Proyecto de Ley de Inteligencia Artificial avanzó tramitación a Comisión de Hacienda de la Cámara de Diputados.
El miércoles 14 de mayo se registró un nuevo avance en la tramitación del proyecto de ley que busca regular los sistemas de Inteligencia Artificial (IA) en Chile. En esta oportunidad, la Comisión de Futuro, Ciencias, Tecnología, Conocimiento e Innovación de la Cámara de Diputadas y Diputadosaprobó el proyecto, permitiéndole continuar su curso legislativo.
Este proyecto establece un marco normativo para el funcionamiento de los sistemas de IA en el país, y su tramitación continúa ahora en la Comisión de Hacienda de la misma cámara. En caso de ser aprobado en esa instancia, será sometido a votación en la sala de la Cámara, y, de no haber inconvenientes u objeciones, posteriormente pasará al Segundo Trámite Constitucional en el Senado.
El desarrollo de este proyecto se enmarca en el creciente uso de tecnologías basadas en Inteligencia Artificial, cuyas implicancias —tanto positivas como negativas— ya se manifiestan en distintos ámbitos de la sociedad chilena.
El 20 de marzo del año en curso, se publicó en el Diario Oficial de la Federación (DOF) la Nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (NLFPDPPP); y, entra en vigor al día siguiente de su publicación, es decir el 21 de marzo de 2025. Queda abrogada la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
Destacamos las principales modificaciones que la NLFPDPPP presenta con respecto a la LFPDPPP:
Modificación/precisión en las definiciones de diversos conceptos:
Concepto
Antigua versión LFPDPPP
NLFPDPPP
Aviso de Privacidad
Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.
Documento a disposición de la persona titular de la información de forma física, electrónica o en cualquier otro formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos, de conformidad con el artículo 14 de la presente Ley.
Bases de Datos
El conjunto ordenado de datos personales referentes a una persona identificada o identificable.
Conjunto ordenado de datos personales referentes a una persona identificada o identificable condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
Consentimiento
Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Manifestación de la voluntad libre, específica e informada de la persona titular de los datos mediante la cual se efectúa el tratamiento de los mismos.
Datos personales
Cualquier información concerniente a una persona física identificada o identificable.
Cualquier información concerniente a una persona identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
Datos personales sensibles
Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.
Aquellos datos personales que afecten a la esfera más íntima de la persona titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para esta. De manera enunciativa más no limitativa se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.
Derechos ARCO
No había definición en la LFPDPPP.
Derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales.
Fuente de Acceso Público
Aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, sin más requisito que, en su caso, el pago de una contraprestación, de conformidad con lo señalado por el Reglamento de esta Ley.
Aquellas bases de datos, sistemas o archivos que por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa, y sin más exigencia que su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás disposiciones jurídicas aplicables.
Responsable
Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
Sujetos regulados a que se refiere la fracción XVI de este artículo.
Sujetos regulados
No había definición en la LFPDPPP.
Personas físicas o morales de carácter privado que llevan a cabo el tratamiento de datos personales;
Tratamiento
La obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales.
Transferencias
Toda comunicación de datos realizada a persona distinta del responsable o encargado del tratamiento.
Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular, del responsable o de la persona encargada del tratamiento.
2. Consentimiento
La NLFPDPPP establece que el consentimiento debe ser libre, específico e informado. Indica que, como regla general, el consentimiento tácito será válido. Estas modificaciones ya estaban previstas en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Reglamento), pero no en la ley.
La reforma también modifica las excepciones para no requerir el consentimiento. Anteriormente, este podía omitirse si así lo establecía una ley; con la nueva disposición, bastará con que esté previsto en una norma jurídica, abriendo la posibilidad a que el consentimiento no sea necesario si lo dispone un reglamento, decreto o cualquier otra disposición jurídica.
Otro cambio importante es que, antes, el consentimiento podía omitirse si así lo determinaba una resolución de una autoridad competente. Ahora, la excepción se amplía a órdenes judiciales, resoluciones o mandatos fundados y motivados de una autoridad competente.
Finalmente, la nueva ley establece que, si un responsable trata datos personales para una finalidad distinta a la prevista en el Aviso de Privacidad, deberá solicitar nuevamente el consentimiento. En la legislación actual, esto no es necesario si la nueva finalidad es compatible o análoga con las establecidas en el aviso. Con la reforma, cualquier modificación o adición a los fines del Aviso de Privacidad requerirá el consentimiento del titular.
