben tener la posibilidad de retirar o revocar su consentimiento.

Según la LGPD, el consentimiento debe ser libre, informado e inequívoco.

En cuanto al consentimiento para menores de 12 años, estás obligado a obtener un consentimiento específico y manifiesto de un progenitor o tutor legal. Un menor de entre 13 y 18 años puede otorgar su consentimiento si el tratamiento de sus datos personales se realiza en su interés superior como menor. Debes realizar todos los esfuerzos razonables (empleando la tecnología disponible) para verificar que la persona que presta el consentimiento realmente es el titular de la patria potestad o tutela sobre el niño.

*Nota: En Brasil, la mayoría de edad, con la correspondiente capacidad de obrar plena (capacidad para contratar), se alcanza a los 18 años.

Datos disponibles públicamente

Antes de la entrada en vigor de la LGPD, la normativa permitía a las empresas recopilar y tratar los datos personales que estuvieran públicamente disponibles en Internet o en cualquier fuente pública por cualquier motivo. Sin embargo, con la LGPD esto ha dejado de estar permitido.

Según las directrices de la LGPD, los datos personales públicos tan solo pueden recopilarse y utilizarse de dos formas:

  • para el mismo fin para el se trataron originalmente los datos (en cuyo caso no se necesita el consentimiento del usuario); o
  • para un fin distinto, siempre que, como responsable del tratamiento, puedas aplicar legítimamente una de las bases jurídicas para el tratamiento (más información a continuación).

Nota: Debido a lo anterior, la “extracción” o la recogida de datos disponibles públicamente para marketing, etc. estará probablemente limitada por la LGPD.

Datos sensibles

En lo relativo al tratamiento de datos sensibles, se puede evitar el requisito del consentimiento tan solo si el tratamiento es absolutamente necesario para:

  • cumplir con una obligación legal del responsable del tratamiento;
  • el tratamiento compartido necesario para que una Administración pública ponga en práctica políticas públicas legales o reglamentarias;
  • la realización de estudios por parte de un organismo de investigación, garantizando, siempre que sea posible, que los datos personales sensibles están anonimizados;
  • la protección de la vida o de la integridad física del usuario o de un tercero;
  • la protección de la salud, exclusivamente en procedimientos llevados a cabo por profesionales o servicios médicos o por las autoridades sanitarias;
  • la supervisión médica en un procedimiento llevado a cabo por profesionales u organizaciones sanitarios;
  • el ejercicio regular de derechos, incluyendo derechos contractuales, judiciales, administrativos y aquellos otorgados a través de procedimientos arbitrales; o
  • la prevención de fraude y la seguridad del usuario (por ejemplo, para la identificación y autenticación del registro en sistemas electrónicos), siempre que los derechos del usuario estén protegidos y a no ser que prevalezcan los derechos y libertades del usuario.

Datos de menores

Según la LGPD, las excepciones al requisito de consentimiento para el tratamiento de datos de menores son aplicables si dicho tratamiento es necesario para ponerse en contacto con los progenitores o tutores legales o para proteger al menor. Los datos solo se pueden utilizar una vez y no se deben almacenar ni compartir con terceros sin el consentimiento adecuado.

Derechos de los usuarios según la LGPD

Según la LGPD, los usuarios (“interesados”) tienen el derecho de:

  • Confirmación. Los usuarios tienen derecho a que se les confirme la existencia del tratamiento.
  • Acceso. Los usuarios tienen derecho a acceder a sus datos que estén siendo tratados por el responsable del tratamiento.
  • Portabilidad de los datos. Los usuarios tienen derecho a la portabilidad de sus datos a otro proveedor de servicios o productos, previa solicitud expresa, de conformidad con la normativa de la autoridad nacional y respetando secretos comerciales e industriales.
  • Rectificación. Los usuarios tienen derecho a solicitar la rectificación de sus datos personales si son inexactos o están incompletos.
  • Anonimización. Los usuarios tienen derecho a que sus datos personales sean anonimizados, bloqueados o eliminados, siempre que dichos datos sean innecesarios o excesivos, o respecto de aquellos datos cuyo tratamiento no se ajuste a lo dispuestos por la LGPD
  • Supresión. Los usuarios tienen derecho a que se supriman sus datos personales si el tratamiento de dichos datos estaba basado en su consentimiento.
  • Información. Los usuarios tienen derecho a ser informados sobre sub-encargados y otros terceros que tengan acceso a sus datos personales o participen en su tratamiento. Los usuarios también tienen derecho a ser informados sobre sus opciones de consentimiento y sobre las consecuencias de rechazar otorgarlo.
  • Revocación del consentimiento. Los usuarios tienen derecho a revocar o retirar su consentimiento.
  • Presentar reclamaciones. Los usuarios tienen derecho a presentar reclamaciones ante la Autoridad de Protección de Datos (APD).
  • Oposición. Los usuarios tienen derecho a oponerse al tratamiento de sus datos personales cuando no se respeten las disposiciones legales.
  • Revisión de decisiones. Los usuarios tienen derecho a solicitar la revisión de las decisiones que se hayan tomado exclusivamente mediante el tratamiento automatizado de los datos y que afecten a sus intereses. Se incluyen las decisiones adoptadas para definir su perfil personal, profesional, de consumidor y crediticio o aspectos de su personalidad.

