La Ley General de Protección de Datos (LGPD) (Ley nº 13.709, de 2018) es la norma que regula el tratamiento de datos personales de las personas físicas en Brasil, con el objetivo de proteger los derechos fundamentales de la libertad y la privacidad y el libre desarrollo. de la personalidad natural.

Cabe señalar que la LGPD se ocupa del tratamiento de datos personales de las personas físicas, no afectando directamente a los datos de las personas jurídicas.

La LGPD entró en vigor el 18 de septiembre de 2020, a excepción de las sanciones, cuya vigencia se prorrogó hasta el 1 de agosto de 2021.

La LGPD está dirigida a todas las personas físicas y jurídicas, de derecho público o privado, independientemente del medio, del país de su sede o del país en el que se encuentren los datos, siempre que:

• El procesamiento de datos se realice en Brasil;
• Los datos hayan sido recopilados en Brasil; o
• El tratamiento tenga como finalidad ofrecer o suministrar bienes y servicios a personas físicas ubicadas en el país.

La ley antes mencionada no se aplica cuando el procesamiento lo realiza un particular con fines económicos y no económicos (por ejemplo, guías telefónicas, correos electrónicos, etc.), con fines exclusivamente periodísticos, artísticos o académicos, y cuando tengan por objeto actividades de seguridad pública, defensa nacional y seguridad del estado o actividades de prevención y represión penal.

Dato Personal es cualquier información que pueda identificar o llevar a identificar a su titular (persona física), como datos de registro (nombre, DNI, NIF, etc.) o incluso datos de comportamiento (número de identificación del celular, IP, preferencia de navegación en Internet).

Dato Personal Sensible es una categoría especial de datos personales, que, debido a la posibilidad de que sean utilizados de manera discriminatoria, están sujetos a reglas más estrictas para su tratamiento. Datos Personales Sensibles son datos personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación a un sindicato u organización de carácter religioso, filosófico o político, datos relacionados con la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona natural.

El concepto de tratamiento de datos abarca cualquier operación realizada con datos personales, tales como: recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción.

El titular de los datos es la persona física, es decir, el individuo a quien se refieren los datos personales, como por ejemplo el paciente.

El responsable del tratamiento es la persona física o jurídica que decide cómo se tratarán los datos personales (ej.: profesional liberal o consultorio que recopila datos de sus pacientes y define qué hará con ellos).

El operador es la persona física o jurídica que procesa a los datos de los titulares en función de las órdenes recibidas por el responsable del tratamiento (ej.: el laboratorio que recibió el material para realizar una biopsia).

La LGPD proporciona una gama de derechos a los interesados, incluidos:

• Confirmación de la existencia del tratamiento;
• Acceso a los datos;
• Corrección de datos incompletos, inexactos o desactualizados;
• Anonimidad, bloqueo o eliminación de datos innecesarios, excesivos o tratados que no cumplan con las disposiciones de la LGPD;
• Portabilidad de datos a otro proveedor de servicios o productos, previa solicitud expresa, de acuerdo con las normas de la autoridad nacional, observando secretos comerciales e industriales, de acuerdo con las normas del organismo de control;
• Supresión de los datos personales tratados con el consentimiento del titular, salvo en los casos previstos en el artículo 16 de la LGPD;
• Información de entidades públicas y privadas con las que el responsable compartió el uso de datos;
• Información sobre la posibilidad de no dar el consentimiento y las consecuencias de negarlo;
• Revocación del consentimiento de conformidad con el § 5 del art. 8º de la LGPD.

La Agencia Nacional de Protección de Datos (ANPD) es el organismo de la administración pública federal responsable de garantizar la protección de los datos personales y de implementar y monitorear el cumplimiento de la LGPD en Brasil.

La misión de la ANPD es asegurar la más amplia y correcta observancia de la LGPD en Brasil y, en esa medida, garantizar la debida protección a los derechos fundamentales de la libertad, la privacidad y el libre desarrollo de la personalidad del individuo.

La LGPD trae una serie de sanciones administrativas por incumplimiento de la ley:

• Advertencia;
• Multa simple de hasta el 2% limitada a R$ 50 millones (cincuenta millones de reales) de los ingresos de la persona jurídica privada por infracción;
• Multa diaria;
• Publicidad de la infracción;
• Bloqueo de los datos personales a que se refiere la infracción hasta su regularización;
• Supresión de los datos personales a que se refiere la infracción;
• Suspensión del tratamiento de los datos personales a que se refiere la infracción; y
• Prohibición parcial o total de realizar actividades de tratamiento de datos.

Cabe señalar que todas estas sanciones son administrativas, siendo posible que eventualmente exista responsabilización por daños en el ámbito judicial.

Todas las áreas que lidian con datos personales en el ejercicio de sus actividades deben prestar atención al tema de la protección de datos personales y al cumplimiento de la LGPD. El área de la salud procesa reiteradamente datos sensibles, lo que trae consigo la necesidad de adaptarse a la LGPD de forma más determinada.

El sector de la salud ya valora la confidencialidad y el sigilo de la información. Se deben observar estrictamente las normas establecidas en la LGPD siempre que se traten datos personales, sean de pacientes, empleados (profesionales sanitarios, técnicos, administrativos), visitantes, proveedores y/o trabajadores subcontratados.

La LGPD prohíbe expresamente la comunicación o el uso compartido de datos personales sensibles relacionados con la salud con el objetivo de obtener una ventaja económica, excepto en situaciones específicas.

Las situaciones específicas son: compartir cuando la finalidad sea la prestación de servicios de salud, asistencia farmacéutica y asistencia sanitaria, incluidos servicios de diagnóstico y terapéuticos, en beneficio de los intereses del titular.

Como regla general, el procesamiento de datos personales sensibles solo está permitido si se verifica una de las siguientes situaciones:

• Con el consentimiento del interesado (ej.: paciente que autoriza compartir sus datos o voluntario que acepta participar en investigaciones clínicas);
• Para cumplir con obligaciones legales o reglamentarias (ej.: mantener los datos registrados en registros físicos durante 20 años desde el último registro – Resolución CFM nº 1.639/2022 y Ley nº 13.787/2018);
Por la Administración Pública, para la ejecución de políticas públicas (ej.: datos epidémicos para desarrollar políticas de prevención o combate de la enfermedad);
• Para llevar a cabo estudios por parte de organismos de investigación (con datos anonimizados siempre que sea posible) (ej.: datos para investigar la eficacia de un determinado medicamento);
• Para el ejercicio regular de derechos en contratos y procedimientos judiciales, administrativos o arbitrales (ej.: suscripción de un contrato de prestación de servicios médico-hospitalarios o planes individuales; o en defensa de cualquier acción legal propuesta por el beneficiario)
• Para proteger la vida o la seguridad física del titular o de un tercero (ej.: cuando ocurre un accidente, el titular queda inconsciente y los rescatistas deben verificar sus documentos personales para informar a la familia);
• Para la protección de la salud, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridades sanitarias;
• Prevenir fraudes y garantizar la seguridad del titular (ej.: circuito cerrado de televisión que graba las UCI o autenticación biométrica para liberar citas).

De conformidad con los artículos 7 º y 11 º de la LGPD, el tratamiento sólo podrá realizarse en las hipótesis autorizadas previstas en estos artículos. Si el tratamiento no se ajusta a ninguna de las hipótesis, el agente encargado del tratamiento deberá repensar la actividad de manera que exista la posibilidad de autorización o cese en la realización de la misma.