LGPD y Cookies: lo que necesitas saber para cumplir con la ley

En el mundo digital de hoy, la protección de datos personales nunca ha sido tan crucial. La Ley General de Protección de Datos (LGPD), sancionada en Brasil en agosto de 2018 (Ley nº 13.709/2018) y en vigor desde septiembre de 2020, es un hito en la legislación brasileña. Establece reglas detalladas para la recolección, almacenamiento, tratamiento y compartición de datos personales, colocando al individuo en el centro del control de sus informaciones personales. La LGPD afecta no solo a empresas brasileñas, sino a cualquier entidad que procese datos de individuos en Brasil, independientemente de su ubicación geográfica.

LGPD y Su Contexto Histórico

El viaje de la LGPD comenzó como respuesta a la creciente preocupación global por la privacidad de datos. Inspirada en regulaciones internacionales, como el Reglamento General sobre la Protección de Datos (GDPR) de la Unión Europea, la LGPD fue creada para establecer un equilibrio entre la libre circulación de datos y la protección de la privacidad y libertad de los ciudadanos. Este movimiento refleja una tendencia global de fortalecer las leyes de protección de datos, otorgando a los individuos más control sobre sus informaciones personales.

La LGPD se basa en el artículo 5º de la Constitución Federal, que garantiza la inviolabilidad de la intimidad, de la vida privada, del honor y de la imagen de las personas, así como el derecho a indemnización por el daño material o moral resultante de su violación. La LGPD también se fundamenta en el Marco Civil de Internet (Ley nº 12.965/2014), que establece los principios, garantías, derechos y deberes para el uso de internet en Brasil, incluyendo la protección de la privacidad y de los datos personales de los usuarios.

Comparación con el GDPR

Aunque la LGPD ha sido fuertemente influenciada por el GDPR, existen diferencias notables. Por ejemplo, la LGPD es más flexible en relación al consentimiento para el procesamiento de datos y ofrece un enfoque más amplio respecto a las bases legales para el procesamiento de datos. Además, mientras que el GDPR se centra en entidades dentro de la Unión Europea, la LGPD tiene un alcance más amplio, afectando a cualquier empresa que procese datos de individuos en Brasil.

ANPD

La Autoridad Nacional de Protección de Datos (ANPD) es el órgano responsable de supervisar, interpretar y aplicar las leyes de la LGPD en Brasil. La ANPD actúa como un órgano regulador, ofreciendo directrices para organizaciones, tratando reclamaciones e infracciones, y asegurando que los derechos de los titulares de los datos sean respetados. La creación de la ANPD es un paso fundamental para la efectiva implementación de la LGPD, asegurando que las normas se apliquen de manera consistente y justa.

Conceptos, Principios y Fundamentos

La LGPD define algunos conceptos importantes para la comprensión y aplicación de la ley, tales como:

  • Dato personal: es cualquier información relacionada con una persona natural identificada o identificable, como nombre, CPF, dirección, correo electrónico, teléfono, entre otros.
  • Dato personal sensible: es aquel que se refiere a aspectos íntimos o discriminatorios de una persona, como origen racial o étnico, convicción religiosa, opinión política, afiliación a sindicato o a organización de carácter religioso, filosófico o político, dato referente a la salud o a la vida sexual, dato genético o biométrico, y otros.
  • Dato anonimizado: es aquel que no permite la identificación del titular, sea por medio de técnicas de anonimización, que son irreversibles, o de pseudonimización, que son reversibles.
  • Tratamiento de datos: es toda operación realizada con datos personales, como recolección, almacenamiento, uso, transmisión, eliminación, entre otros.
  • Titular de los datos: es la persona natural a quien se refieren los datos personales.
  • Controlador de los datos: es la persona natural o jurídica, pública o privada, que toma las decisiones sobre el tratamiento de los datos personales.
  • Operador de los datos: es la persona natural o jurídica, pública o privada, que realiza el tratamiento de los datos personales en nombre del controlador.
  • Encargado de los datos: es la persona indicada por el controlador para actuar como canal de comunicación entre el controlador, los titulares de los datos y la ANPD.

