LGPD para Saas: tratamiento de datos en productos en la nube

La LGPD para SaaS es uno de los temas que más dudas genera entre los founders y los equipos de producto: ¿la ley se aplica al propio software, al cliente que utiliza la plataforma o a ambos? La respuesta es: a ambos, pero de formas distintas. Comprender esta diferencia es el punto de partida para cualquier decisión relacionada con la protección de datos en una plataforma en la nube.

Una empresa que desarrolla y comercializa un producto SaaS ocupa una posición singular dentro de la cadena de tratamiento de datos. Dependiendo de cómo se haya diseñado el producto y de quién lo utilice, puede actuar como responsable del tratamiento de los datos que recopila directamente de los usuarios, como encargado del tratamiento de los datos que sus clientes introducen en la plataforma, o incluso desempeñar ambos papeles simultáneamente en distintas partes del sistema. Cada una de estas posiciones conlleva obligaciones diferentes, y confundir ambos roles es uno de los errores más habituales que llevan a las empresas tecnológicas a operar fuera del cumplimiento normativo sin ser conscientes de ello.

Responsable del tratamiento, encargado del tratamiento o ambos

Para entender cómo funciona la LGPD para SaaS en la práctica, resulta útil partir de un ejemplo concreto. Una plataforma de gestión de clientes para pequeñas empresas recopila el correo electrónico y el nombre del usuario durante el proceso de registro: en este caso, la empresa SaaS actúa como responsable del tratamiento, ya que es quien decide recopilar esos datos y determina su finalidad.

Cuando el cliente de esa plataforma comienza a registrar sus propios contactos, proveedores e historial de negociaciones, la empresa SaaS pasa a actuar como encargado del tratamiento de esos datos, ya que procesa información cuya finalidad ha sido definida por el cliente y no por ella misma.

Esta distinción es importante porque las obligaciones legales de cada figura son diferentes. El responsable del tratamiento responde de la base jurídica para la recogida de datos, de la política de privacidad, de la atención a los derechos de los interesados y de la notificación de incidentes. El encargado del tratamiento, por su parte, debe seguir las instrucciones del responsable y aplicar medidas de seguridad adecuadas para proteger los datos que procesa en su nombre, tal y como explica el artículo sobre la adecuación a la LGPD y las funciones del responsable y del encargado del tratamiento.

El problema es que muchos productos SaaS nunca han identificado formalmente en qué partes del sistema ejercen cada uno de estos papeles y, por ello, desconocen exactamente qué obligaciones deben cumplir en cada capa.

Lo que cambia cuando el producto crece

Las plataformas en la nube tienen una característica que incrementa la complejidad regulatoria con el paso del tiempo: crecen. Se incorporan nuevas funcionalidades, se habilitan integraciones con terceros, aumenta el volumen de datos almacenados y cada uno de estos cambios puede modificar la forma en que la plataforma trata los datos personales sin que nadie haya revisado sus implicaciones legales.

Por ejemplo, una integración con una herramienta de analítica puede empezar a transferir datos de los usuarios a un tercero sin que ello figure en la política de privacidad. Una nueva funcionalidad de informes puede consolidar información de distintos clientes de formas que no estaban previstas en el momento del registro. Un sistema de notificaciones puede comenzar a utilizar datos de comportamiento para personalizar mensajes, creando una nueva finalidad para la que no existe una base jurídica definida.

Cada una de estas situaciones supone un riesgo regulatorio que se acumula de forma silenciosa y que solo se hace visible cuando alguien formula la pregunta adecuada. Saber qué preguntas deben hacerse sobre el entorno de datos de la empresa antes de aprobar nuevas funcionalidades o integraciones es una de las diferencias entre una empresa tecnológica con una gobernanza madura y otra que descubre los problemas cuando ya es demasiado tarde.

Qué debe tener estructurado la plataforma

Independientemente de la fase en la que se encuentre el producto, existen determinados elementos que deben estar implantados para que el cumplimiento de la LGPD para SaaS sea sostenible a largo plazo.

Mapeo de datos por funcionalidad. Cada parte del producto que recopile, procese o almacene datos personales debe estar documentada: qué datos se tratan, con qué finalidad, sobre qué base jurídica y durante cuánto tiempo se conservan. Este inventario permite responder a cualquier consulta de un cliente, de un interesado o de una autoridad de control sin depender del conocimiento de quien desarrolló el sistema.

