Empresas que recopilan o procesan datos personales en Brasil, ya sea de ciudadanos brasileños o consumidores en el país, deben familiarizarse con la Ley General de Protección de Datos (LGPD), que ha sido la legislación principal del país sobre este tema desde 2020. Es crucial destacar que la ley puede tener alcance internacional, incluso si su empresa no tiene establecimiento en Brasil ni opera directamente en el país. Aunque la aplicabilidad se evalúa caso por caso, hemos elaborado un cuestionario (Q&A) para ayudar a evaluar las obligaciones de cumplimiento. Aquí hay algunas informaciones sobre la ley para empresas extranjeras, junto con seis escenarios clave que deben revisarse.
Aspectos básicos para empresas extranjeras
La LGPD se aplica a datos personales, definidos como «información sobre una persona natural identificada o identificable». Establece reglas sobre el procesamiento de datos, garantizando la seguridad adecuada de los datos personales, incluida la protección contra procesamiento no autorizado o ilegal y la pérdida accidental.
Además, la LGPD establece los principios y fundamentos legales para el procesamiento de datos en Brasil, los derechos de los titulares de datos, las obligaciones de los agentes de procesamiento y las sanciones y multas por incumplimiento. También crea la Autoridad Nacional de Protección de Datos, responsable de proporcionar reglas adicionales sobre la ley.
Las empresas deben cumplir la LGPD si realizan las siguientes actividades:
• Operaciones de procesamiento de datos personales en Brasil;
• Procesamiento de datos personales recopilados en Brasil; o
• Actividades de procesamiento de datos personales con el objetivo de ofrecer o proporcionar bienes o servicios a individuos en territorio brasileño o procesar datos personales de individuos en territorio brasileño.
Entonces, ¿qué significa esto para su negocio? Siga leyendo para conocer algunos ejemplos de cuándo podría tener obligaciones de cumplimiento bajo la LGPD.
¿La LGPD es aplicable a su negocio? 6 escenarios para considerar
1. Mi empresa contrata a un pequeño número de empleados en Brasil a través de un PEO/EOR para prestar servicios a nuestros clientes fuera de Brasil. No tenemos otras operaciones comerciales en Brasil.
Si su empresa tiene al menos un empleado trabajando en Brasil, incluso de forma remota, estará incluida en el ámbito de aplicación de la LGPD porque está procesando datos personales de un individuo ubicado en territorio brasileño.
2. Mi empresa tiene varios contratistas independientes en Brasil que atienden a nuestros clientes fuera de Brasil.
La LGPD probablemente será aplicable en este caso. Si su empresa tiene al menos una persona trabajando como contratista independiente en Brasil, incluso de forma remota, estará incluida en el ámbito de aplicación de la LGPD por la misma razón explicada anteriormente.
Aunque todos tus contratistas independientes en Brasil sean entidades comerciales, es probable que tu empresa aún procese algunos datos personales proporcionados por estos contratistas sobre sus propios empleados o subcontratados, como nombres completos, números de teléfono y direcciones de correo electrónico. Por lo tanto, tu empresa aún debería cumplir con la LGPD.
3. Mi empresa contrata empleados o contratistas independientes que son originarios de Brasil, pero que ya no residen en el país. No tenemos otros empleados o contratistas en Brasil, y no realizamos negocios en el país.
La LGPD aún podrá aplicarse a tu empresa. Si al menos uno de estos empleados o contratistas independientes estaba en Brasil cuando se recopilaron sus datos, es posible que tu empresa esté incluida en el alcance de la LGPD porque está procesando datos personales recopilados en territorio brasileño.
4. Mi empresa no tiene empleados o contratistas en Brasil, pero comercializamos nuestros productos/servicios para clientes brasileños.
Si una empresa vende sus productos o proporciona sus servicios a individuos en Brasil, se incluirá en el ámbito de la LGPD porque la empresa está procesando datos personales con el objetivo de ofrecer o proporcionar bienes o servicios, y procesa datos de individuos en territorio brasileño.
5. Mi empresa proporciona sus productos/servicios solo en línea, a través de su sitio web, un mercado y/o una tienda de aplicaciones. No tenemos una instalación en Brasil.
Si una empresa vende sus productos o proporciona sus servicios a individuos en Brasil, se incluirá en el ámbito de la LGPD, independientemente de cómo se estén vendiendo o suministrando esos servicios o bienes.
6. Mi empresa suministra productos/servicios solo a empresas en Brasil (es decir, somos una operación B2B).
La LGPD probablemente será aplicable a su negocio. Aunque su empresa sea B2B, probablemente encontrará y procesará algunos datos personales proporcionados por sus clientes sobre sus propios empleados o contratistas, como nombre completo, número de teléfono y email. Por lo tanto, su empresa debería cumplir con la LGPD, incluso si se considera un «procesador» mientras que la empresa brasileña se considera la «controladora».
Cuidado con las penalidades
Después de un período inicial de desarrollo de su propia estructura y personal, la Autoridad Nacional de Protección de Datos comenzó a aplicar multas y penalidades en 2023. Las sanciones administrativas que pueden aplicarse varían desde una simple advertencia hasta la suspensión parcial o total, o la prohibición de las actividades relacionadas con el procesamiento de datos en desacuerdo.
La Autoridad también puede imponer multas simples de hasta el 2% de los ingresos de la empresa en Brasil correspondientes al año financiero anterior, hasta un máximo total de R$50 millones de Reales (aproximadamente $10 millones de dólares americanos) por infracción, además de multas diarias, limitadas al mismo máximo de las multas simples.
¿Qué hacer si la LGPD es aplicable a su negocio?
Comprender y cumplir con la LGPD es crucial para las empresas extranjeras que realizan cualquier forma de actividad comercial en el territorio brasileño, ya sea a través de empleados, contratistas o comercio en línea. Con la interconexión de la economía digital global, es esencial que las empresas extranjeras reconozcan el alcance extraterritorial de leyes como la LGPD.
Asegurar la conformidad no solo mitiga los riesgos legales, sino que también mejora la reputación de su empresa al respeto de la protección de datos personales, una preocupación creciente para consumidores y socios comerciales en todo el mundo.
Si cree que la LGPD puede aplicarse a su negocio, debe trabajar con abogados experimentados para crear un plan de conformidad y considerar las siguientes acciones:
• Desarrollar e implementar políticas aplicables, incluyendo una política de privacidad de datos;
• Revisar y actualizar sus contratos con clientes, contratistas y empleados para garantizar el cumplimiento con la LGPD;
• Mapear y registrar los datos personales que se están procesando; y
• Evaluar la necesidad de contratar un Encargado de Protección de Datos.
Conclusión
Se necesita ayuda con la conformidad con la LGPD, nuestro equipo está a disposición para cualquier aclaración adicional, así como para ayudar con los procedimientos de cumplimiento de las obligaciones reglamentarias de la LGPD ante la ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br
Nuestro agradecimiento especial a Nan Sato de Fisher & Phillips por su contribución como coautora de este artículo.