Obligaciones del responsable y del encargado del tratamiento según la LGPD

Transferencias de datos transfronterizas

Si necesitas transferir datos protegidos por la LGPD fuera de Brasil, existen una serie de directrices que debes tener en cuenta. La LGPD permite las transferencias transfronterizas de datos personales si se proporciona un nivel adecuado de protección a los mismos.

En la práctica, esto significa que se permite la transferencia si el país de destino cuenta con una normativa que proporcione un nivel adecuado de protección de datos personales. La Autoridad de Protección de Datos (APD) realiza la evaluación del nivel de adecuación del país de destino o de la organización internacional.

Si no se alcanza el nivel de adecuación necesario, se puede realizar la transferencia de datos al extranjero si se cumple alguna de las siguientes condiciones:

  • el responsable del tratamiento recibe el consentimiento informado, explícito y previo del usuario, que debe separarse del resto de finalidades y solicitudes de tratamiento;
  • el responsable del tratamiento garantiza la conformidad con la LGPD a través de una sección contractual específica, cláusulas contractuales tipo o normas corporativas globales;
  • la transferencia de datos cumple con los estándares establecidos por los certificados y códigos de conducta aprobados regularmente por la APD;
  • la APD autoriza directamente la transferencia;
  • la transferencia es necesaria a los efectos de la cooperación legal internacional entre organismos públicos de inteligencia, investigación y enjuiciamiento (de conformidad con el Derecho internacional);
  • la transferencia es necesaria para proteger la vida o la integridad física del usuario o de un tercero;
  • la transferencia es necesaria para ejecutar una política pública;
  • la transferencia se deriva de un compromiso asumido en un acuerdo de cooperación internacional;
  • la transferencia es esencial para cumplir con una obligación legal del responsable del tratamiento o es necesaria para el ejercicio de derechos ante un Tribunal o panel de arbitraje; o
  • la transferencia es necesaria para ejecutar un contrato con el usuario.

Registro del tratamiento de datos

Según la LGPD, tanto los responsables como los encargados del tratamiento deben mantener un registro de sus actividades de tratamiento de datos personales, especialmente cuando dicho tratamiento se basa en un interés legítimo. Todos los responsables y encargados del tratamiento, independientemente de su tamaño, de la frecuencia de tratamiento o del tipo de datos que traten, deben cumplir con esta obligación de mantener un registro. Sin embargo, la Autoridad de Protección de Datos puede conceder exenciones.

Todos los responsables y encargados del tratamiento deben cumplir con esta obligación de mantener un registro.

Evaluación de Impacto Relativa a la Protección de Datos (EIPD)

Esencialmente, una evaluación de impacto relativa a la protección de datos (EIPD) es un procedimiento utilizado para ayudar al responsable del tratamiento de datos a cumplir con las normas de privacidad, garantizando que se respetan de forma efectiva los principios fundamentales.

De acuerdo con la LGPD, la EIPD generalmente contiene la descripción de las actividades de tratamiento de datos personales que podrían crear riesgos para los derechos y libertades civiles, así como medidas, salvaguardas y mecanismos para mitigar ese riesgo.

La EIPD debe contener, al menos:

  • una descripción de las categorías de datos que se tratan;
  • los métodos utilizados para recopilar los datos;
  • las medidas de seguridad empleadas y
  • una descripción de las medidas utilizadas para mitigar los riesgos que supone el tratamiento de datos personales.

La ley no establece de forma explícita cuándo se necesita una EIPD, pero la Autoridad de Protección de Datos puede pedir que el responsable del tratamiento realice y proporcione una EIPD en cualquier momento.

