Protección de datos personales en la sociedad globalizada – Parte II

Whatsapp
Facebook
Twitter
Instagram
Telegram

Por Renato Afonso Gonçalves*

En el artículo antecedentes hacemos un recorrido histórico de la protección de datos personales, culminando con la edición del Reglamento General de Protección de Datos – RGPD europeo, y la Ley General de Protección de Datos de Brasil – LGPD.

Como se ve, el RGPD europeo, Reglamento (UE) 2016/679, es quizás la ley de protección de datos más importante en la actualidad, ya que busca el equilibrio necesario entre el desarrollo de un enorme mercado digital y la protección de datos personales, generando reflejos incluso para aquellas naciones que mantienen relaciones comerciales con Europa. Este diplomado es el resultado del proceso de maduración de experiencias en el tratamiento de la materia en los campos legislativo, reglamentario y jurisprudencial.[i] Es el reconocimiento de que la materia adquiere enormes proporciones relativas a los aspectos económicos, sociales y culturales.

El RGPD, que entró en vigor el 25 de mayo de 2018, está compuesto por 173 considerandos y 99 artículos, lo que denota no solo la gran extensión del título sino la preocupación del legislador europeo en detallar su contenido con el fin de facilitar su aplicación. aunque se prevé una apertura legislativa y reglamentaria para que los Estados miembros mejoren su aplicación en sus respectivos territorios.[ii]

En esta ocasión el Reglamento Europeo trata de establecer el ámbito material y territorial de aplicación de las normas; establecer definiciones, principios y condiciones para el tratamiento de diferentes categorías de datos personales; conferir derechos de los titulares de datos personales; establecer reglas relativas a los responsables de la manipulación y sus subcontratistas; establecer reglas para la transferencia internacional de datos personales; establecer mecanismos de control público y administrativo y sanciones por la violación de sus preceptos; y normalizar la protección de datos en el ámbito de las relaciones laborales.

En un resumen muy ajustado, intentaremos señalar los principales aspectos del nuevo diploma europeo.

Cabe señalar que el RGPD tiene por objeto “contribuir a la creación de un espacio de libertad, seguridad y justicia y de unión económica, al progreso económico y social, a la consolidación y convergencia de las economías a nivel de los mercado interior y al bienestar de las personas físicas”.[iii] Con ello, no se trata de prohibir actividades económicas en el mundo digital, al contrario, se trata de garantizar que estas actividades se realicen con el supuesto de respeto al derecho fundamental a la protección de datos, que, en consecuencia, también garantiza una competencia leal entre los agentes económicos. Tal y como establece el Considerando 7 del RGPD, debe reforzarse “la seguridad jurídica y la seguridad práctica de las personas físicas, los operadores económicos y las autoridades públicas”.

El título objeto de examen establece un concepto amplio de “datos personales”[iv], que se considera cualquier información relativa a una persona física identificada o identificable (persona física que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, identificadores electrónicos o a uno o más elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esa persona física).

Se utilizó la misma amplitud para la conceptualización del tratamiento de datos como una operación o conjunto de operaciones realizadas sobre datos personales o sobre conjuntos de datos personales, por medios automatizados o no automatizados, tales como la recolección, registro, organización, estructuración, conservación, adaptación o alteración, recuperación, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, comparación o interconexión, limitación, supresión o destrucción.[V] Con ello, queda claro que el RGPD ha ampliado mucho su espectro de incidencia, afectando a las actividades profesionales o comerciales que tengan como presupuesto o instrumento de desarrollo alguna forma de manipulación de datos personales.

Cabe señalar que el RGPD estableció una categorización de los datos personales y distintos espectros de protección, en función de la expresión de la privacidad o intimidad del sujeto. Son los que la doctrina denomina datos personales sensibles (intimidad) o no sensibles (privacidad). Por ello, el artículo 9 del RGPD establece como regla general que “el tratamiento de datos personales (sensibles) que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como el tratamiento de datos genéticos datos personales, datos biométricos para identificar de manera única a una persona, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona”, por lo tanto, de mayor responsabilidad por sus violaciones.

