En 2018, se promulgó la Ley General de Protección de Datos (Ley n.º 13.709/2018 – “LGPD”), que regula las prácticas relacionadas con el tratamiento de datos personales en general y ya no escaso y sectorial, como se regulaba hasta entonces el derecho a la privacidad y protección de datos en Brasil. El 18 de septiembre de 2020 entró en vigor la LGPD, con excepción de los artículos 52, 53 y 54 de la LGPD, que versan sobre sanciones administrativas y están vigentes desde el 1 de agosto de 2021, por medio de la Ley n.º 14.010/2020.
La LGPD establece un nuevo marco legal que observar en las operaciones de tratamiento de datos personales y establece, entre otros, los derechos de los titulares de datos personales, las bases legales aplicables a la protección de datos personales, los requisitos para obtener el consentimiento, las obligaciones y requisitos relativos a incidentes de seguridad y fuga y transferencia de datos, así como la autorización para la creación de la Autoridad Nacional de Protección de Datos, encargada de elaborar directrices y aplicar sanciones administrativas en caso de incumplimiento de la LGPD. El 26 de agosto de 2020, el ejecutivo federal emitió el Decreto n.º 10.474/2020 que aprueba la estructura regimental y el cuadro demostrativo de cargos comisionados y funciones de confianza de la Autoridad Nacional de Protección de Datos (“ANPD”).
La Compañía recopila, utiliza, procesa, almacena y gestiona datos personales en el curso normal de sus negocios. Puede que dichos datos personales sean tratados en disconformidad con la legislación y están sujetos a incidentes de seguridad, en especial invasión, violación, bloqueo, secuestro o fuga. La Compañía también debe proporcionar un entorno seguro para el tratamiento de los datos de los titulares. También será necesaria la inversión para mantener las condiciones técnicas y administrativas de seguridad de la información y protección de datos personales en la Compañía, incluso para el soporte de su estructura de gobernanza corporativa para la protección de datos personales. Asimismo, de acuerdo con la LGPD, la Compañía tiene el deber legal de mantener un canal de comunicación con los titulares de los datos personales sobre los que realiza actividades de tratamiento.
La LGPD también establece que se debe proporcionar a los interesados la siguiente información, incluso por medio de avisos de privacidad: (i) finalidad(es) específica(s) del tratamiento; (ii) medios y duración del tratamiento; (iii) identificación del responsable del tratamiento de datos; (iv) información de contacto del responsable del tratamiento de datos; (v) información sobre el intercambio de datos personales con terceros y el propósito; y (vi) responsabilidad de los agentes de tratamiento involucrados.
Desde agosto de 2021, con la entrada en vigor de las sanciones de la LGPD, la Compañía y sus filiales podrán ser objeto de sanciones, de forma gradual, individual o acumulativa, de (i) advertencia, con indicación del plazo para la adopción de medidas correctivas, (ii) obligación de comunicar el incidente, (iii) suspensión parcial del funcionamiento de la base de datos a que se refiere la infracción por un plazo máximo de 6 (seis) meses, prorrogable por igual período, hasta que la actividad de tratamiento sea regularizada por el controlador del tratamiento, (iv) suspensión del ejercicio de la actividad de tratamiento de datos personales a la que se refiere la infracción por un plazo máximo de 6 (seis) meses, prorrogable por igual período, (v) bloqueo temporal o eliminación de los datos personales, y (vii) multa de hasta el 2% (dos por ciento) de la facturación de la empresa, grupo o conglomerado en Brasil en su último ejercicio, excluidos los impuestos, hasta el monto global de R$ 50.000.000,00 (cincuenta millones de reales) por infracción.
Independientemente de la aplicabilidad de las sanciones administrativas, el incumplimiento de cualesquiera de las disposiciones previstas en la LGPD implica los siguientes riesgos: (i) la interposición de demandas judiciales, individuales o colectivas, reclamando el resarcimiento de daños derivados de violaciones, con base no solo en la LGPD, sino también en la escasa y sectorial legislación en materia de protección de datos aún vigente; y (ii) la aplicación de las sanciones previstas en el Marco Civil da Internet, en caso de violación de sus disposiciones, en particular las normas de seguridad para el almacenamiento en línea de la información.
Asimismo, la Compañía podrá ser responsabilizada por los daños materiales, morales, individuales o colectivos causados y ser considerada solidariamente responsable de los daños materiales, morales, individuales o colectivos causados por la Compañía y sus filiales, debido al incumplimiento de las obligaciones establecidas por la LGPD. De esta forma, las fallas en la protección de los datos personales tratados por la Compañía, así como la inadecuación a la legislación aplicable, pueden dar lugar a elevadas multas, divulgación del incidente al mercado, eliminación de los datos personales de la base, e incluso la suspensión de sus actividades de tratamiento, lo que podría afectar negativamente a la reputación; imagen y resultados de la Compañía.