LGDP vs. GDPR: Las Mayores Diferencias

LGDP vs. GDPR: Las Mayores Diferencias

Brasil aprobó su exhaustiva ley general de protección de datos, la Lei Geral de Proteção de Dados (LGPD) en 14 de agosto de 2018. Adaptada a su prima europea, la Regulación General de Protección de Datos (GDPR), la nueva legislación tiene como objetivo reemplazar y complementar las normas legales mediante la regulación del uso de datos personales por parte de los sectores público y personal.

Establecido para entrar en vigor en 15 de agosto de 2020, después de que su fecha límite inicial de 18 meses fue extendida con 6 meses adicionales por el Presidente Michel Temer, surgieron dudas sobre el futuro cumplimiento de la LGDP cuando el mismo presidente vetó varios actos del proyecto de ley antes de su aprobación, especialmente aquellos necesarios para crear la autoridad de protección de datos de Brasil, la Autoridade Nacional de Proteção de Dados (ANPD).

Toda la incertidumbre se ha dejado a un lado: en 8 de julio de 2019, el nuevo presidente de Brasil, Jair Bolsonaro, promulgó la Ley NR. 13.853/2019, que modifica algunas disposiciones de la LGPD y proporciona la creación de la ANPD. Con su autoridad de protección de datos no hecha realidad, Brasil avanza a toda velocidad hacia la aplicación de la LGPD.

Muchas empresas que han pasado por prisa para el cumplimiento de la GDPR consideran que la regulación europea es la más exhaustiva del mundo en el día de hoy, pero existen diferencias notables entre ella y la LGPD, lo que significa que el cumplimiento de la GDPR no garantiza el cumplimiento de la LGPD, aunque definitivamente es un paso en la dirección correcta. Veamos algunas de las referencias claves.

Datos Protegidos

Mientras que ambas, la GDPR y la LGPD, protejan cualquier información relacionada a una persona física identificada o identificable, a diferencia de la GDPR, la LGPD no ofrece una definición detallada sobre a qué información se refiere, haciendo que su alcance sea muy amplio.

Los datos anonimizados quedan fuera del alcance de ambas leyes siempre que se hayan tomado medidas razonables para garantizar que no se pueda volver a identificar. Sin embargo, la LGPD hace una excepción: los datos son considerados personales cuando se usan para el perfil de comportamiento de una persona física en particular, si esa persona es identificada.

Mientras tanto, los datos seudonimizados caen dentro del cumplimiento de la GDPR ya que se considera información sobre una persona física identificable, pero la LGPD no lo menciona, excepto en el contexto de la investigación realizada por las agencias de salud pública.

Alcance Territorial

Ambas leyes, la GDPR y la LGPD, tienen un alcance extraterritorial: ellas se aplican para todas las empresas que ofrecen bienes o servicios a los sujetos de datos en la UE o Brasil, independientemente donde están localizados.

Existe una notable diferencia entre ellas: la GDPR incorpora explícitamente organizaciones que no están establecidas en la UE, pero que monitorean el comportamiento de las personas ubicadas en ella. La LGPD no tiene tal disposición. La LGPD tampoco se aplicará a los flujos de datos que se originan fuera de Brasil y simplemente se transmiten, pero no se procesan en el país.

Bases legales para el procesamiento de datos

Una de las mayores diferencias entre las dos leyes es los bases legales para el procesamiento de datos. La GDPR enumera seis, mientras que la LDPD va más allá e incluye diez. A los seis originales de la GDPR: consentimiento explícito, desempeño contractual, tarea pública, interés vital, obligación legal e interés legítimo, la LGPD agrega otros cuatro: estudios por un organismo de investigación, ejercicio de derechos en procedimientos legales, protección de la salud y protección crediticia.

La adición más interesante de esta lista es la protección crediticia, una provisión exclusiva para Brasil, que fue, sin dudas, incluida debido a las discusiones actuales sobre la reforma de una de las leyes que regula el puntaje crediticio de Brasil, la Ley de Historial de Crédito Positivo.

Oficiales de Protección de Datos

Bajo la GDPR, los controladores y los procesadores de datos cuyas actividades principales consisten en operaciones de procesamiento que requieren la monitorización regula y sistemática de los sujetos de datos a gran escala, o el procesamiento a gran escala de categorías especiales de datos, están obligados a nombrar un oficial de protección de datos (DPO).

La LGPD, por otra parte, solamente requiere a los controladores da datos que designen un DPO. Sin embargo, no limita las circunstancias en las cuales se debe designar un DPO, lo que significa que todas las empresas, sin importar su tamaño, tipo o volumen de datos que colectan, necesitarán un DPO. Esto siendo dicho, mientras que así están las cosas por el momento, la ANPD puede ajustar esta provisión y, ahora que su creación ha sido asegurada, se espera que emita reglas complementarias para limitar la aplicabilidad de este requerimiento particular.

Solicitudes de Acceso de los Sujetos de Datos

El derecho de un individuo al acceso a los datos es garantizado de ambas leyes, la GDPR y la LGPD. Bajo a esto, los sujetos de datos pueden pedir acceso a los datos que una empresa ha coleccionado sobre ellos y pueden solicitar otras acciones al respecto: su portabilidad, eliminación o corrección. La GDPR permite a las organizaciones responder en 30 días a las solicitudes de los sujetos de datos, mientras que la LGPD les permite solamente 15 días.

También existe una diferencia en el costo de la solicitud: la LGPD los hace obligatorios de forma gratuita, mientras que la GDPR hace que la propina sea opcional.

Notificaciones Obligatorias de Incumplimiento de Datos

Mientras que ambas leyes han hecho que las notificaciones del incumplimiento de datos sean obligatorias, sus requerimientos difieren ligeramente. Mientras que la GDPR impone unas 72 horas estrictas en las que a las empresas se les pide notificar las Autoridades de Protección de Datos (DPA) sobre los incumplimiento de datos, organizaciones que caen bajo la incidencia de la LGDP lo deben hacer dentro de un tiempo ”razonable” indefinido. Sin embargo, este plazo también está sujeto a ajustes por parte de la ANPD. La LGPD requiere también notificar a los sujetos de datos de los incumplimientos de datos, lo que no es un requerimiento bajo la GDPR.

Penalidades

Las notorias multas de la GDPR permiten a las DPA en toda Europa emitir multas hasta 4% de la facturación anual global de una empresa o € 20,000,000 (aproximadamente $ 22,000,000), el que sea más alto. Bajo la LGPD, las organizaciones se enfrentan penalidades similares, si un poco menos graves: hasta el 2% de sus ingresos totales en Brasil en el año anterior o hasta 50,000,000 reales brasileños (aproximadamente $ 13,000,000), lo que sea mayor. La LGPD lista también posibles penalidades diarias para asegurar el cumplimiento.

Las Agencias Gubernamentales quedan fuera de las multas de la LGPD, mientras que la GDPR deja que los DPA decidan sobre este asunto.

En conclusión

Mientras que existe un gran número de similitudes entre la LGPD y la GDPR, existen puntos, como las bases legales y las notificaciones obligatorias sobre los incumplimientos de datos en las que la LGPD va más allá que la legislación europea.

También existen muchas provisiones que quedan amplias en la ley brasileña, que son el sujeto de los ajustes por parte de la ANPD y que la nueva autoridad probablemente abordará en los meses previos a la aplicación de la LGPD. Queda por verse si las reglas complementarias que se emitirán traerán a la LGPD más cerca o más lejos de la GDPR.

OBTENGA UNA DEMO
* No compartimos su información personal con nadie. Consulte nuestra Política de privacidad para más información.