Brasil aprobó su ley general de protección de datos poco tiempo después de la Unión Europea colocar la de ella en vigor. Eso no es coincidencia, una vez que nuestra ley es ampliamente inspirada en la de ellos. La ley europea, GDPR, fue aprobada en 2016 y solo entro en vigor 2 años después. En Brasil sucederá el mismo, tendremos un tiempo para asimilar todos los cambios hasta que ellas entren en vigor de hecho.
Y será ese el asunto de este post. Hablaremos sobre la ley general de protección de datos brasileña para preparar mejor los profesionales y empresas para lo que esta por venir. Abordaremos lo que es la ley, lo que cambia para los ciudadanos y los efectos de ella para usuarios de TI y sus clientes. ¿Quedo interesado? ¡Entonces buena lectura!
Entienda la ley general de protección de datos brasileña
La ley general de protección de datos, o LGPD, es una ley que vino para reemplazar la ley del marco civil de la internet creada en 2014. Ella garantiza los principios del marco civil y amplia ellos para diferentes esferas, además de la internet, donde la información del usuario es tratada.
La LGPD fue aprobada en julio de 2018 en carácter de urgencia, debido al escandalo de pérdida de datos del Facebook que interfirieron en las elecciones presidenciales de los Estados Unidos. La ley estaba en discusión había 8 años, pero para evitar que un escenario semejante ocurriera en Brasil, los deputados y senadores corrieron con el tramite en el plenario.
La ley trata de datos personales de los brasileros, sea el online o offline, en el formato físico o digital. La LGPD tiene como objetivo proteger los datos de los ciudadanos y aumentar la transparencia de colecta, uso y retención de ellos. Ella visa combatir practicas de mal uso de datos, como tiendas que toman informaciones de personas ofreciendo en cambio descuentos en productos y que acaban, muchas veces, revendidos para terceros.
Lo que cambia en la practica
La ley implementa varios derechos y deberes en lo que abarca la protección de los usuarios. En ese sentido hay una mayor responsabilidad de quien poseer los datos. Ella es valida tanto para los ciudadanos que proporcionan los datos, cuando para las empresas que retienen y tratan ellos. A seguir veremos los principales puntos de la LGPD.
Consentimiento
Los ciudadanos son los titulares de sus propios datos. O sea, solo ellos pueden consentir para que otras personas y empresas colecten y utilicen sus informaciones. Por ejemplo, la situación de reventa de datos personales para terceros no será mas posible si el consentimiento del titular.
La autorización deberá ser dada de forma transparente y directa por parte de los usuarios que dirán para cuales finalidades los datos serán utilizados. Caso el usuario deseé, en el futuro, las permisiones de uso de sus datos podrán ser revocadas a cualquier momento.
Mas obligaciones para las empresas
La LGPD especifica claramente los derechos y deberes de los involucrados con la información. En cuanto los usuarios tienen derechos sobre sus datos, las empresas tienen deberes a cumplir cuando están de posesión de ellos.
Es deber de la empresa cuanto los datos:
- Mantenerlos actualizados;
- Corregir cualquier dato que este incorrecto;
- Excluirlos en casos de revocación de autorización del titular;
- Realizar la portabilidad para terceros en caso de autorización del titular.
Definición clara de papeles
La ley general de protección de datos define los papeles de controlador, operador y encargado. El controlador es el responsable por tomar las decisiones de tratamiento. O sea, es el responsable por la colecta y posesión de los datos de terceros.
Ya el operador es el responsable que utiliza los datos para una finalidad especifica. Sea generar un gráfico, hacer una propaganda, entre otros. Ni siempre el controlador es el operador y viceversa. La distinción es realizada para separar las responsabilidades de cada etapa durante la manipulación de información de otros titulares.
Hay también el encargado que es el intermediario entre el controlador, operador, titular y agencia reguladora de los datos. El es una persona responsable por gerenciar el cumplimiento de los deberes de la empresa. Es el encargado que recibirá reclamaciones, orientará funcionarios, prestará atención a los titulares, entre otras actividades de gerencia.
Comunicados en caso de fugas
Los titulares y la agencia reguladora deben ser comunicados en casa de fugas o exposición de sus datos por personas no autorizadas, como ataques de ransomware por ejemplo. Las empresas deben informar la naturaleza de fuga, tipo de datos que fueron expuestos, riesgos a los titulares y cuales medidas serán tomadas para solucionar el problema.
Penalidades en ley para incumplimiento
Las empresas que incumplirán la ley pueden ser multadas en hasta 50 millones de reales, además de tener sus actividades suspensas o hasta mismo prohibidas dependiendo de la gravedad de la situación.
Los efectos de la ley para empresas de TI y sus clientes
Las empresas de TI serán las mas afectadas debido a la naturaleza de utilización que compone los sistemas. Las empresas tendrán dos años para se adecuaren. Ellas necesitaran sufrir un cambio de políticas con reglas transparentes y una estructura solida de responsabilización en caso de fuga. Algunos efectos que las empresas tendrán que preocuparse:
- Los datos de clientes y colaboradores necesitan ser identificados en todos los locales de acceso;
- Debe haber una política de datos que relacione con control de acceso, seguridad, criptografía, retención y privacidad de los titulares;
- Los titulares que revocaren permiso de utilización de sus informaciones deben tener todo removido de la empresa, como en banco de datos, redes sociales, sitios corporativos, etc;
- Datos duplicados o en exceso deben ser eliminados;
- Los datos deben ser auditados y conferidos, sea por la propia empresa o por terceros;
- Debe haber análisis de riesgos de fugas y análisis acelerada de causas y motivos en caso de fuga de datos de usuarios.
Los efectos serán sentidos por la satisfacción del cliente que tendrá mas transparencia y control de informaciones que son suyas por derecho.
La ley de protección de datos brasileña trae un avanzo muy grande para el país. Ella coloca el Brasil en el mismo nivel de otros países que ya aprobaron leyes similares y que andan en la vanguardia de los derechos de sus ciudadanos.
Eso, de cierta forma, ayuda a consolidar los sistemas de TI para atender tantos a las exigencias externas de privacidad cuanto las internas. Quien gana con todo eso son los usuarios que tendrán servicios de calidad al mismo tiempo que poseen control de sus datos.
¿Quedo mas informado sobre la ley general de protección de datos? Entonces no deje de conferir como generar procesos de TI de forma mas eficaz en su empresa. ¡Hasta la próxima!
