LGPD: La importancia de la seguridad de los datos para su empresa
A Ley General de Protección de Datos (LGPD) se sancionó en 2018 en Brasil y entró en vigor en septiembre de 2020, cumpliendo el plazo de 18 meses para que las empresas se adapten a la nueva normativa. La LGPD será regulada por la Autoridad Nacional de Protección de Datos, la ANPD, que publicó en enero de 2021 la agenda normativa bianual con los puntos prioritarios en esta primera fase de aplicación de la Ley.
Desde el 1 de agosto de 2021, las sanciones previstas por la LGPD han entrado en vigor y las empresas que no cumplan con las normas de la Ley pueden ser castigadas con multas de hasta 50 millones de reales.
Consciente de que se trata de un tema complejo pero extremadamente importante, INDICO le explicará qué es la LGPD y por qué su empresa y sus consumidores deben conocerla.
¿Qué es la LGPD y de dónde viene?
En primer lugar, hay que entender que la LGPD es una ley dirigida a cualquier actividad que implique la recogida y suministro de datos personales con el objetivo de proteger a las personas y empresas y sus derechos fundamentales de libertad e intimidad.
La LGPD prevé conductas y cambios para que las organizaciones establezcan normas claras sobre la recogida, el almacenamiento, el tratamiento y el intercambio de datos personales, de modo que este proceso tenga mayor protección y seguridad. Si la ley no se cumple, la organización está sujeta a importantes sanciones.
La Ley entiende por "datos personales" la "información relativa a una persona física identificada o identificable", y exige a las empresas y organizaciones que aclaren la necesidad de la recogida de dichos datos, siempre que sea con el consentimiento del titular(art. 8).
Esta necesidad es uno de los 10 principios básicos de la recogida de datos, que incluyen los principios de finalidad, adecuación, necesidad y transparencia.
En total, la Ley detalla cuatro actores diferentes en este proceso:
- Titular de los datos: propietario de los datos y responsable de consentir el suministro de su información personal.
- Responsable del tratamiento: empresa o persona física que recoge datos personales y es responsable de las decisiones sobre la finalidad del tratamiento de datos y lo que se hará con ellos.
- Operador: una empresa o persona física que lleva a cabo el tratamiento y el procesamiento de los datos personales siguiendo las órdenes del responsable del tratamiento.
- Responsable: persona designada por el responsable del tratamiento y el operador para actuar como canal de comunicación entre el responsable del tratamiento, los interesados y la Autoridad Nacional de Protección de Datos.
A pesar del prometedor escenario en materia de protección de datos en Brasil -un país que sufre constantemente megafiltraciones de datos- la LGPD se considera tardía, y se basa en una estricta normativa de la Unión Europea que se discute desde 2012 y se convirtió en la Reglamento general de protección de datoso GDPR.
GDPR
El GDPR, aprobado en 2016, es el reglamento oficial de protección de datos de la Unión Europea que se trata como referencia para varios países que adoptan este tipo de legislación o mejoran la existente.
La discusión de esta ley, que comenzó en 2012, estuvo motivada por la Directiva de Protección de Datos, una normativa que databa de los años 90 y que no se ajustaba al escenario tecnológico en el que se movía el mundo.
También cabe destacar que la Unión Europea considera la protección de datos un derecho de sus ciudadanos, lo que también alimentó el debate y la estructuración del reglamento.
En el contexto del uso generalizado de las redes sociales y otros canales en línea, el RGPD planteó cuestiones éticas sobre el uso de los datos de los usuarios, exigiendo a las empresas transparencia y responsabilidad en la recogida y el análisis de los datos de los clientes.
GDPR X LGPD
El GDPR y la LGPD tienen algunas similitudes, como: el consentimiento del usuario para el uso de sus datos personales, la determinación de las bases legales para el tratamiento de datos y el derecho del usuario a acceder a su información que es utilizada por la empresa.
Sin embargo, también podemos citar algunas diferencias entre ambas legislaciones:
- El RGPD permite a los usuarios oponerse en cualquier momento al uso de sus datos con fines de marketing; mientras que la LGPD no aborda directamente el uso de los datos para tales fines.
- Las multas del GDPR oscilan entre el 2% y el 4% de la facturación de una empresa, mientras que las de la LGPD se limitan al 2%.
- El GDPR ordena que los problemas de filtración de datos se notifiquen a los usuarios en un plazo de 3 días, la LGPD no ordena un tiempo específico para la notificación de estos incidentes.
¿Qué cambia con la LGPD?
Con la nueva ley, las empresas deben adaptar diferentes procedimientos en la recogida y tratamiento de datos. Además, la legislación ofrece más seguridad jurídica a los usuarios y a quienes recogen los datos.
La LGPD aporta más control sobre qué información se recoge y cuál es la finalidad de esa recogida, dejando claro a los usuarios todo lo que se hará con su información proporcionada.
Uno de los mecanismos de la ley es el consentimiento de los usuarios a la hora de proporcionar algunos datos personales. Por ello, hoy en día muchos sitios web crean ventanas emergentes específicas sobre las políticas de cookies, que sirven para que las empresas conozcan el comportamiento de los usuarios en Internet.
Ahora, los usuarios también tienen derecho a pedir aclaraciones sobre su información, qué datos tiene una empresa sobre ellos e incluso pedir que se eliminen. Estas y otras exigencias forman parte del trabajo de la Autoridad Nacional de Protección de Datos (ANPD), el organismo federal encargado de supervisar y editar las directrices de la LGPD.
¿Quién debe cumplir la LGPD?
Todas las organizaciones, con sede en Brasil o en el extranjero, con operaciones en el país o no, que trabajan con la recogida y el tratamiento de datos de los ciudadanos brasileños en el territorio nacional. Empresas como Amazon, Netflix, Google deben seguir la LGPD aunque recojan datos de brasileños aquí y los gestionen en otros países.
Las empresas con sede fuera de Brasil y que trabajan con asociaciones internacionales pueden transferir los datos recogidos al extranjero, siempre que el país de destino también tenga leyes completas sobre el tratamiento de la información personal o garantice mecanismos de protección del usuario similares a la legislación brasileña.
¿Cómo deben cumplir las empresas la LGPD?
Muchas empresas no están preparadas para afrontar esta nueva fase de la era de los datos y cumplir con la LGPD, ya que se centran únicamente en su negocio principal, en cómo trabajar sus marcas y conseguir los objetivos individuales de cada organización.
El cumplimiento de la LGPD es un proceso complejo y continuo, pero hay algunos pasos que todas las empresas deberían dar para cumplir la ley. La primera es conocerla bien, ya que sus directrices guiarán todos los nuevos procesos relacionados con los datos y deben ser adoptadas en su totalidad.
La creación de un comité interno encargado de vigilar y analizar la seguridad de los datos dentro de la empresa también es muy importante para que los profesionales de las distintas áreas controlen y supervisen la actuación de la empresa según las normas de la LGPD. Además, es necesario entender cómo maneja la empresa sus datos en el momento actual e identificar posibles amenazas para que los procesos y sistemas se estructuren de forma sólida y segura.
Por último, el punto más importante es adoptar la seguridad de los datos como uno de los pilares de la empresa, ya que es la única manera de seguir la LGPD con responsabilidad y ética.