La LGPD también establece algunos principios que deben orientar el tratamiento de los datos personales, tales como:

  • Finalidad: el tratamiento de los datos debe tener propósitos legítimos, específicos, explícitos e informados al titular.
  • Adecuación: el tratamiento de los datos debe ser compatible con las finalidades informadas al titular.
  • Necesidad: el tratamiento de los datos debe limitarse al mínimo necesario para la realización de las finalidades.
  • Libre acceso: el titular debe tener acceso facilitado y gratuito a sus datos, así como a la forma y duración del tratamiento.
  • Calidad de los datos: el controlador debe garantizar la exactitud, claridad, relevancia y actualización de los datos, de acuerdo con la necesidad y para el cumplimiento de la finalidad del tratamiento.
  • Transparencia: el titular debe tener informaciones claras, precisas y fácilmente accesibles sobre el tratamiento de sus datos, así como sobre los respectivos agentes de tratamiento.
  • Seguridad: el controlador y el operador deben adoptar medidas técnicas y administrativas aptas para proteger los datos de accesos no autorizados y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión.
  • Prevención: el controlador y el operador deben adoptar medidas para prevenir la ocurrencia de daños a causa del tratamiento de los datos.
  • No discriminación: el tratamiento de los datos no debe realizarse para fines ilícitos o abusivos, que violen los derechos humanos, la dignidad y el ejercicio de la ciudadanía.
  • Responsabilización y rendición de cuentas: el controlador y el operador deben demostrar la adopción de medidas eficaces y capaces de comprobar la observancia y el cumplimiento de las normas de protección de datos.

La LGPD también se fundamenta en algunos valores y objetivos, que justifican su existencia y su aplicación, tales como:

  • Respeto a la privacidad: la privacidad es un derecho fundamental que asegura la autonomía, la libertad y la intimidad de las personas, así como la protección de sus datos personales.
  • Autodeterminación informativa: la autodeterminación informativa es el poder que las personas tienen de controlar sus datos personales, pudiendo decidir sobre su recolección, su uso, su compartición y su eliminación.
  • Libre desarrollo de la personalidad, de la identidad y de la dignidad de la persona humana: la dignidad de la persona humana es un valor supremo que reconoce la importancia y el respeto que cada persona merece, independientemente de sus características o condiciones personales, sociales, económicas o culturales.
  • Libre iniciativa, libre competencia y defensa del consumidor: la LGPD también busca promover el desarrollo económico y tecnológico, estimulando la innovación y la competitividad de las empresas, así como protegiendo los derechos e intereses de los consumidores, que son los titulares de los datos personales.

Consentimiento, Derechos del Titular y Obligaciones

Uno de los aspectos más significativos de la LGPD es el énfasis en el consentimiento claro e inequívoco del titular de los datos. Las empresas deben informar a los titulares sobre la recolección y uso de sus datos y obtener su consentimiento explícito. Además, la LGPD refuerza los derechos de los titulares, incluyendo el derecho de acceso, corrección, eliminación, portabilidad de los datos, y la posibilidad de revocar el consentimiento en cualquier momento.

Las obligaciones de las empresas bajo la LGPD son extensas. Deben garantizar la seguridad de los datos, reportar violaciones de datos en un plazo determinado, y mantener registros detallados de actividades de procesamiento de datos. La nominación de un Encargado de Protección de Datos (DPO) es obligatoria para ciertas empresas, sirviendo como un punto de contacto entre la empresa, los titulares de los datos y la ANPD.

LGPD e Cookies

LGPD y Tecnología

Rol de la Tecnología en la Conformidad con la LGPD

La tecnología juega un papel crucial en la conformidad con la LGPD. Herramientas y soluciones tecnológicas, como la criptografía y la anonimización de datos, son esenciales para proteger datos personales y garantizar la seguridad de la información. Además, los sistemas de TI deben ser diseñados y operados con la privacidad en mente, un concepto conocido como «privacy by design». Esto significa que la protección de datos debe ser una consideración integrada en el desarrollo de productos y servicios, y no solo un añadido.