Otro aspecto relevante se refiere al tratamiento lícito[VI] de datos personales, lo que sólo ocurre si el respectivo titular ha dado el debido consentimiento para uno o más fines específicos, como la fase precontractual o la ejecución de un contrato; para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento; para la defensa de intereses vitales del interesado o de otra persona física; para el ejercicio de funciones de interés público o el ejercicio de la autoridad pública conferida al responsable del tratamiento; para los intereses legítimos perseguidos por el responsable del tratamiento o por terceros, salvo que prevalezcan los intereses o los derechos y libertades fundamentales del titular que requieran la protección de los datos personales, en particular si el titular es un niño[Vii], hipótesis no aplicable si el tratamiento de datos lo realizan las autoridades públicas en el ejercicio de sus funciones por medios electrónicos.

Así, el tratamiento de datos personales sólo puede realizarse de manera lícita, leal y transparente, con fines determinados, explícitos y legítimos, y no puede ser tratado posteriormente de forma incompatible con dichos fines. Los datos deben ser adecuados, pertinentes y limitados a los fines previstos (minimización de datos) para los que son tratados, y deben mantenerse exactos, actualizados y conservados de forma que permitan la identificación de sus titulares durante el plazo necesario para los fines. para los que son tratados (limitación de la conservación), pudiendo ser conservados durante largos períodos, siempre que sean tratados exclusivamente con fines de archivo de interés público, o con fines de investigación científica, histórica o estadística.

La seguridad gana protagonismo en el RGPD, con el objetivo de proteger los datos personales del tratamiento no autorizado o ilícito, así como de su pérdida, destrucción o daño accidental, con la adopción de las medidas técnicas u organizativas adecuadas, por lo que se responsabiliza a todos los responsables del tratamiento. -responsable de la manipulación, exigiendo el registro de todas las actividades de tratamiento y gestión de riesgos, con la designación de un responsable y la notificación a las autoridades competentes de cualquier infracción.

Para hacer efectiva su normativa, el RGPD establece potentes sanciones por su infracción, permitiendo a los Estados miembros regular la materia en cada momento para ampliar el espectro de efectividad. Así lo dispone su artículo 58, otorgando a cada autoridad de sus Estados miembros la facultad de corrección mediante amonestaciones, amonestaciones, determinación para la adopción de procedimientos específicos, retiro de certificaciones, aplicación de cuantiosas multas pecuniarias (artículo 83[Viii]), y determinación de la suspensión del envío de datos a destinatarios en terceros países o a organismos internacionales.

Por último, se llama la atención sobre el aspecto de la territorialidad que tiene como objetivo proteger los datos personales de los residentes europeos en cualquier parte del mundo. El artículo 3 del RGPD prescribe que el título se aplica al tratamiento de datos de residentes europeos, independientemente de que el tratamiento tenga lugar dentro o fuera de la Unión Europea.

También prevé su aplicación cuando el responsable o encargado del tratamiento, no establecido en la Unión, ofrezca bienes o servicios en la Unión, o pretenda controlar la conducta del interesado, siempre que esta conducta tenga lugar en la Unión Europea. Por estos motivos, todas las personas que establezcan cualquier tipo de relación económica con la Unión Europea deberán observar necesariamente el RGPD.

Como resultado de este escenario, lo mismo se aplica a la transferencia de datos de personas que residen en Europa. Así lo determina el artículo 44 del RGPD, al prescribir que “cualquier transferencia de datos personales que sean o vayan a ser objeto de tratamiento con posterioridad a la transferencia a un tercer país o a una organización internacional sólo se lleva a cabo si, sin perjuicio de las demás disposiciones del presente reglamento, las condiciones establecidas en este capítulo son respetadas por el controlador y el procesador, incluso con respecto a las transferencias posteriores de datos personales del tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones de este capítulo se aplican de tal manera que no se comprometa el nivel de protección de las personas físicas garantizado por este reglamento”.

