SIGILO

Senado brasileño aprobó una de las leyes más avanzadas de protección de datos

La empresa que filtre datos de clientes puede ser multada con hasta US$ 13 millones (50 millones de reales)

Brasil de Fato, en São Paulo |
Empresas tendrán que rendir cuentas sobre las informaciones que tienen de sus clientes y como son usadas
Empresas tendrán que rendir cuentas sobre las informaciones que tienen de sus clientes y como son usadas - Paulo Pinto/Fotos Públicas

Brasil está cerca de dar un gran paso en dirección de la protección de los datos de los consumidores. El proyecto de ley de la Cámara número 53/2018 (PLC 53/2018) define las situaciones en que los datos de clientes pueden ser recolectados y procesados tanto por empresas cuanto por el poder público. Si la privacidad del consumidor no fuese respetada, la multa puede llegar a 50 millones de reales (US$ 13 millones).

El texto fue aprobado por unanimidad en el Senado, con el mismo contenido que ya había sido aprobado en la Cámara de Diputados, a fines de mayo, y ahora va para sanción del presidente golpista Michel Temer (Partido Movimiento Democrático Brasileño).

El informe del diputado Orlando Silva (Partido Comunista de Brasil, estado de São Paulo) propone la creación de la Autoridad Nacional de Protección de Datos, que será responsable por la edición de normas complementarias y por la fiscalización de las obligaciones previstas en la ley.

Esa autoridad tendrá poder, por ejemplo, para exigir informes de impacto de la privacidad de una empresa, documento que debe identificar como el procesamiento es realizado, las medidas de seguridad y las acciones para reducir riesgos. Puede también hacer auditorias, en las que se verifique si en el local de la empresa el manejo de los datos está siendo realizado correctamente.

Si se constata alguna irregularidad en cualquier actividad de tratamiento, la autoridad puede aplicar una serie de sanciones, entre las cuales está prevista multa de hasta 2% de la facturación de la empresa involucrada, con límite de hasta 50 millones de reales (US$ 13 millones), el bloqueo o eliminación de los datos tratados de manera irregular y la suspensión o prohibición del banco de datos o de la actividad de tratamiento.

El proyecto también instituye el Consejo Nacional de Protección de Datos, formado por 23 representantes que vendrían del poder público, de la sociedad civil, de empresas y de instituciones científicas y tecnológicas. El colegiado tiene como atribuciones proponer directrices estratégicas sobre el tema y auxiliar a la autoridad nacional.

El PLC 53 considera datos personales la información relacionada a una persona que sea “identificada” o “identificable”. O sea, el proyecto de ley regula también aquel dato que, por sí solo, no revela a quien estaría relacionado (una dirección, por ejemplo) pero que, procesado conjuntamente con otros, podría indicar de quien se trata (la dirección combinada con la edad, por ejemplo).

Se creó una categoría especial, denominada datos “sensibles”, que abarca registros de raza, opiniones políticas, creencias, condiciones de salud y características genéticas. El uso de esos registros queda aún más restringido, ya que acarrea riesgos de discriminación y otros perjuicios a la persona.

"Muchas de esas informaciones sobre nosotros no son conocidas por personas, sino por máquinas y computadores, que a partir de esa información van a sacar conclusiones sobre nosotros, y eventualmente definir que no somos elegibles para una promoción comercial, para adquirir un plan de salud o, en el caso de algunos países, para adquirir un visado de entrada", explica el abogado y especialista en protección de datos personales, Danilo Doneda, profesor de la Universidad del Estado de Rio de Janeiro (UERJ) y del Instituto de Derecho Público de Brasilia (IDP).

Según Doneda, en caso de que el tratamiento de datos personales, realizado por algoritmos de computador resulte en una decisión que pueda ser considerada discriminatoria por un o una ciudadana, como la negativa de un préstamo, la persona puede pedir la revisión de eso por un ser humano. "Hay una ingeniería en la ley para intentar proveer instrumentos para impugnar eso. Decisiones automatizadas pueden ser impugnadas, se puede pedir una revisión por seres humanos para corregir discriminaciones que eventualmente se revelen un abuso", señala.  

También hay parámetros diferenciados para el procesamiento de informaciones de niños, como la exigencia de consentimiento de los padres y la prohibición de condicionar la provisión de registros a la participación en aplicaciones (como redes sociales y juegos electrónicos).

Ciudadanía

El proyecto de ley abarca las operaciones de tratamiento realizadas en Brasil o a partir de recolección de datos hecha en el país. La norma también vale para empresas o entes que oferten bienes y servicios o traten informaciones de personas que están aquí.

Así, por ejemplo, por más que Facebook recoja registros de brasileños y los procese en servidores en los Estados Unidos, tendría que respetar las reglas. También está permitida la transferencia internacional de datos, siempre que el país de destino tenga un nivel de protección compatible con esta ley o cuando la empresa responsable por el tratamiento compruebe que garantiza las mismas condiciones exigidas por la norma mediante instrumentos como contratos o normas corporativas.

Para Danilo Doneda, la ley va mucho más allá de una cuestión de protección de la privacidad y de la intimidad de las personas, se refiere a la propia garantía del ejercicio democrático de la ciudadanía. "La protección de datos nació en Europa no por una cuestión de proteger la privacidad, sino por causa del control social. Las primeras leyes nacieron a partir de una ojeriza social contra gobiernos totalitarios que usaban datos personales para fichar a la ciudadanía. Eso generó anticuerpos en el sistema social europeo".

Otra obligación de las empresas incluida en la legislación es la garantía de la seguridad de los datos, impidiendo accesos no autorizados y cualquier forma de filtración. Em caso de que haya algún incidente de seguridad que pueda acarrear daño al titular de la información, la empresa está obligada a comunicar a la persona y al órgano competente.

*con informaciones de Agencia Brasil

Edición: Juca Guimarães | Traducción: Pilar Troya