Nombramiento de un delegado de protección de datos

Según la LGPD, como responsable del tratamiento, debes nombrar un Delegado de Protección de Datos (DPD). No hay exenciones a esta regla. Los DPDs son individuos responsables de lo siguiente:

  • recibir reclamaciones y comunicaciones de los usuarios, aclarar dudas y adoptar las medidas pertinentes;
  • asesorar a los empleados y contratistas del responsable del tratamiento sobre las medidas que se deben tomar para proteger los datos personales tratados;
  • recibir comunicaciones de la APD y adoptar las medidas pertinentes y
  • cumplir con otras funciones “según lo determinado por el responsable del tratamiento o lo establecido en normas complementarias”.

Seguridad y violaciones de la seguridad de los datos personales

Según la LGPD, los responsables, encargados o cualquier otro agente involucrado en el tratamiento de datos personales deben establecer medidas técnicas, administrativas y de seguridad para proteger los datos personales de accesos no autorizados y de su destrucción, pérdida, alteración o comunicación accidentales o ilícitos o bien de su tratamiento ilegítimo.

Cualquier incidencia de seguridad que pueda crear riesgos o causar daños a los usuarios debe comunicarse dentro de un plazo razonable a la APD.

Esta comunicación debe incluir, como mínimo:

  • una descripción de la naturaleza de los datos personales afectados;
  • información sobre los usuarios afectados;
  • información sobre las medidas técnicas y de seguridad empleadas para proteger los datos, respetando secretos comerciales e industriales;
  • los riesgos relacionados con la incidencia;
  • las razones que justifiquen cualquier retraso en la comunicación de la incidencia a la APD (en aquellos casos en los que dicha comunicación no se realizara de forma inmediata) y
  • las medidas que se habían adoptado o que se adoptarán a futuro para contrarrestar o mitigar los efectos de la incidencia.

Una vez recibida la notificación de la violación de seguridad, la APD puede ordenar al responsable del tratamiento que alerte a los medios de comunicación o que tome otras medidas para mitigar los daños causados por la incidencia.

Transparencia

Tal y como ocurre con el RGPD, la transparencia es un principio fundamental de la LGPD. Según la LGPD, los usuarios tienen derecho a que se les facilite el acceso a la información sobre el tratamiento de sus datos personales, que debe estar disponible de forma clara, adecuada y evidente.

Estas comunicaciones incluyen:

  • el fin concreto de las actividades de tratamiento;
  • el tipo y la duración del tratamiento;
  • la información de identificación del responsable del tratamiento;
  • la información de contacto del responsable del tratamiento;
  • la información sobre con quién se comparten los datos y por qué;
  • las responsabilidades de los encargados o agentes, en su caso, que llevarán a cabo el tratamiento de los datos;
  • los derechos del usuario (interesado), incluyendo una mención específica a los derechos del usuario recogidos en el artículo 18 de la LGPD (mencionado anteriormente), información sobre cómo ejercer dichos derechos y si se tratará algún dato personal para responder a una solicitud para ejercer esos derechos.

Responsabilidad proactiva: privacidad desde el diseño y por defecto

La LGPD establece que tanto los responsables como los encargados del tratamiento de datos pueden establecer procedimientos y políticas internos para garantizar el cumplimiento de la ley. Esto incluye un programa de gestión de la privacidad y medidas que demuestren su efectividad.

Como mínimo, el programa de gestión debe:

  • demostrar el compromiso del responsable del tratamiento para garantizar el cumplimiento de las normas y buenas prácticas;
  • ser aplicable a todo el conjunto de datos personales bajo el control de cada encargado del tratamiento en particular, independientemente de los medios utilizados para recopilarlos;
  • adaptarse a la estructura, escala y volumen particulares de las actividades, así como al grado de sensibilidad de los datos en cuestión;
  • establecer políticas adecuadas y garantías basadas en un proceso de evaluación sistemática de los impactos y riesgos para la privacidad;
  • tener el propósito de crear una relación de confianza con el usuario basada en la transparencia;
  • garantizar que los mecanismos de participación de los usuarios estén integrados en la estructura general de gestión del programa y establecer y aplicar mecanismos de supervisión internos y externos;
  • disponer de planes y soluciones para responder a incidencias, y
  • estar constantemente actualizado sobre la base de la información obtenida a partir del seguimiento continuo y de evaluaciones periódicas.

El responsable del tratamiento debe ser capaz de demostrar, cuando sea necesario, que su programa de gestión de la privacidad es efectivo, especialmente si se lo solicita la autoridad nacional.

Consecuencias del incumplimiento

Las consecuencias legales del incumplimiento de la LGPD pueden incluir multas del 2% de la facturación mundial anual, de hasta 50 millones de reales brasileños (actualmente alrededor de 8 millones de euros o 9 millones de dólares) por infracción. Pero quizás igualmente preocupantes son el resto de posibles acciones correctivas que se pueden tomar contra los infractores.

