LGPD: Cómo Preparar a tu Empresa y Cumplir con la Nueva Ley General de Protección de Datos
La LGPD – Ley General de Protección de Datos – fue sancionada en 2018 y entró en vigor en septiembre de 2020.
La nueva legislación colocó a Brasil entre los países que tienen leyes específicas para la protección de datos personales.
Para los usuarios de medios digitales y los consumidores, la nueva ley significa una mayor protección de la privacidad y la seguridad en el uso de sus datos. Para las empresas, la LGPD significa la adopción de nuevos procesos que garanticen este objetivo.
LGPD y los Nuevos Hábitos de Consumo
Hoy no solo producimos y consumimos información como nunca antes en la historia.
Sino que también tenemos una enorme capacidad para analizar y procesar esta información con el fin de lograr diferentes objetivos, como llevar a cabo acciones de marketing de manera más efectiva, tomar decisiones mejores, entre otros.
Sin embargo, recientes escándalos relacionados con el uso de datos personales, que involucraron a gigantes tecnológicos, cuestionan la forma en que se utiliza esta información.
En otras palabras, hoy sabemos que existe una falta de transparencia en estos procesos, y la necesidad de regularlos para proteger la privacidad de las personas.
¿Qué es la LGPD, la Ley General de Protección de Datos?
Brasil ya había dado un paso importante para adaptarse a la nueva realidad del mundo digital con la aprobación del Marco Civil de Internet, legislación que se centra principalmente en la creación de mecanismos destinados a proteger al usuario de la red informática global.
La LGPD es otro paso en este proceso. Inspirada en el Reglamento General de Protección de Datos, la ley de protección de datos de la Unión Europea.
La ley sirvió de modelo para nuestro país así como para otros lugares del mundo; actualmente, hay 120 países con legislación que regula el uso de datos personales.
La LGPD garantiza protección a los ciudadanos
Los usuarios y consumidores conocen poco sobre lo que se hace con su información personal.
Información recopilada por empresas de todos los sectores. En otras palabras, no solo empresas tecnológicas, de las formas más diferentes.
Incluso hay un mercado paralelo lucrativo para la venta de datos personales.
Por lo tanto, la Ley General de Protección de Datos llega con el objetivo de regular este uso. Sobre todo, garantizando una mayor protección y seguridad a la privacidad de los ciudadanos.
La ley entra en vigor para crear dispositivos y procesos que deben ser adoptados por las organizaciones. Y, se prevén sanciones severas para aquellos que no cumplan con el estándar.
¿Qué empresas deben cumplir con la LGPD?
La recolección, almacenamiento y procesamiento de datos no son exclusivos de las empresas tecnológicas. Ni de las grandes empresas.
Hoy, incluso las pequeñas empresas utilizan esta práctica para impulsar sus resultados y ganar eficiencia.
Por lo tanto, todas las empresas que procesan datos de ciudadanos brasileños o que fueron recopilados en Brasil deben cumplir con la nueva legislación.
En otras palabras, independientemente de su tamaño, sector de actividad y ubicación geográfica.
Sabemos que para muchos emprendedores, especialmente los pequeños y medianos, este escenario se presenta como un gran desafío, especialmente debido a la falta de claridad sobre la legislación y sus aspectos técnicos.
Sin embargo, es importante enfatizar que es necesario superar estas dificultades.
Sobre todo, porque a partir de agosto de 2021, comenzarán a aplicarse sanciones a las personas jurídicas que no operen de acuerdo con la ley general de protección de datos.
Si ni siquiera sabes por dónde empezar a adaptar tu negocio, quédate con nosotros y te ayudaremos con eso.
LGPD paso a paso: cómo cumplir con la ley general de protección de datos
Comprensión de conceptos
Lo primero que se debe hacer en un proceso de adaptación a la LGPD es comprender los conceptos básicos que están presentes en la legislación.
Esta comprensión es importante para que tengas una mayor claridad sobre la ley.
Datos Personales
Es común creer que los datos personales son aquellos como nombre, RG, CPF, por ejemplo.
Sin embargo, el estándar de la LGPD se basa en un concepto más amplio.
Entendiendo los datos personales como todo aquello que, solo o en conjunto con otros, puede identificar a una persona o someter a una persona a cierto comportamiento.
Hoy tenemos una gama de formatos de datos personales que pueden ser recopilados de diferentes fuentes.
Una cookie generada al acceder a un sitio web, por ejemplo, se considera un dato personal, ya que puede ser utilizada en acciones de marketing.
Una cookie no informa quién es la persona. Pero, permite a una empresa inferir perfiles de comportamiento. Y así, dirigir su publicidad para que sea más efectiva y capaz de impactar al usuario.
Datos personales sensibles
El estándar de la LGPD también introduce el concepto de datos personales sensibles.
¿Cuáles son aquellos sobre:
origen étnico,
creencia religiosa,
opinión política,
afiliación a un sindicato o institución religiosa,
filosófica o política,
datos referentes a la salud,
vida sexual,
genética o biométrica.