Contratos de tratamiento de datos con los clientes. Cuando la empresa SaaS actúa como encargada del tratamiento de los datos de sus clientes, debe contar con un contrato que formalice esa relación, estableciendo las obligaciones de seguridad, los límites del tratamiento y los procedimientos en caso de incidente. Este documento, conocido como DPA (Data Processing Agreement), es exigido por clientes corporativos y por normativas como la LGPD y el RGPD europeo.

Política de privacidad alineada con el producto real. Uno de los aspectos más descuidados por las empresas tecnológicas es mantener una política de privacidad desactualizada respecto al funcionamiento real del producto. Si la plataforma ha evolucionado pero el documento no refleja esos cambios, la empresa está informando a los usuarios de un tratamiento de datos que ya no corresponde con la realidad, lo que constituye un incumplimiento independientemente de cualquier otro factor.

Controles de acceso a los datos de los clientes. ¿Quién dentro de la empresa puede acceder a los datos que los clientes almacenan en la plataforma? ¿Con qué justificación? ¿Queda ese acceso registrado? Los entornos SaaS suelen conceder a los equipos de soporte e ingeniería un acceso amplio a las bases de datos para resolver incidencias, pero dicho acceso debe estar controlado, ser auditable y limitarse estrictamente a lo necesario. Una política de seguridad de la información que contemple específicamente el acceso a los datos de producción es la herramienta que formaliza estas normas dentro de la organización.

Procedimiento para atender los derechos de los interesados. Los usuarios finales de la plataforma tienen derecho a solicitar acceso a sus datos, su rectificación, portabilidad y supresión. La empresa SaaS, ya actúe como responsable o como encargada del tratamiento, debe disponer de un procedimiento definido para recibir y responder a estas solicitudes dentro de los plazos legales. Esto implica saber cómo exportar técnicamente los datos de un usuario concreto, cómo anonimizar la información y cómo eliminarla por completo de todos los entornos, incluidas las copias de seguridad.

Lo que los clientes corporativos empiezan a exigir

A medida que las empresas medianas y grandes maduran sus políticas de privacidad, comienzan a incorporar requisitos de cumplimiento normativo en los procesos de contratación de proveedores tecnológicos. Una plataforma SaaS que no sea capaz de responder preguntas básicas sobre cómo trata los datos de los usuarios, que no disponga de un DPA o que nunca haya superado una auditoría de seguridad empieza a perder oportunidades frente a competidores que sí tienen estos aspectos resueltos.

En este contexto, el cumplimiento de la LGPD para SaaS deja de ser únicamente una obligación legal y pasa a convertirse también en un criterio de cualificación comercial. Las sanciones previstas por la legislación representan el riesgo regulatorio, pero la pérdida de contratos con clientes que exigen un alto nivel de madurez en privacidad suele ser el coste inmediato que muchas empresas tecnológicas experimentan incluso antes de enfrentarse a una inspección.

Por dónde empezar

Para los productos que todavía no cuentan con un proceso estructurado, el punto de partida más eficaz es el mapeo de datos: revisar cada funcionalidad del producto y documentar qué información se recopila, dónde se almacena, quién puede acceder a ella y con qué justificación.

Este ejercicio suele revelar recopilaciones de datos innecesarias, integraciones no documentadas y accesos más amplios de lo necesario. Todos estos problemas tienen soluciones técnicas conocidas cuando se detectan con antelación.

Lo que ya no resulta tan sencillo es descubrir estos problemas después de que un cliente corporativo haya formulado las preguntas adecuadas, después de que un usuario haya presentado una reclamación ante la autoridad de protección de datos o después de que un incidente haya dejado al descubierto una configuración incorrecta.

STWBrasil ayuda a las empresas tecnológicas en su proceso de adecuación a la LGPD, desde el mapeo de datos hasta la elaboración de contratos, políticas y controles técnicos que permiten mantener el cumplimiento normativo a medida que el producto evoluciona y crece.

Empresa líder en seguridad de la información. La protección digital de su empresa es nuestra prioridad. Contamos con el uso de tecnología de última generación por parte de profesionales altamente especializados.

(11) 2666-3787
R. São Bento, 365 – 8o Andar – Centro Histórico de São Paulo, São Paulo – SP,
CNPJ: 05.089.825/0001-48.

 Copyright ©️ 2024 – Todos los derechos reservados. Conoce nuestras  Políticas de Privacidad.