Entre las tecnologías que pueden ayudar en la conformidad con la LGPD, destacan:

  • La criptografía: es la técnica que transforma los datos en códigos, de forma que impide o dificulta su acceso, uso o compartición por personas no autorizadas. La criptografía puede aplicarse tanto a los datos en tránsito como a los datos en reposo, aumentando su seguridad y confidencialidad.
  • La anonimización: es la técnica que modifica o elimina los datos de manera que no sea posible identificar al titular, ya sea por medio de técnicas irreversibles, como la sustitución, eliminación o agregación de los datos, o por medio de técnicas reversibles, como la pseudonimización, que utiliza identificadores sustitutos, que pueden revertirse mediante el uso de una clave. La anonimización puede aplicarse tanto a los datos en tránsito como a los datos en reposo, reduciendo su alcance de aplicación de la LGPD y los riesgos de violación de la privacidad.
  • La auditoría: es la técnica que verifica y evalúa el cumplimiento de las normas y buenas prácticas de protección de datos, por medio de pruebas, análisis, informes, recomendaciones, etc. La auditoría puede realizarse tanto internamente como externamente, por profesionales, servicios o entidades especializados, aumentando la confianza y transparencia en el tratamiento de los datos.

Cookies y Adaptación a la LGPD

Las cookies son pequeños archivos que almacenan información sobre el comportamiento de los usuarios en internet, como las páginas visitadas, los productos buscados o los anuncios clicados, por ejemplo. Las cookies son enviadas por los sitios web a los navegadores de los usuarios, que los almacenan en sus dispositivos, como computadoras, móviles y tabletas. Las cookies permiten que los sitios reconozcan a los usuarios, personalicen el contenido, ofrezcan funcionalidades, mejoren la experiencia, optimicen el rendimiento, y mucho más. Las cookies pueden clasificarse de acuerdo con su origen, su propósito y su necesidad.

De acuerdo con su origen, las cookies pueden ser:

  • Cookies Propias o Primarias: son creadas y gestionadas directamente por el sitio que el usuario está visitando. Son esenciales para muchas funciones básicas de los sitios, como mantener a los usuarios conectados y recordar preferencias de navegación. Bajo la LGPD, es importante que los sitios informen a los usuarios sobre el uso de estas cookies y obtengan consentimiento cuando sea necesario, especialmente si las cookies se utilizan para fines más allá de las funcionalidades básicas del sitio.
  • Cookies de Terceros: son configuradas por un dominio diferente al que el usuario está visitando. Se utilizan frecuentemente para publicidad y seguimiento. La LGPD exige una atención especial a estas cookies, ya que recopilan datos que pueden ser utilizados para perfilar el comportamiento del usuario. Los sitios deben asegurar que los usuarios estén conscientes de estas cookies y obtengan su consentimiento explícito antes de utilizarlas.

De acuerdo con su finalidad, las cookies pueden ser:

  • Cookies de sesión: son aquellas que son temporales y que se borran cuando el usuario cierra el navegador o el sitio.
  • Cookies persistentes: son aquellas que son permanentes y que permanecen en el dispositivo del usuario hasta que se borran manualmente o automáticamente, después de un determinado período de tiempo.
  • Cookies de preferencias: son aquellas que almacenan las preferencias del usuario, como el idioma, el tema y el diseño.
  • Cookies de seguridad: son aquellas que protegen al usuario y al sitio de actividades maliciosas, como ataques, fraudes e intrusiones.
  • Cookies de autenticación: son aquellas que identifican al usuario y permiten su acceso a áreas restringidas o personalizadas del sitio, como cuentas, perfiles y carritos.
  • Cookies de rendimiento: son aquellas que miden el rendimiento del sitio, como el tiempo de carga, el número de visitas y la tasa de rechazo.
  • Cookies de análisis: son aquellas que analizan el comportamiento del usuario en el sitio, como las páginas visitadas, los productos buscados y los anuncios clicados.
  • Cookies de publicidad: son aquellas que muestran anuncios personalizados al usuario, de acuerdo con sus intereses, hábitos, preferencias, etc.

De acuerdo con su necesidad, las cookies pueden ser:

  • Cookies necesarias: son aquellas que son esenciales para el funcionamiento del sitio, como las cookies de seguridad, de autenticación y de sesión. Estas cookies no requieren el consentimiento del usuario para ser instaladas o utilizadas.
  • Cookies no necesarias: son aquellas que no son esenciales para el funcionamiento del sitio, pero que pueden mejorar la experiencia, la funcionalidad, el rendimiento, el análisis, la publicidad, etc. Estas cookies requieren el consentimiento del usuario para ser instaladas o utilizadas.