3. Aviso de Privacidad
Se incorpora como requisito mínimo que el Aviso de Privacidad indique los datos personales que serán sometidos a tratamiento. Asimismo, ahora será obligatorio diferenciar entre finalidades necesarias y voluntarias. Ambas disposiciones estaban previstas en el Reglamento y/o en los Lineamientos del Aviso de Privacidad, y ahora se incluyen en la Ley.
Por otro lado, se elimina el requisito de informar, a través del Aviso de Privacidad, sobre las transferencias de datos a terceros. Sin embargo, por ahora seguirá siendo obligatorio informar sobre ellas conforme a lo establecido en el Reglamento.
4. Derechos ARCO
Se precisa el alcance del derecho de cancelación, que ahora señala que la cancelación incluirá archivos, registros, expedientes y sistemas del responsable donde se alojen los datos personales del titular.
En cuanto al derecho de oposición, se establece que los titulares podrán ejercerlo cuando sus datos personales sean objeto de un tratamiento automatizado que afecte de manera significativa sus intereses, derechos o libertades y que esté destinado a evaluar aspectos personales sin intervención humana.
5. Nueva autoridad de protección de datos
La Secretaría de Anticorrupción y Buen Gobierno asumirá las funciones que anteriormente correspondían al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), convirtiéndose en la nueva autoridad en materia de protección de datos personales para particulares.
Además, la reforma elimina a la Secretaría de Economía como autoridad reguladora en esta materia.
6. Procedimientos en la materia.
Se prevé como medio de impugnación el juicio de Amparo Indirecto, así como la habilitación de juzgados creación de jueces y tribunales especializados en materia de acceso a la información pública y protección de datos personales. El Poder Judicial Federal deberá habilitarlos en un plazo, no mayor a 120 días naturales, a partir de la entrada en vigor de la nueva ley. Ahora bien, resulta cuestionable que el medio de defensa sea el Amparo Indirecto y no el juicio contencioso administrativo ante el Tribunal Federal de Justicia Administrativa (TFJA), puesto que éste último tiene, en principio, competencia para revisar los actos emitidos por los órganos de la Administración Pública Federal, dentro de los que se incluye la Secretaría Anticorrupción y Buen Gobierno.
Ahora bien, el Ejecutivo Federal tendrá 90 días naturales para expedir las adecuaciones correspondientes a los reglamentos y demás legislación secundaria como el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Es importante mencionar que los particulares deberán revisar y ajustar sus políticas y prácticas internas para adecuarlas a los cambios que conlleva la vigencia de la nueva ley. Asimismo, es recomendable implementar capacitaciones al personal y colaboradores para socializar la NLPDPPP, en su momento la reglamentación y la nueva autoridad. Finalmente, es de suma importancia estar al tanto de la Secretaría para conocer sus nuevas prácticas y criterios.
Cabe destacar que a partir de la vigencia de la NLFPDPPP los procedimientos en materia de protección de datos serán conocidos por la Secretaría; a pesar de ser esencialmente los mismos procedimientos que la LFPDPPP abrogada, es importante tener en cuenta que a diferencia del extinto INAI, la Secretaría no es un cuerpo colegiado, y tanto la estructura como los criterios de la Secretaría serán distintos. Destacando sobre todo que la Secretaría forma parte del Ejecutivo Federal, contrario a la naturaleza independiente, y constitucionalmente autónoma del INAI.
En esta novena versión de Rule The Rules, tuvimos como invitado a Andrés Cuevas Cardenas, Compliance Director para Latinoamérica en Emergent Cold.
Andrés destacó la importancia de que cada organización realice su propio análisis de riesgos y aborde el compliance según las necesidades específicas de cada industria.
El pasado 8 de junio de 2023 se publicó en el Diario Oficial de la Federación la tan esperada Norma Oficial Mexicana NOM-037-STPS-2023. Teletrabajo – Condiciones de seguridad y salud en el teletrabajo, después de un análisis de los sectores obrero y empresarial al proyecto que originalmente fue publicado el 15 de julio de 2022. La creación de esta Norma Oficial Mexicana es resultado del cumplimiento de la reforma que adicionó el Capítulo XII Bis de la Ley Federal del Trabajo, en materia de Teletrabajo, en el mes de enero de 2021, en donde concedió al Poder Ejecutivo Federal un plazo de dieciocho (18) meses para publicar una norma que reflejara las disposiciones, obligaciones y lineamientos en materia de seguridad y salud en la prestación de los servicios bajo la modalidad de teletrabajo.
La Norma contempla los siguientes puntos:
Consideraciones Generales.