Las consecuencias legales del incumplimiento pueden incluir multas del 2% de la facturación mundial anual, de hasta 50 millones de reales brasileños (8 millones de euros)

Según la LGPD, la Autoridad de Protección de Datos de Brasil tiene poderes correctivos, entre los que se incluyen la imposición de apercibimientos y multas, la publicación de la infracción y el bloqueo o eliminación de las actividades de tratamiento o de los datos personales relacionados con la infracción cometida. Esto significa que si la infracción está relacionada con la recogida de direcciones de correo electrónico, el responsable del tratamiento que la haya cometido se expone a perder toda la lista de direcciones de correo electrónico asociada. La APD brasileña también puede exigir que la base de datos relacionada con la incidencia sea suspendida parcialmente durante un máximo de 6 meses, lo que potencialmente puede suponer la paralización de cualquier otra actividad que pudiera hacer uso de dichos datos.

Además, al igual que el RGPD, la LGPD permite a los usuarios con una causa legítima exigir una compensación (moral o pecuniaria) de los daños causados por la infracción de la normativa en materia de privacidad.

Cómo cumplir con la LGPD

Lista de verificación de conformidad con la LGPD

Identifica (y documenta) tus bases jurídicas para el tratamiento de datos personales. Los responsables del tratamiento deben definir una base jurídica para cada una de las actividades de tratamiento que lleven a cabo, así como documentar dichas bases jurídicas en su registro de tratamiento.

Mantén un registro de tus actividades de tratamiento de datos (obligatorio según el artículo 37). Aunque la LGPD no incluye requisitos específicos sobre la forma o contenido de este registro, es probable que sean similares a los del registro de tratamiento que se exige en el artículo 30 del RGPD. iubenda hace que crear y mantener este registro de tratamiento de datos sea muy fácil. Puedes encontrar más información aquí.

Incluye la información obligatoria en tu política de privacidad. Obligatorio (art. 9) para cumplir con los requisitos de transparencia de la LGPD. Obtén más información sobre la función de divulgación de información en un clic para la LGPD de nuestro Generador de Políticas de Privacidad.

Recopila y almacena pruebas válidas del consentimiento (obligatorio según el art. 8). Tal y como ocurre con el RGPD, según la LGPD la carga de la prueba para demostrar la existencia de un consentimiento válido recae sobre ti como responsable del tratamiento. iubenda hace que crear y mantener este registro de consentimientos sea increíblemente fácil. Más información aquí.

Nombra un delegado de protección de datos (DPD), obligatorio según el art. 41. Según la LGPD, es obligatorio que todos los responsables del tratamiento designen a un DPD, que se encargará de las actividades mencionadas aquí. Actualmente, la ley no exige que el DPD tenga su sede física en Brasil. Además, también ofrece la posibilidad de que los responsables del tratamiento nombren a consultores individuales externos como su DPD.

Desarrolla políticas y procedimientos internos para respetar los derechos de los usuarios y responder a solicitudes relacionadas con los mismos. Los responsables del tratamiento deben responder de forma razonable a las solicitudes de los interesados para ejercer sus derechos en virtud de la LGPD, incluidos los derechos de acceso, rectificación, anonimización, supresión y de portabilidad.

Establece un protocolo de seguridad. Tanto los responsables como los encargados del tratamiento deben adoptar medidas de seguridad diseñadas para proteger los datos personales. Es posible que en el futuro la APD proporcione directrices para estándares técnicos mínimos. Otros marcos legales en el Derecho brasileño brindan orientación adicional sobre los estándares existentes, como el Marco de Derechos Civiles en Internet de Brasil, también conocido como “Marco Civil da Internet” (que establece principios, garantías, derechos y deberes para los usuarios de la web en Brasil).

Establece un plan de respuesta y solución de incidencias (de acuerdo con el art. 50). Los responsables y encargados del tratamiento deben establecer un plan de respuesta ante incidencias que garantice que el responsable del tratamiento sea capaz de cumplir con los requisitos obligatorios de notificación de incidencias (a continuación).

Si una violación de la seguridad de los datos personales crea un riesgo importante o produce un daño significativo a los usuarios, debes notificar a la APD y a los usuarios (de conformidad con el art. 50).

Realiza una evaluación de impacto relativa a la protección de datos (EIPD). Las EIPDs pueden ser obligatorias en situaciones que se consideren arriesgadas, o bien cuando las solicite la autoridad competente, cuando el tratamiento de los datos se lleve a cabo sobre la base de un interés legítimo.