La LGPD considera las cookies como datos personales, cuando permiten la identificación o la identificabilidad del usuario, ya sea de forma directa o indirecta, ya sea de forma aislada o combinada con otras informaciones. Por lo tanto, las cookies están sujetas a las normas y buenas prácticas de protección de datos, y deben respetar los derechos e intereses de los titulares de los datos.

La adaptación de sitios web a la LGPD es necesaria y debe hacerse de manera responsable. Para ilustrar con ejemplos muy populares, herramientas como el Pixel de Facebook y Google Analytics usan cookies para rastrear y analizar el comportamiento del usuario. Bajo la LGPD, los sitios que utilizan estas herramientas deben asegurarse de que estén en conformidad, lo que generalmente significa ajustar las configuraciones de privacidad y proporcionar informaciones claras y opciones de consentimiento a los usuarios.

Para facilitar la conformidad con la LGPD en lo que respecta al uso de cookies, nuestro próximo artículo se centrará en plugins y herramientas para WordPress que ayudan en la gestión de cookies y adaptación a la LGPD. Estas herramientas pueden simplificar significativamente el proceso de hacer un sitio web compatible con las exigencias de la ley.

Sanciones y Penalidades

El incumplimiento de la LGPD puede resultar en una serie de sanciones y penalidades. Estas pueden variar desde advertencias hasta multas de hasta el 2% de la facturación de la empresa, limitadas a 50 millones de reales por infracción. Además de las multas, las empresas también pueden enfrentar la prohibición parcial o total del ejercicio de actividades relacionadas con el tratamiento de datos. Estas penalidades resaltan la seriedad con la que la LGPD trata la protección de datos personales y la importancia de estar en conformidad.

Preguntas frecuentes

¿Qué es la LGPD?

La Ley General de Protección de Datos, promulgada en Brasil en 2018, establece reglas detalladas para la recolección, almacenamiento, tratamiento y compartimiento de datos personales, protegiendo la información personal de los individuos.

¿La LGPD es similar al GDPR de la Unión Europea?

Sí, la LGPD fue influenciada por el GDPR, pero hay diferencias, como una mayor flexibilidad en el consentimiento para el procesamiento de datos.

¿Quién supervisa la aplicación de la LGPD?

La Autoridad Nacional de Protección de Datos (ANPD) es responsable de supervisar, interpretar y aplicar las leyes de la LGPD en Brasil.

¿Cuáles son los principios fundamentals de la LGPD?

La LGPD establece principios como finalidad, adecuación, necesidad, acceso libre, calidad de los datos, transparencia, seguridad, prevención, no discriminación y responsabilidad.

¿Qué son datos personales según la LGPD?

Los datos personales son cualquier información relacionada con una persona natural identificada o identificable, como nombre, CPF, dirección, correo electrónico, teléfono, etc.

¿Cómo trata la LGPD las cookies?

La LGPD considera las cookies como datos personales cuando permiten identificar al usuario. Los sitios deben informar sobre el uso de cookies y obtener consentimiento explícito, especialmente para cookies de terceros o para fines de seguimiento.

¿Cuáles son las penalidades por incumplir la LGPD?

Las penalidades incluyen advertencias, multas de hasta el 2% de los ingresos de la empresa, limitadas a R$ 50 millones por infracción, e incluso la prohibición parcial o total de actividades relacionadas con el tratamiento de datos.

¿El consentimiento es siempre necesario para el tratamento de datos?

La LGPD requiere consentimiento claro e inequívoco del titular de los datos para la recolección y uso de sus datos, con derechos fortalecidos para los titulares, incluyendo acceso, corrección, eliminación y portabilidad de datos.

¿Cómo ayuda la tecnología a cumplir con la LGPD?

Tecnologías como la encriptación, anonimización de datos y sistemas diseñados con privacidad integrada («privacy by design») son esenciales para proteger datos personales y asegurar el cumplimiento de la LGPD.

Conclusión

La LGPD representa un avance significativo en la protección de datos personales en Brasil, alineando al país con las tendencias globales de privacidad y seguridad de la información. Para empresas e individuos, entender y adaptarse a la LGPD no es solo una cuestión de conformidad legal, sino también una oportunidad de fortalecer la confianza con clientes y usuarios, demostrando compromiso con la protección de sus informaciones personales.