Distingue entre el centro de trabajo, en el que se desarrollan las actividades de manera presencial, y el lugar de trabajo, que es uno distinto al centro de trabajo, en donde la persona trabajadora bajo la modalidad de teletrabajo desarrolla sus actividades.
Obligaciones del patrón.
Contar con un listado actualizado de personas trabajadoras bajo la modalidad de teletrabajo, que refleje nombre, género, estado civil, nombre y perfil del puesto de trabajo, actividades a desarrollar, tiempo (en porcentaje) bajo la modalidad de teletrabajo, número telefónico de contacto, domicilio, el o los lugares acordados para la prestación de los servicios a distancia, razón y domicilio del centro de trabajo y un listado del equipo de cómputo y ergonómico otorgado a la persona trabajadora.
Asegurarse que los lugares de trabajo en los que se desarrollen los servicios bajo la modalidad de teletrabajo cumplan con condiciones específicas, tales como contar con conectividad, cumplir con condiciones de seguridad y salud en el trabajo (buen estado de instalaciones eléctricas, iluminación, ventilación y condiciones ergonómicas), pudiendo el patrón realizar una comprobación física o virtual del lugar referido, a través de su Comisión de Seguridad e Higiene.
Establecer e implementar una Política de Teletrabajo con perspectiva de género, que contemple el tiempo de descanso para las mujeres trabajadoras en periodo de lactancia.
Contar con la validación de la “Lista de verificación de las condiciones de seguridad y salud en el Teletrabajo”, ya sea a través de una visita o a través de un cuestionario que le sea entregado al trabajador que permita determinar si cuenta o no con las condiciones necesarias para el desarrollo del trabajo a distancia. Estas visitas podrán ser realizadas por la Comisión de Seguridad e Higiene, con el consentimiento de la persona trabajadora.
Establecer por escrito el procedimiento para migrar de la modalidad presencial al teletrabajo.
Proporcionar sillas ergonómicas y demás insumos y aditamentos necesarios para el desempeño de sus labores.
Crear y documentar programas respecto a la forma de proporcionar mantenimiento a los equipos electrónicos entregados a los teletrabajadores.
Proporcionar capacitación a las personas teletrabajadores sobre condiciones de seguridad y salud que deben mantener en su lugar de trabajo a distancia, al menos una vez al año.
Garantizar la reversibilidad al esquema presencial, cuando así lo justifique, o porque así conviene a sus intereses.
Practicar los exámenes médicos que corresponda a las personas trabajadores de conformidad con la NOM-030-STPS-2009 (Servicios preventivos de seguridad y salud en el trabajo-Funciones y actividades), y dar seguimiento a los avisos de accidentes de trabajo.
Contar con mecanismos de atención para casos de violencia familiar, que incluyan el retorno a la modalidad presencial.
Garantizar la confidencialidad de las listas de las personas que se encuentran bajo la modalidad de teletrabajo.
Brindar apoyo y facilidades para que las personas trabajadoras bajo la modalidad de teletrabajo participen en la Comisión de Seguridad e Higiene o en la Comisión Mixta de Capacitación, Adiestramiento y Productividad.
Incluir los derechos sindicales y disposiciones del contrato colectivo aplicable en la Política de Teletrabajo.
Obligaciones de las personas trabajadoras bajo la modalidad de teletrabajo.
Brindar a la Comisión de Seguridad e Higiene las facilidades necesarias para comprobar las condiciones de seguridad y salud en su lugar de trabajo, por primera vez, y después con la periodicidad establecida.
Cumplir con la Política de Teletrabajo.
Informar al patrón de cualquier alteración que, en materia de seguridad y salud en el trabajo, impidan el desarrollo de sus actividades en el lugar acordado por las partes. Los elementos básicos del escrito de cambio temporal de lugar de trabajo son: fecha de elaboración, nombre de la persona trabajadora, y descripción del cambio de domicilio.
Resguardar y conservar en buen estado los equipos electrónicos, materiales, útiles y material ergonómico entregados por el patrón.
Cumplir las disposiciones en materia de seguridad y salud en el trabajo, y someterse a los exámenes médicos, de acuerdo con la NOM-030-STPS-2009 (Servicios preventivos de seguridad y salud en el trabajo-Funciones y actividades).
Atender las políticas y mecanismos de protección de datos e información, las restricciones de uso y almacenamiento, establecidos por el patrón.
Informar por escrito al patrón respecto de cualquier cambio de domicilio temporal o definitivo desde donde realiza sus actividades a distancia.
