La semana pasada, el Senado brasileño aprobó la Ley General de Protección de Datos, considerado el proyecto más completo entre los que se estaban discutiendo en el Congreso en materia de protección de datos personales. El proyecto fue apoyado por más de 60 organizaciones y entidades relacionadas con el comercio, las comunicaciones, los sectores de internet y las organizaciones de la sociedad civil.

Actualmente, Brasil tiene algunas leyes sectoriales, como el Marco de Civil para Internet, que deja varias lagunas y no entrega seguridad jurídica para la protección de la privacidad de los usuarios en otros sectores. Pero el retraso que presenta Brasil en la aprobación de una ley de protección de datos posibilitó el diseño de un texto avanzado, que apunta a garantizar el control de los usuarios sobre sus datos personales.

Al igual que el Reglamento General de Protección de Datos europeo (GDPR), el proyecto de ley brinda una definición amplia de datos personales, considerando que es aquel que refiere a una persona identificada o identificable, lo que incluye números de identificación, datos de ubicación o identificadores electrónicos.

La piedra angular del proyecto de ley es el requisito de requerir el consentimiento del titular para el tratamiento de sus datos, el cual debe ser libre e inequívoco. Por otro lado, la empresa que busque tratar la información debe informar expresamente no solo sobre la recopilación, sino también sobre los usos específicos de los datos recopilados, y no puede hacerlo en términos generales o vagos. Además, este consentimiento también debe ser revocable en cualquier momento.

Las nuevas reglas se aplicarán a todas las instituciones que manejan datos personales en sus operaciones o al ofrecer sus productos y servicios, tanto del sector público como del privado. Si el proyecto de ley es sancionado, las instituciones que tendrán 18 meses para adaptarse.

También se crea una Autoridad de Protección de Datos, una agencia gubernamental independiente vinculada al Ministerio de Justicia, con el objetivo de salvaguardar la vigilancia y la aplicación de sanciones, entre otras funciones. Aquellos que violan la nueva Ley están sujetos a una advertencia, multas de hasta el 2 por ciento de los ingresos (máximo de 50 millones de reales brasileños), suspensión parcial o total de la operación, entre otras sanciones. Las filtraciones de datos deberán ser informadas inmediatamente a la Autoridad de Protección de Datos.

Se especula que el presidente Michel Temer quizás vetará los artículos que mencionan la Autoridad de Protección de Datos. El Ministerio de Finanzas cuestiona la necesidad de crear otra agencia reguladora debido a la necesidad de reducir los costos del gobierno

Los parlamentarios señalaron que la inclusión de la APD en el proyecto de ley era una forma de presionar al gobierno para que creara esta agencia reguladora. Si estos artículos son vetados, será un revés importante, ya que las funciones de APD serán fundamentales para la aplicación de la ley de protección de datos.

Cuando el proyecto de ley entre en vigencia, aún habrá desafíos para su implementación. Después de años de negligencia sobre la importancia de proteger la privacidad, la aplicación de la ley no es suficiente. También debe haber un cambio de cultura, con la expansión de las políticas públicas para proteger la privacidad de los usuarios.