FAQ LGPD - Es - METARH

PREGUNTAS
FRECUENTES
SOBRE
LA LGPD

PREGUNTAS
FRECUENTES
SOBRE LA LGPD

1 - ¿Qué es la LGPD?

La Ley General de Protección de Datos, conocida como la Ley de Datos Personales, fue creada para proteger los datos de cada individuo y cambió la forma en que las organizaciones trabajan y operan con reglas sobre recopilación, almacenamiento, procesamiento e intercambio de datos.

2 – ¿A quién se aplica la nueva Ley General de Protección de Datos Personales (LGPD)?

La Ley se aplica a las personas físicas y jurídicas de derecho público y privado, que realicen el procesamiento de datos, así como a las personas físicas a las que se les recojan sus datos, independientemente del medio (físico o digital), del país de sede de la persona jurídica o del país donde se encuentran los datos.

03 – ¿Qué son los datos personales?

Cualquier información que pueda conducir a la identificación de una persona, directa o indirectamente (identificada o identificable), por referencia a un nombre, un número de identificación o uno o más elementos específicos de su identidad física, fisiológica, psíquica, económica, cultural o social.

04 – ¿Qué son los datos personales sensibles?

Se trata de datos personales sobre origen racial o étnica, convicciones religiosas, opinión política, afiliación a un sindicato u organización de carácter religioso, filosófico o político, datos relacionados con la salud, la vida o la orientación sexual, datos genéticos o biométricos, cuando estén vinculados a una persona natural. Son aquellos que, de ser expuestos o compartidos, pueden tener un impacto en la vida personal y/o profesional, como por ejemplo los datos registrados por un hospital o médico.

Al no permitir la identificación de su respectivo Titular, los datos anonimizados no están sujetos a la aplicación de la LGPD, excepto cuando hubo una reversión del proceso de anonimización al que fueron remitidos dichos datos.

05 – ¿La LGPD solo se aplica al procesamiento de datos personales recopilados en Internet?

No. La LGPD es aplicable a cualquier operación para el procesamiento de datos personales que se hayan sido recopilados dentro del territorio brasileño o que tengan el propósito de ofrecer bienes o servicios a personas ubicadas en Brasil, independientemente de que estos datos personales hayan sido recopilados fuera de línea o en línea, en medios físicos o digitales.

06 – ¿Qué es el “procesamiento de datos”?

Es toda la operación que se realiza desde la recopilación, uso, transmisión, procesamiento y archivo de los datos hasta su eliminación.

07 – ¿En qué casos de procesamiento de datos personales no se aplicará la LGPD?

Son los casos en los que se realiza el procesamiento de datos personales:

A) Por una persona física con fines privados y no comerciales, por ejemplo, la recopilación de datos personales de los miembros de la familia para armar un árbol genealógico;
B) Con fines exclusivamente periodísticos, artísticos y académicos;
C) Por el Poder Público en el caso de seguridad pública, defensa nacional, seguridad del Estado y actividades de investigación y represión de infracciones penales. Los datos con origen y destino en otros países, que sólo transitan por el territorio nacional, sin que se realice aquí ninguna operación de procesamiento, pueden no estar sujetos a la aplicación de la LGPD, siempre que el país de origen tenga un nivel de protección similar al previsto en la LGPD.

08 – ¿Cuáles son los principales actores en el procesamiento de datos personales, según la LGPD?

Los principales son el titular, el controlador, el operador y el responsable.

09 – Cuando se logra el propósito de procesar datos personales, ¿se eliminan los datos?

El Controlador es responsable de garantizar que los datos personales sean eliminados una vez finalizado su procesamiento dentro del ámbito y límites técnicos de las actividades, estando autorizada la conservación para los siguientes fines: cumplimiento de una obligación legal o reglamentaria por parte del Controlador; estudio por parte de un organismo de investigación; transferencia a terceros y uso exclusivo del Controlador (datos anonimizados).

10 – ¿La empresa mantiene registros de las operaciones de procesamiento de datos personales?

El controlador y el operador deben llevar un registro de las operaciones de procesamiento de datos personales que realizan, especialmente cuando se basan en un interés legítimo.

11 – ¿Dispone la empresa de un canal de comunicación donde el titular de los datos personales tenga fácil acceso a la información sobre el procesamiento de sus datos?

La empresa pondrá a disposición los datos de contacto del DPO en el sitio web en caso de que sea necesario realizar una consulta sobre el cumplimiento de la ley.

12 – ¿La empresa pone a disposición una persona responsable del procesamiento de datos personales?

Sí, la empresa debe contratar un DPO para realizar esta función.

13 – ¿Cómo debe proceder el Titular a la hora de identificar la fuga de sus datos?

El Titular podrá ponerse en contacto con el Controlador responsable del procesamiento objeto de la incidencia (fuga), solicitando formalmente las correcciones y controles necesarios. El DPO será el contacto en esta situación y deberá tomar las medidas necesarias.

14 – ¿Quién es el DPO? ¿Y por qué es importante?

El denominado Delegado de Protección de Datos (DPO) corresponde, en la legislación brasileña, al supervisor de los datos. Es el profesional que dentro de una empresa se encarga de atender los temas relacionados con la protección, evitando la vulnerabilidad de los datos de la organización y de sus clientes.

15 – Si el procesamiento de datos personales no se realiza de acuerdo con la LGPD, ¿quién será el responsable?

El Controlador o el Operador es responsable de los daños que surjan de la violación de la LGPD. El Supervisor de datos también puede ser sancionado si da una guía incorrecta al controlador x operador x titular. El Operador responderá conjuntamente con el Controlador cuando este no cumpla con la LGPD o cuando no haya seguido las instrucciones previamente dadas por el Controlador. La Autoridad Nacional podrá enviar al responsable un informe con las medidas oportunas para darlo por terminado.

16 – ¿Cuáles son las sanciones que se pueden aplicar a quienes violen la LGPD?

Las siguientes sanciones administrativas están previstas en la nueva ley:

I – Advertencia, con la indicación de un plazo para la adopción de medidas correctivas;
II – Multa simple de hasta el 2% de los ingresos de la persona jurídica de derecho privado, grupo o conglomerado en Brasil, en el último año fiscal, sin impuestos y
limitada a R$ 50.000.000,00, por infracción;
III – multa diaria, observando el límite total a que se refiere el párrafo anterior;
IV – Publicidad de la infracción, después de verificación y confirmación;
V – Bloqueo de los datos personales a los que se refiere la infracción hasta su regularización;
VI – Eliminación de los datos personales a los que se refiere la infracción. Las sanciones se aplicarán de forma gradual, aislada o acumulativa, según las
peculiaridades del caso específico y considerando su gravedad y naturaleza. Además de las sanciones administrativas, el infractor podrá responder ante los tribunales por
las repercusiones derivadas del incumplimiento de la LGPD, individual o colectivamente.

Como hemos notado, estas sanciones son pecuniarias y también reputacionales, ya que la publicidad de un incidente de seguridad podrá dañar
la credibilidad de una empresa. Además, es importante resaltar que los montos derivados de la aplicación de sanciones pecuniarias no benefician directamente al titular y serán destinados al Fondo de Defensa de Derechos Difusos.

+55 11 5525 2711

Avenida Adolfo Pinheiro, 1.001 – Santo Amaro – 04733-100 – São Paulo – SP

MENU