Participar en los procesos de información y capacitación sobre los riesgos relacionados al Teletrabajo.
Avisar al patrón y a la Comisión de Seguridad e Higiene de los riesgos de trabajo que sufra.
Condiciones de Seguridad y Salud en el Trabajo / Capacitación y Adiestramiento.
La Norma establece las condiciones de seguridad y salud en el trabajo que deben cumplir las partes para evitar riesgos de trabajo provocados por agentes físicos, de riesgo ergonómico y por factores de riesgo psicosocial, así como los términos y condiciones en los cuales debe otorgarse capacitación y adiestramiento a las personas trabajadoras bajo la modalidad de teletrabajo.
Verificación de Condiciones de Seguridad y Salud.
Los patrones podrán contratar a organismos de evaluación encargados de inspeccionar condiciones de seguridad y salud -sin que estos visiten los lugares de trabajo-, denominados “Unidades de Inspección”, los cuales deberán contar con una acreditación y aprobación para ello. Para tal efecto, se establece un “Procedimiento para la Evaluación de Conformidad”, el cual resultará aplicable tanto para las Unidades de Inspección antes mencionadas, así como para las visitas de inspección que realice la autoridad laboral en los centros de trabajo.
La Norma también establece el tipo de comprobación (documental y/o entrevista) y los criterios de aceptación con los cuales el patrón podrá acreditar, por medio de la Comisión de Seguridad e Higiene, el debido cumplimiento de sus obligaciones materia de seguridad y salud en el teletrabajo y contiene diversas guías de referencia que el patrón puede tomar como base para la observancia de las disposiciones correspondientes.
En esta última versión de la Norma se otorgó un rol preponderante a la Comisión de Seguridad e Higiene, con el objetivo de que se encargue de verificar las condiciones en las que se desempeñarán las personas trabajadoras bajo la modalidad de teletrabajo, lo que se podrá comprobar a través de fotografías o videos.
Otro aspecto importante sobre la Norma es que destaca la perspectiva de género como un elemento en la implementación de la modalidad del teletrabajo, estableciendo protecciones especiales para las personas que puedan sufrir violencia en el hogar y reconociendo los derechos de las mujeres en periodo de lactancia a tomar descansos.
Con base en lo anterior, a través de esta Norma se pretende incentivar la importancia del equilibrio trabajo-familia, de evitar el aislamiento social y el tecnoestrés (efectos psicosociales negativos derivados del uso de las tecnologías de la información), así como el papel de los patrones para prevenir riesgos que pudieran afectar negativamente la salud y la vida de sus trabajadores.
La Norma entrará en vigor después de ciento ochenta (180) días naturales de su publicación en el Diario Oficial de la Federación, es decir, en diciembre de este año 2023.
El contrato de Teletrabajo y los Lineamientos del Derecho de Desconexión Laboral está regido por una serie de directrices (Acuerdo Ministerial MDT-2022-237 – 23 de diciembre de 2022).
– ¿Cuál es su objetivo y para quien es aplicable?
Su objetivo es regular el teletrabajo y la desconexión laboral, este es de obligatorio cumplimiento para todos los empleadores que apliquen el teletrabajo entre sus trabajadores.
– ¿Existe diferencia entre la modalidad presencial y el teletrabajo?
La diferencia es el lugar en donde el trabajador realizará sus actividades laborales. Este puede ser el domicilio del trabajador o cualquier lugar determinado.
Las funciones, derechos, horarios y actividades del trabajador se mantendrán siendo las mismas.
– ¿Cuál es su vigencia y como se debe ejecutar?
La vigencia del teletrabajo deberá ser definida entre las partes posterior a que estas acuerden que las actividades a desarrollar sean realizadas en esta modalidad.
El teletrabajo deberá ser ejecutado por el trabajador en las especificaciones de su puesto, siendo el empleador el responsable de proveer con los materiales y equipos necesarios para que este se desarrolle correctamente, teniendo en cuenta que los valores por telefonía e internet son considerados “herramientas de trabajo”, por ello, no formarán parte de la remuneración para fines de liquidación, pero si deben correr por cuenta del empleador.
Adicional, el empleador deberá asegurarse de adoptar las medidas de seguridad y salud respectivas dentro del espacio donde se desarrollará el teletrabajo (insumos, conductas y condiciones). En caso de que el lugar en donde se realizará el teletrabajo sea únicamente voluntad del trabajador, este deberá declarar que adoptará todas las medidas de seguridad correspondientes.