Después de un rápido análisis del RGPD, pasemos a la nueva LGPD brasileña.

Como se vio, la LGPD vino a integrar el marco legislativo existente hasta 2018 para la protección de datos personales, reforzando así la protección brasileña de la privacidad, la intimidad, el honor, la imagen y la dignidad de la persona humana.

La sociedad brasileña desea desde hace mucho tiempo un diploma específico sobre el tema, y ​​la edición del RGPD europeo precipitó su aprobación, en la medida en que se ha vuelto estratégico y vital para nuestra economía establecer niveles de protección similares al europeo, de modo que contribuir a la competitividad internacional de las empresas brasileñas.

Inicialmente, cabe señalar que la LGPD solo entrará en vigor en febrero de 2020, precisamente para que la sociedad brasileña y el mercado se adapten a los nuevos requisitos.

Es una ley que instituye principios a observar en la materia, estipulados en la lista de ejemplares del artículo 6, y que contempla la figura de la buena fe, perfilada y consolidada en el derecho civil.

Así, los principios expresados ​​en la LGPD son: meta – el tratamiento debe realizarse para fines legítimos, específicos, y sin posibilidad de manipulación incompatible con dichos fines; adecuación – el tratamiento debe ser compatible con los fines informados al interesado; necesidad – el tratamiento debe limitarse al mínimo necesario para el cumplimiento de los fines; acceso libre – se debe garantizar a los titulares la consulta fácil y gratuita sobre la forma y duración del tratamiento, así como el acceso a todos sus datos; calidad de datos – debe garantizarse la exactitud, claridad, pertinencia y actualidad de los datos; transparencia – debe garantizarse el suministro de información clara y de fácil acceso por parte de los titulares; seguridad – deben adoptarse medidas técnicas y administrativas capaces de proteger los datos del acceso no autorizado; prevención – se deben tomar medidas para prevenir la ocurrencia de daños debido al procesamiento de datos personales; no discriminación – imposibilidad de tratamiento con fines discriminatorios; responsabilidad y rendición de cuentas – demostración de medidas eficaces para observar y demostrar el cumplimiento de la normativa de protección de datos personales.

Estos principios guían todas las actividades que manejan datos personales y se combinan con el deber de privacidad por diseño e privacidad por defecto. privacidad por diseño o privacidad desde la concepción, es un concepto relacionado con la ingeniería de sistemas, que tiene en cuenta la privacidad en todo el proceso de construcción y ejecución (adoptando, por ejemplo, seudonimización y encriptación), respetando los valores humanos en todo el proceso. Privacidad por defecto o protección por defecto, implica que los responsables del tratamiento deben asegurarse de que los datos personales sean tratados con la máxima protección de la privacidad (solo se deben tratar los datos necesarios durante un período de conservación breve y con accesibilidad limitada) de forma que, por defecto, los datos personales no se a disposición de un número indefinido de personas. El RGPD, en su artículo 25, perfiló positivamente estos conceptos, cosa que no ocurría con la LGPD. Sin embargo, la conjunción de los artículos 6 y 46 de la LGPD permite inferir que estos principios/conceptos fueron adoptados por nuestra ley.

Al igual que el RGPD, nuestra ley establece el ámbito de su aplicación material y territorial, estableciendo definiciones, principios y condiciones para el tratamiento de distintas categorías de datos personales. Asimismo, otorga derechos a los titulares de datos personales, estableciendo reglas para los responsables del tratamiento y sus subcontratistas, y delineando mecanismos de control público y administrativo y sanciones por la violación de sus preceptos.

A diferencia del RGPD, nuestra ley postula el derecho fundamental a la autodeterminación informativa (artículo 2, II), lo que a nuestro juicio es un aspecto positivo, pues consolida en la cultura jurídica nacional este importante logro de la humanidad frente a las nuevas tecnologías. .