Procesamiento de datos
El procesamiento es cualquier operación realizada con datos, desde la recolección hasta la disposición.
La ley general de protección de datos establece normas para cualquier acción de este tipo:
recolección, clasificación,
uso,
compartir,
almacenamiento,
procesamiento, etc.
Controlador, Operador y Regulador
El estándar de la LGPD establece tres nuevas figuras:
el controlador,
operador
y el regulador.
El Controlador
El Controlador es la empresa que toma las decisiones sobre los datos personales.
Define cuándo y cómo se recopilarán los formatos de datos; para qué usos se destinarán. Además de dónde se almacenarán, cuándo se eliminarán, etc.
El controlador puede llevar a cabo el procesamiento de datos él mismo, como puede contratar a un tercero para ello, el operador.
El Operador
El Operador aparece como la figura responsable del procesamiento de los datos.
Pero, no tiene poder de decisión sobre ellos, y siempre debe obedecer las órdenes del controlador cuando estas estén de acuerdo con la legislación.
Vale la pena reforzar que el operador que realice una acción ilegal por orden del controlador, responde conjuntamente en el juzgado.
El Oficial
El Oficial es la persona designada por el controlador para actuar en la comunicación entre:
controlador;
sujetos de datos;
y la Autoridad Nacional de Protección de Datos.
Bases Legales
Las bases legales son las hipótesis previstas en el estándar de la LGPD que autorizan el procesamiento de datos personales.
Hoy existen 10 bases legales en la legislación:
Consentimiento;
Interés legítimo;
Contratos;
Obligación legal;
Ejecución de políticas públicas;
Estudios por entidades de investigación;
Proceso judicial;
Protección de la vida;
Atención médica;
Protección de crédito.
Cumplir con la LGPD
Ahora que ya conoces los principales conceptos básicos del estándar, te mostraremos cómo puedes actuar para implementar los procesos necesarios para adaptar tu empresa.
Análisis de Escenario
El punto de partida no podría ser otro que el análisis del escenario de tu empresa.
Hay organizaciones que necesitan hacer poco para cumplir con la nueva ley, mientras que otras tienen mucho trabajo por delante.
En cuál de estos escenarios se encuentra tu empresa es una pregunta que necesita respuesta.
Pero, después de un análisis cuidadoso de cómo se utilizan los datos y la tecnología de la información en tu negocio.
En este momento, tener un experto digital marca la diferencia. Este profesional podrá hacer un mapeo asertivo de tu negocio para orientar las acciones de adaptación.
Definición del Operador de Datos
Es posible que tu empresa tenga más de un operador de datos.
Un servicio de almacenamiento en la nube, por ejemplo, entra en esta categoría, al igual que un científico de datos contratado.
Es muy importante reforzar que los operadores de datos también deben obedecer la legislación.
Responden judicialmente, ya sea de forma conjunta o incluso completa.
Es decir, si llevan a cabo el procesamiento de datos de manera ilegal sin una orden directa del controlador.
Por lo tanto, siempre busca profesionales y empresas de confianza y evita dolores de cabeza y pérdidas.
Plan de Seguridad de la Información
Después de entender el escenario de tu empresa y definir los operadores de datos, es hora de establecer un programa de privacidad de datos.
En este programa, deben incluirse medidas técnicas y administrativas para garantizar la seguridad de la información, evitando sanciones previstas en la ley.
Programa de Gobernanza de Privacidad
En conclusión, tu empresa debe establecer un programa de gobernanza de privacidad.
Es decir, definir buenas prácticas en el uso de datos personales.
En este momento, deben definirse:
procedimientos,
régimen operativo,
estándares de seguridad,
normas técnicas,
acciones educativas
y organismos de control y seguimiento.
El programa de gobernanza de privacidad es el cerebro y el corazón del cumplimiento de la LGPD.
Sobre todo, es él quien definirá las prácticas para garantizar que todo procesamiento de datos personales esté de acuerdo con las bases legales.
Conclusión
La Ley General de Protección de Datos es un logro importante para los ciudadanos brasileños.
En resumen, en este momento en que el poder del uso de datos personales y sus impactos sociales se hacen cada vez más evidentes.
Es esencial que las empresas no vean la LGPD como solo otra burocracia.
Pero, como una necesidad del mundo moderno que beneficia a todos.
Garantizando, por ejemplo, una mayor seguridad y transparencia en el uso de la información que proporcionamos e incluso generamos.
A partir del segundo semestre de 2021, comenzarán a aplicarse sanciones legales a las organizaciones que no cumplan con la legislación.
Por lo tanto, si aún no has comenzado a cumplir con la LGPD, ¡no pierdas más tiempo!
Asegura un trabajo ágil de acuerdo con la ley. Cuenta con el servicio de profesionales especializados en seguridad de la información.
STW Brasil está listo para ayudarte y asegurar que tu negocio cumpla con la LGPD.
¡Hasta la próxima vez!