– ¿Cuál es el proceso de registro?
El contrato originario en modalidad de teletrabajo deberá ser registrado en el sistema del Ministerio del Trabajo en un plazo no mayor a 30 días.
En caso de que esta modalidad se aplique a un contrato vigente, el empleador deberá registrar, en un plazo de 15 días, el periodo de tiempo en que se ejecutarán las actividades laborales en modalidad de teletrabajo.
– ¿Qué es el derecho de desconexión?
Es el derecho que tienen los trabajadores a que, una vez terminada su jornada laboral, no se pueda establecer comunicaciones, emitir ordenes o requerimientos por al menos 12 horas continuas en un periodo de 24 horas.
Se exceptuarán de esta regla: (i) las circunstancias establecidas en el art. 52 del Código del Trabajo, y; (ii) las personas que cumplan roles de dirección o cargos de confianza.
– La política de desconexión
Para dar cumplimiento al derecho a la desconexión de los trabajadores, los empleadores deberán contar con una Política de Desconexión la cual deberá contener:
1. Las medidas de capacitación para la jornada laboral, teletrabajo y derecho a la desconexión;
2. Establecer los lineamientos de los supervisores o jefes inmediatos para los requerimientos fuera de jornada laboral;
3. Directrices que tomar para que el uso de tecnología no afecte el goce del descanso laboral, y;
4. Procedimiento interno para recepción de quejas por incumplimiento de la Política de Desconexión Laboral.
Esta política deberá ser implementada en un plazo de 90 días constados desde la expedición del Acuerdo Ministerial.
En Brasil, el instrumento normativo disponible sobre el procesamiento de datos personales, incluso en medios digitales, por una persona física o por una persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad, privacidad y libre desarrollo de la personalidad de la persona física es la Ley General de Protección de Datos Personales (Ley Nº 13.709/18 o “LGPD”), que entró en vigor el 18 de septiembre de 2020[1] y que se inspiró fuertemente en el Reglamento General de Protección de Datos yuropeu (GDPR).
Con el fin de garantizar el cumplimiento de su objetivo, la ley impone ciertas obligaciones que deben observar los controladores y operadores (agentes de tratamiento)[2][3] cuando estos agentes (i) realizan la operación de tratamiento en Brasil; (ii) el propósito del procesamiento de datos personales es la provisión de bienes o servicios a los interesados que se encuentran en Brasil; o (iii) los datos personales sujetos al procesamiento se han recopilado en el territorio nacional, lo que significa que el interesado se encontraba en Brasil en el momento de la recopilación de sus datos.
De acuerdo con la LGPD, el titular es la persona física a quien los datos personales que se procesan y procesan es toda operación realizada con datos personales, tales como los referidos a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
Cabe señalar que la LGPD establece la buena fe como parámetro para el tratamiento de los datos personales, así como algunos principios generales a observar por los agentes del tratamiento, tales como: (a) la finalidad; b) adecuación; c) la necesidad; d) libre acceso; e) transparencia; y f) la no discriminación.
Cabe destacar que el tratamiento de datos personales y datos[4] personales sensibles solo puede [5] llevarse a cabo si se basa en una de las hipótesis legales establecidas, respectivamente, en los artículos 7 y 11 de la LGPD. Por lo tanto, siempre que un agente de tratamiento desee llevar a cabo el tratamiento de un dato personal, deberá identificar, sobre la base de la finalidad del tratamiento, cuál es la base jurídica aplicable al caso concreto. La LGPD también discute, en la Sección III, cómo deben procesarse los datos personales de niños, niñas y adolescentes.
Para procesar datos personales, el agente de procesamiento deberá (i) garantizar que el propósito determine el procesamiento de datos personales para fines legítimos, específicos, explícitos e informados para el interesado, sin la posibilidad de un procesamiento adicional de manera incompatible con dichos fines; (ii) dar fe de la compatibilidad del procesamiento de datos personales para los fines informados al titular, de acuerdo con el contexto del procesamiento; (iii) establece la limitación del tratamiento de datos personales al mínimo necesario para el cumplimiento de sus fines, con el alcance de los datos pertinentes, proporcionales y no excesivos en relación con los fines del tratamiento de datos; (iv) garantizar, a los interesados, la consulta facilitada y gratuita sobre la forma y duración del tratamiento, así como sobre la exhaustividad de sus datos personales; y (v) garantizar, a los interesados, la obtención de información clara, precisa y de fácil acceso sobre la realización del tratamiento y los respectivos agentes del tratamiento.