La novedosa ley brasileña de protección de datos personales se convierte en la ley General en la materia, que irradia mandatos a todas las ramas del derecho y debe ser aplicada e interpretada sistemáticamente desde los preceptos constitucionales de la materia. Por tanto, la LGPD tiene un carácter matricial que impactará en múltiples sectores de la economía y la actividad estatal.

Esta vez, como regla general, cualquier manejo, recolección o procesamiento de datos personales realizados en el territorio nacional, cuyos titulares se encuentren en Brasil, están sujetos a la ley brasileña, independientemente de la ubicación o nacionalidad de la persona que los maneja. Se exceptúa de su aplicación la manipulación por parte de una persona física para fines privados; realizadas con fines periodísticos, artísticos o académicos; realizadas con fines de seguridad pública, defensa nacional, seguridad del Estado o investigación y represión de infracciones penales, hipótesis que se sujetarán a reglas específicas, observando el debido proceso legal, los principios generales de protección y los derechos del titular.

La manipulación de datos personales de niños, niñas y adolescentes fue contemplada en la LGPD, que trata el tema en el artículo 14, recordando que en estos casos la ley debe ser aplicada e interpretada conforme al Estatuto del Niño y del Adolescente - ECA, y el Código Civil . A diferencia del RGPD, nuestra ley no ha fijado el límite de edad del interesado para promover el consentimiento de forma autónoma, únicamente estableciendo que “el tratamiento de datos personales de los menores deberá realizarse con el consentimiento expreso y destacado del menor de los padres”. o tutor legal” (§ 1 del artículo 14). Así, entendemos que el art. 2 de la ECA, que considera como niño a una persona hasta los doce años de edad.

A raíz de la RGPG, la ley brasileña no rehuyó enfrentar la cuestión de la anonimización de los datos, es decir, el uso de medios técnicos razonables disponibles en el momento del procesamiento, por lo que los datos pierden la posibilidad de asociación, directa o indirecta. , a un individuo. Como se ha señalado, estos datos no se consideran personales excepto cuando el proceso de anonimización puede revertirse, utilizando exclusivamente medios propios o mediante esfuerzos razonables, considerando factores objetivos como el costo y el tiempo para revertir el proceso de anonimización (pseudoanonimización).

Otro aspecto a destacar es el que se refiere a la responsabilidad civil por daño a los datos personales, materia tratada de manera muy similar a lo dispuesto por el Código de Protección al Consumidor - CDC. Por cierto, el texto del nuevo diploma tenía razón al enfatizar que las lesiones a los datos personales en las relaciones de consumo serán investigadas en integración con la CDC (artículo 45 de la LGPD).

Así, reconociendo la posibilidad de que se produzcan daños materiales, morales, individuales o colectivos por parte de los encargados del tratamiento, el artículo 40 de la LGPD establece la regla general de solidaridad entre el responsable y el operador cuando éste incumpla las obligaciones del la legislación en materia de protección de datos o cuando no haya seguido las instrucciones lícitas del responsable del tratamiento. Los responsables del tratamiento también son solidarios cuando intervienen directamente en el tratamiento que haya causado perjuicio al interesado.

Las excepciones a esta regla de solidaridad están previstas en el artículo 43 de la LGPD. Estos son: cuando el encargado del tratamiento (responsable u operador) acredite que no ha tratado los datos personales que le han sido asignados; cuando acredite que, aunque ha realizado el tratamiento de los datos personales que le han sido asignados, no ha habido vulneración de la legislación en materia de protección de datos; o acreditando que el daño se debe a la sola culpa del titular o de terceros.Para este sistema, la ley reserva la posibilidad de la acción de devolución, y la tutela colectiva en sede judicial con la aplicación de la CDC y la Ley de Acción Civil Pública.

Otra medida similar a la recomendada en la CDC es la que prevé la inversión de la carga de la prueba a favor del titular de los datos, cuando la alegación sea verosímil, falte la suficiencia a los efectos de la producción de la prueba, o cuando la producción de pruebas por parte del interesado resulte excesivamente gravosa.