Implanta la privacidad desde el diseño y por defecto. Según la LGPD, es obligatorio establecer medidas por defecto que garanticen la protección de los datos personales. En la práctica, la configuración por defecto debe ser aquella que garantice el nivel de protección más alto.

Cumple con los requisitos para las transferencias de datos transfronterizas. Asegúrate de conocer los límites aplicables a las transferencias de datos transfronterizas y cumple las disposiciones relevantes. Más información aquí.

Cómo te puede ayudar iubenda a adaptarte a los requisitos de la LGPD

En términos de conformidad legal, uno de los pasos fundamentales es asegurarte de que tus documentos cumplan con los requisitos legales. En iubenda, adoptamos un enfoque integral para el cumplimiento de las leyes de protección de datos. Creamos soluciones teniendo en cuenta las normativas más estrictas, dándote todas las opciones posibles para que personalices tus documentos según tus necesidades. Te ayudamos a cumplir con tus obligaciones legales, reduciendo el riesgo de litigios y protegiendo a tus clientes, lo que genera confianza y credibilidad.

Estos son los elementos básicos que necesitas para lograr una conformidad legal plena:

Política de Privacidad

Todas las políticas de privacidad generadas con iubenda te ayudan a cumplir con la LGPD, ya que incluyen las opciones necesarias para aplicar los estándares legales de la LGPD a los usuarios brasileños.

Con nuestro Generador de Políticas de Privacidad y Cookies puedes crear una política de privacidad atractiva, precisa y redactada por abogados e integrarla a la perfección con tu sitio web o app. Puedes añadir cualquiera de nuestras cláusulas ya creadas con tan solo pulsar un botón o redactar fácilmente tus propias cláusulas personalizadas mediante nuestro formulario integrado.

Nuestra solución te ayuda a cumplir fácilmente con los requisitos de la LGPD y se activa con un solo clic para:

  • Mostrar la terminología, la información a divulgar y las instrucciones de acuerdo con los requisitos de la LGPD y
  • Actualizar automáticamente tu política de privacidad integrada con el texto de la LGPD una vez activada dentro del generador, ¡sin necesidad de volver a añadir el código en tu sitio web!

La política de privacidad también incluye la opción de añadir una política de cookies (es necesario incluirla si tu sitio web o tu app utilizan cookies y tienen usuarios de la UE). Las políticas pueden personalizarse según tus necesidades y un equipo legal internacional las mantiene al día de forma remota.

Para obtener más información sobre políticas de privacidad, haz clic aquí.

Internal Privacy Management

Cumplir con las normas de la LGPD en la práctica puede suponer todo un desafío técnico. Esto es especialmente cierto en cuanto a la gestión de la privacidad interna.

Nuestra solución te ayuda a registrar y gestionar todas tus actividades de tratamiento de datos para que puedas cumplir fácilmente con los requisitos de la LGPD y con tus obligaciones legales. Te permite crear registros de las actividades de tratamiento de datos: añade actividades de tratamiento de entre nuestras más de 1.600 opciones preconfiguradas, divídelas por áreas (subdivisiones en las que las actividades de tratamiento son las mismas), asigna encargados del tratamiento y otros cargos y documenta las bases jurídicas y otros registros exigidos por la LGPD.

Para descubrir todas las funciones de nuestra herramienta de Internal Privacy Management, haz clic aquí o consulta nuestra guía aquí.

Gestionar y registrar detalladamente el consentimiento

Para cumplir con leyes en materia de privacidad como la LGPD y el RGPD, debes guardar pruebas del consentimiento para demostrar que dicho consentimiento se obtuvo de conformidad con la ley.

Nuestra Consent Solution simplifica este proceso, ayudándote a almacenar fácilmente la prueba del consentimiento y a gestionar el consentimiento y las preferencias de privacidad de cada uno de tus usuarios. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la recogida del consentimiento), así como las preferencias expresadas por el usuario.

Para utilizarla, simplemente activa la Consent Solution en tu dashboard y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.

Para descubrir todas las funciones de nuestra Consent Solution, haz clic aquí o consulta nuestra guía aquí.

Adapta tu web a la LGPD en cuestión de minutos

Genera tus documentos

Nota: ten en cuenta que, de vez en cuando, las leyes se modifican y actualizan. Por ello, es importante que te asegures de que tus políticas cumplen con los requisitos más recientes. Por esta razón, utilizamos una función de integración y NO un simple copiar y pegar. Con este método, puedes estar seguro de que tu política está actualizada ya que nuestro equipo jurídico la mantiene al día de forma remota.

Más información