Es importante señalar que el responsable u operador que, debido al ejercicio de la actividad de tratamiento de datos personales, cause al otro daño patrimonial, moral, individual o colectivo, en violación de la legislación de protección de datos personales, está obligado a repararlo y que, con el fin de garantizar una indemnización efectiva al interesado: (i) el operador es solidariamente responsable de los daños causados por el procesamiento cuando no cumple con las obligaciones de la legislación de protección de datos o cuando no ha seguido las instrucciones legales del controlador, en cuyo caso el operador es tratado con el controlador, excepto en casos de exclusión; y (ii) los controladores que están directamente involucrados en el procesamiento cuyo daño se ha producido al interesado responden de manera conjunta y solidaria, excepto en casos deexclusión.
A su vez, los agentes de tratamiento no serán responsables (casos de exclusión) solo cuando demuestren que no han realizado el tratamiento de los datos personales que se les han asignado; que, aunque hayan tratado los datos personales que se les han asignado, no se ha producido ningún incumplimiento de la legislación de protección de datos; o que el daño se debe a la culpa exclusiva del interesado o de un tercero.
La LGPD también establece una serie de derechos que los interesados pueden aplicar al controlador; la necesidad de designar a una persona a cargo del agente para que actúe como canal de comunicación entre el agente y la autoridad y entre el agente y los titulares, excepto en los casos previstos en la RESOLUCIÓN CD / ANPD No. 2, DE 27 DE ENERO de 2022; requisitos específicos para permitir una transferencia internacional de datos personales; el deber de adoptar medidas de seguridad, técnicas y administrativas capaces de proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito; y la obligación de informar a la ANPD y al titular de los datos personales de la ocurrencia de un incidente de seguridad que pueda causar un riesgo o daño significativo a los titulares.
Además, los agentes encargados del tratamiento de datos, por violaciones de las normas establecidas en la LGPD, están sujetos a las siguientes sanciones administrativas aplicables por la Autoridad Nacional de Protección de Datos: (i) advertencia, con indicación de un plazo para la adopción de medidas correctoras; (ii) multa simple de hasta el 2% (dos por ciento) de los ingresos de la persona jurídica privada, grupo o conglomerado en Brasil en su último año fiscal, excluyendo impuestos, limitada en total a R$ 50.000.000,00 (cincuenta millones de reales) por infracción; (iii) multa diaria; iv)la aplicación de la infracción una vez debidamente autorizada y confirmada su aparición; (v) bloqueo de los datos personales a que se refiere la infracción hasta su regularización; vi)y la liminación de los datos personales a los que se refiere la infracción; vii) la utilización parcial delfuncionamiento de la base de datos a que se refiere la infracción durante un período máximo de 6 (seis) meses, prorrogable por el mismo período, hasta la regularización de la actividad de tratamiento por parte delcontrol r; (viii) suspensión del ejercicio de la actividad de tratamiento de datos personales a la que se hace referencia en la infracción por un plazo máximo de 6 (seis) meses, prorrogable por el mismo periodo; y (ix) prohibición parcial o total del ejercicio de actividades relacionadas con el tratamiento de datos.[6]
Finalmente, vale la pena mencionar que, al igual que con la intimidad y la vida privada de las personas, el derecho a la protección de datos personales fue incluido por la Enmienda Constitucional No. 115 de 2022[7], en la Constitución brasileña, incluso en los medios digitales como un derecho fundamental, ratificando la relevancia del tema para la sociedad y el mercado, en general.
[1] En 1 de agosto 2021, los artículos 52, 53 y 54 de la Ley General de Protección de Datos (LGPD) entraron en vigor, relativos a las sanciones administrativas.
[2] Según la LGPD, “controlador” es cualquier persona física o jurídica que toma decisiones con respecto al procesamiento de datos personales.
[3] Según la LGPD, “operador” es cualquier persona física o jurídica que lleva a cabo el procesamiento de datos personales en nombre del controlador.
[4] Personal dado es el información relacionada con una persona física identificada o identificable.
[5] Los datos personales sensibles son el datos personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación a un sindicato u organización de carácter religioso, filosófico o político, facilitados en relación con la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física.
[6] Sanciones suspensión parcial de la base de datos, suspensión del ejercicio de la actividad de tratamiento y prohibición del ejercicio de se aplicará sólo después de que al menos una (1) de las sanciones ya se haya impuesto de multa simple, multa diaria, publicidad de la infracción, bloqueo de datos personales hasta la regularización y supresión de los datos personales de los que se trata la infracción.