A diferencia del RGPD, que prevé un plazo de 72 horas, la LGPD sólo prevé el deber del responsable del tratamiento de comunicar, en un plazo razonable, a la Autoridad Nacional y al interesado sobre la ocurrencia de un incidente de seguridad que pueda suponer un riesgo significativo. riesgo o daño. Nuestra ley ha fallado en este punto al no existir elementos para definir un plazo razonable, que posiblemente estará a cargo de la regulación por parte de la Autoridad Nacional. En este caso, la Autoridad Nacional podrá adoptar medidas análogas a las recordar consumista, como la amplia difusión del hecho en los medios de comunicación (hipótesis muy embarazosa para la imagen del responsable del tratamiento), así como otras medidas que estime necesarias para revertir o mitigar los efectos del incidente.

En cuanto a la transferencia internacional de datos personales (artículos 33 a 36), la ley brasileña siguió el camino del RGPD, permitiéndola solo para aquellos países u organizaciones internacionales que brindan un grado de protección de datos personales adecuado al previsto en la LGPD. o cuando el responsable del tratamiento ofrezca y acredite el cumplimiento, mediante cláusulas contractuales, de normas corporativas, sellos, certificados y códigos de conducta periódicamente emitidos, con contenido definido o verificado por la Autoridad Nacional.

Otro requisito indispensable para la transferencia internacional de datos personales es la necesidad del consentimiento expreso del interesado, el cual debe destacarse y diferenciarse de otras finalidades.

Por último, en materia de sanciones administrativas, la LGPD ha hecho bien en fijar cuantiosas sumas. Así, de acuerdo con cada caso concreto, la Autoridad Nacional, luego de concluido el procedimiento administrativo y garantizando la plena defensa, podrá fijar el apercibimiento; multa simple de hasta el 2% de la facturación de la persona jurídica privada, grupo o conglomerado en Brasil en su último ejercicio fiscal, limitada en total a R$ 50.000.000,00 por infracción; multa diaria; publicidad de la infracción y bloqueo de los datos personales a que se refiere la infracción hasta su regularización.

Como se ve, el mundo digital ha alcanzado un extraordinario grado de desarrollo. La creciente dependencia tecnológica de la humanidad solo aumenta la cantidad y el flujo de datos personales disponibles para las tecnologías disruptivas. Proteger la privacidad, la intimidad, la imagen y los datos personales es una tarea indispensable para el equilibrio necesario en el mundo posmoderno.

Por lo tanto, siguiendo el ejemplo de lo ocurrido en Europa, la sociedad civil y las empresas brasileñas deben adaptarse a la LGPD, como una necesidad urgente en el creciente mundo globalizado de la economía digital.

Por lo tanto, las empresas deben instituir o revisar la forma en que recopilan, manipulan, almacenan y procesan los datos personales. Esta adaptación es muy valiosa en todos los sentidos, desde consolidar la confiabilidad de estas empresas ante los consumidores y clientes, hasta la posibilidad de igualdad de condiciones para la competencia internacional. En este sentido, la protección de datos y compliance son supuestos básicos de la actividad empresarial en el siglo XXI.

La LGPD en muchos aspectos se acerca, porque en cierta medida se inspiró, del RGPD europeo. Sin embargo, a pesar de representar un buen comienzo, pensamos que la nueva ley dejaba mucho que desear en muchos aspectos, no regulando o regulando insuficientemente, materias como: los datos personales en las relaciones laborales; en el espectro de las investigaciones penales y de las infracciones administrativas; video vigilancia; derecho al olvido; biotecnología; perfilado; subcontratación; aspectos técnicos de seguridad, conducta y certificación; cooperación y coherencia; libertad de expresión e información; documentos públicos; tratamiento realizado por entidades religiosas, entre otros.

