Entendendiendo la Ley General de Proteccion de Datos en Brasil

mayo 15, 2019 Seguridad y Cumplimiento, MOVEit

En esta publicación, desglosaremos la Ley general de protección de datos de Brasil: quién debe cumplir, qué está protegido y cómo cumplir sus requisitos.

El cumplimiento es algo complicado: las leyes son largas y la paciencia de los reguladores y auditores del gobierno es corta. Doblemente así cuando se trata de cumplimiento de datos internacionales. Pero no tiene por qué serlo. Aquí está Defrag Esto, hemos estado trabajando en los libros para que no tenga que hacerlo, tratando de darle sentido al laberinto de jerga y términos legales que es el emergente panorama del cumplimiento de datos internacionales.

De hecho, estamos tratando de armar una guía para el cumplimiento internacional de un tipo de dummies ... no es que alguna vez llamaríamos a alguien un maniquí por no saber esto. Meses atrás, comenzamos con GDPR, y me gustaría pensar que hicimos un buen trabajo, esas publicaciones, que se han consolidado recientemente, son algunas de las más populares en nuestro pequeño blog.

Ahora, estamos duplicando nuestra misión de desmitificar el cumplimiento internacional: primero con la guía para comprender la Ley de Seguridad Cibernética de China, luego con un desglose de la norma ISO 20022, y ahora con una mirada a la nueva Ley General de Protección de Datos de Brasil.

¿Qué es la Ley General de Protección de Datos de Brasil?

Inspirado por el GDPR, a mediados de agosto de 2018, Brasil aprobó un nuevo marco legal destinado a regular el uso y procesamiento de datos personales en Brasil: la Ley General de Protección de Datos.

La ley reemplaza aproximadamente 40 o más leyes que actualmente se ocupan de la protección de la privacidad y los datos personales, y tiene como objetivo garantizar los derechos individuales y fomentar el crecimiento económico mediante la creación de reglas claras y transparentes para la recopilación de datos.

El proyecto de ley se convirtió en ley a mediados de agosto de 2018 y se espera que entre en vigencia en febrero de 2020.

¿Quién está afectado, necesito cumplir?

La nueva ley rige el procesamiento de datos personales en Brasil, y requiere una amplia comprensión del procesamiento de datos al hacerlo. Básicamente, si tocas los datos de un ciudadano, los estás procesando. Eso incluye recopilar los datos, almacenarlos y transferirlos.

Entonces, si usted o su organización realizan alguna de estas actividades en Brasil, entonces están sujetos a la ley. Con algunas pequeñas excepciones para las organizaciones de seguridad nacional, artísticas y periodísticas, las organizaciones del sector público y privado son igualmente responsables ante la ley.

Al igual que el GDPR, la ley de Brasil tendrá una aplicación extraterritorial, por lo que si su organización ofrece servicios en Brasil y recopila y procesa datos personales de personas ubicadas en el país, usted debe cumplir con los requisitos. Curiosamente, esto es cierto independientemente de la nacionalidad de los sujetos de datos. Por lo tanto, una compañía estadounidense que procesa los datos de un estadounidense en Brasil aún tendrá que cumplir.

¿Cuáles son los requisitos específicos del proyecto de ley? ¿Qué tan similar es a GDPR?

Aquí es donde nos metemos en la carne y las papas de la ley. Si bien la Ley General de Protección de Datos ciertamente toma las señales del GDPR (incluido su nombre, al menos en inglés), no es una copia al carbón. A continuación, se presentan los requisitos clave de la ley:

Oficial de protección de datos

Al igual que el GDPR, y la Ley de Seguridad Cibernética de China, la nueva ley de Brasil exige que las empresas designen un oficial de protección de datos para supervisar el cumplimiento y los esfuerzos de protección de datos dentro de la organización.

Notificaciones de violación de datos

A diferencia del GDPR, la ley de Brasil no especifica una línea de tiempo específica para la notificación de violación de datos, pero sí requiere que las entidades reguladas notifiquen a los usuarios cualquier violación de datos que afecte a su información. Dichas notificaciones deben incluir una descripción del tipo de datos personales afectados, así como detalles sobre las medidas de seguridad tomadas para proteger los datos y los riesgos resultantes del incidente, como el robo de identidad.

Consentimiento para el procesamiento de datos

De acuerdo con la nueva ley de Brasil, dondequiera que se procesen los datos personales, el interesado debe dar su consentimiento previo. Ese consentimiento solo se puede utilizar para un propósito específico del procesamiento de datos, y no se puede tomar como consentimiento para el procesamiento de datos en gran escala. Sin embargo, hay algunas excepciones a la regla de consentimiento, como cuando se requiere el procesamiento de datos como en el cumplimiento de un requisito legal o de cumplimiento, o en el cumplimiento de un contrato. Básicamente, el procesamiento de datos solo puede llevarse a cabo cuando existe una base legal necesaria para ello.

Requisitos de seguridad y privacidad mejorados

De acuerdo con la Ley, las organizaciones reguladas deben adoptar medidas de protección contra los ataques cibernéticos y deben implementar dichas medidas cada vez que creen nuevos productos. La Autoridad de Protección de Datos de Brasil tiene la capacidad de realizar auditorías de privacidad para garantizar que las organizaciones cumplan con estos requisitos.

Requisitos de grabación

La ley requiere que todo el procesamiento de datos personales que se lleva a cabo se registre, con detalles que indiquen el tipo de datos recopilados, el propósito previsto, la base legal, el tiempo de retención y las prácticas de seguridad empleadas en el almacenamiento, como el cifrado.

Requisitos de transferencia de datos y restricciones

La ley de Brasil impone restricciones significativas a la transferencia de datos personales, especialmente a través de las fronteras.

Las transferencias transfronterizas solo se permiten a las naciones que la Autoridad de Protección de Datos de Brasil determina que tienen un nivel de protección de datos igual o adecuado, a menos que la DPA apruebe lo contrario. Otras bases legales para la transferencia de datos a través de la frontera incluyen cláusulas contractuales estándar entre los controladores de datos y el sujeto, y los casos en que el interesado ha dado su consentimiento específico.

¿Quién va a hacer cumplir la ley?

La nueva ley de Brasil establece una nueva Autoridad Nacional de Protección de Datos (DPA), que será responsable de supervisar el cumplimiento y hacer cumplir las sanciones.

¿Cuáles son las sanciones por incumplimiento?

Por el incumplimiento del proyecto de ley puede resultar en multas de hasta el dos por ciento de las ventas brutas en Brasil, pero esa multa se limita a 50 millones de reales (aproximadamente $ 13M USD) por violación. Si bien eso no es nada en comparación con las sanciones del GDPR, ciertamente no es un gran cambio.

Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.