Es cierto que corresponderá a la doctrina ya la jurisprudencia superar los vacíos y antinomias que se deriven de esta situación. La propia creación de la Autoridad Nacional de Protección de Datos vinculada a la administración directa, en conjunto con la Presidencia de la República, pone en evidencia el mar de dificultades que se presentarán por delante. Era imperativo crear una autarquía especial con mayor independencia institucional, funcional y financiera, para adecuar nuestro sistema a los estándares internacionales.

Muy posiblemente veremos los conflictos de intereses económicos derivados de la aplicación de la LGPD llamando a las puertas de los tribunales superiores, como ocurrió con la Marca Civil en Internet y las relaciones en torno a la WhatsApp, que discute los límites de la intervención estatal en el desarrollo y uso de la criptografía. La ley positiva registral es el ejemplo más claro y flagrante de conflicto con la LGPD, especialmente en lo que se refiere al tema del consentimiento del titular de los datos personales.

Cuestiones como las que atañen a la actividad de Cambridge Analytica en el proceso de Brexit y en las elecciones estadounidenses, empiezan a levantarse en Brasil acusaciones de proliferación de noticias falsas en las elecciones presidenciales de 2018. La influencia jurídica estadounidense que trata el tema a la luz del derecho de propiedad contrasta con la concepción europea de enmarcar el derecho a la protección de datos personales en el ámbito de los derechos humanos. La esquizofrenia se vivía en el mundo jurídico del país (ley civil x derecho consuetudinario) influirá en gran medida en el futuro de la LGPD.

Brasil atraviesa una profunda crisis política, económica, social e institucional pocas veces vista en nuestra historia. El autoritarismo de los agentes públicos, el irrespeto flagrante al orden constitucional ya los derechos humanos, el odio y la intolerancia brotan día y noche en las calles y especialmente en el mundo digital.

Es en este escenario que nace la LGPD. Un buen comienzo, que podría ser mejor. Un futuro a construirse por caminos tortuosos, que requerirán mucho trabajo y superación del mundo jurídico para implementar la protección integral de los datos personales en Brasil.

*Renato Afonso Goncalves, abogado, es candidato a doctorado en Ciencias Histórico-Jurídicas en la Facultad de Derecho de la Universidad de Lisboa.


[i]Atención a las sentencias paradigmáticas del Tribunal de Justicia de la Unión Europea: Digital Rights Ireland, 2014 – Casos C-293/12 y C-594/12; Google España SL y Google Inc, 2014 (Asunto C-131/12); y Maximillian Schrems, de 2015 – Expediente C-362/2014. TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA. Disponible en: https://curia.europa.eu/jcms/jcms/j_6/pt/.

[ii]A modo de ejemplo, en Portugal se promulgó la Ley nº 58/2019, de 08 de agosto de 2019, que garantiza la implementación, en el ordenamiento jurídico nacional, del Reglamento (UE) 2016/679, relativo a la protección de las personas físicas con en lo que se refiere al tratamiento de datos personales y a la libre circulación de dichos datos. Disponible en: https://www.cnpd.pt/.

[iii]Considerando 2 del RGPD.

[iv]Artículo 4, 1, RGPD.

[V]Artículo 4 del RGPD.

[VI]Artículo 6 del RGPD.

[Vii]El artículo 8 del RGPD exige el consentimiento de los padres o tutores para el tratamiento de datos personales de personas menores de 16 años. Por otro lado, el reglamento permite que las leyes de los estados miembros reduzcan este límite, que no puede ser inferior a 13 años.

[Viii]Pueden variar desde 10 millones de euros o el 2% de la facturación anual global de la empresa, hasta 20 millones de euros o el 4% de las ventas anuales globales de la empresa.

Ver todos los artículos de

10 LO MÁS LEÍDO EN LOS ÚLTIMOS 7 DÍAS

Ver todos los artículos de

BUSQUEDA

Buscar

Temas

NUEVAS PUBLICACIONES

Suscríbete a nuestro boletín de noticias!
Recibe un resumen de artículos

directo a tu correo electrónico!