Puede parecer controvertido imaginar que, de repente, la Ley General de Protección de Datos (LGPD), entrará en vigor en todo el país. Después de todo, la Ley Nº 13.709/2018, que define la nueva legislación, fue sancionada el 14 de agosto de 2018, estableciendo un período de adaptación de 18 meses, fijado para entrar en vigor en 2020.
Sin embargo, la ley sufrió aplazamientos en el mismo año en que debía entrar en vigor (2020), y luego hubo expectativas de que se prorrogara hasta 2021 como consecuencia de la pandemia de COVID-19.
Pero, entre idas y venidas en el Congreso Nacional y aprobaciones y vetos presidenciales, esperamos que la Ley entre en vigor en cualquier momento. Desgraciadamente, estos cambios generan mucha inestabilidad en relación con la nueva legislación y un riesgo que puede afectar directamente al principal objetivo de la ley: la protección y la privacidad de los brasileños.
Además de la definición (o falta de definición clara), de la fecha de entrada en vigor de la LGPD, el Gobierno Federal ha establecido recientemente la estructura de la Autoridad Nacional de Protección de Datos (ANPD)órgano responsable de garantizar la protección de datos personales, elaborar directrices para la Política Nacional de Protección de Datos Personales y Privacidad, supervisar y aplicar sanciones en casos de incumplimiento de la legislación, entre otras atribuciones definidas en la Ley 13.709.
Expectativas aparte, las empresas y organizaciones necesitan, ahora más que nunca, estar preparadas para los requisitos que pronto impondrá la ley de protección de datos. A pesar de todo este periodo de transición, sigue habiendo cuestiones sobre la LGPD que las empresas deben comprender para cumplir la nueva legislación.
Para ayudarle a aclarar las principales dudas, hemos elaborado una lista con las preguntas y respuestas más importantes para que pueda adaptar la LGPD a su empresa.
Preguntas y respuestas sobre la LGPD que su empresa debe conocer para cumplir la ley de protección de datos
Aunque no existe una lista de control universal aplicable a todos los casos, algunos problemas surgen con más frecuencia que otros. Y estas preguntas y respuestas sobre la LGPD serán pertinentes durante años, ya que la nueva legislación no tiene fecha de caducidad.
#1. ¿Es usted responsable o encargado del tratamiento de datos? ¿Determina usted los fines y medios del tratamiento de datos personales o trata datos personales por cuenta de terceros?
Responder a esta pregunta es crucial para determinar el alcance de sus obligaciones en virtud de la ley de protección de datos. De todas las preguntas y respuestas sobre la LGPD, ésta probablemente le orientará sobre la mayoría de las medidas que hay que tomar en adelante.
Los responsables del tratamiento deciden qué datos se recogen, con qué fin, cómo se tratan y durante cuánto tiempo. Esto significa que usted es responsable de cumplir un amplio abanico de obligaciones, como proteger los datos, cumplir los objetivos de, por ejemplo, minimización de datos y transparencia del tratamiento. También es usted quien tiene la obligación de responder y facilitar el ejercicio de los derechos del interesado.
Por otro lado, si usted es un encargado del tratamiento, trata los datos por cuenta de un responsable del tratamiento y sólo dentro del ámbito que éste haya determinado. Por lo tanto, usted no puede tomar decisiones sobre qué datos personales se procesan y cómo. Su principal obligación es proteger los datos que procesa frente a accesos no autorizados, modificaciones, etc.
#2. ¿Realiza todas las actividades de procesamiento usted mismo o utiliza servicios de procesamiento de terceros, como el alquiler de servidores?
Si utiliza un servicio de tratamiento por terceros, deberá celebrar un acuerdo específico por escrito (incluso en formato electrónico), que deberá regular, en particular, el objeto y la duración del tratamiento, la naturaleza y la finalidad del tratamiento, los tipos de datos personales y las categorías de interesados, así como las obligaciones y los derechos del responsable del tratamiento.
Recuerde que, aunque no trate usted mismo los datos, sigue siendo responsable del tratamiento. Elija sólo aquellas empresas que garanticen la aplicación de medidas técnicas y organizativas de tratamiento adecuadas para cumplir los requisitos de la LGPD y garantizar la protección de datos.
El conjunto de preguntas y respuestas sobre la LGPD también se aplica a terceras empresas.
#3. ¿Quién puede acceder a los datos personales de su empresa? ¿Existen diferentes niveles de acceso para los distintos puestos?
El hecho de que usted, como responsable o encargado del tratamiento, tenga derecho a tratar los datos no significa que todos sus empleados puedan acceder a ellos: sólo deben tener esos derechos las personas cuya posición dentro de su empresa así lo requiera.
No olvide especificar el alcance de la autorización: a qué tipo de datos pueden acceder (por ejemplo, datos de clientes, datos relacionados con el empleo) y qué pueden hacer con ellos. Algunas personas necesitarán tener acceso completo, incluido el derecho a introducir, modificar o borrar los datos, mientras que para otras bastará con el derecho a verlos.
#4. ¿Todos los datos que recopila son realmente necesarios para la finalidad de su tratamiento?
Una de las principales normas de protección de datos personales es la minimización de datos. Obliga al responsable del tratamiento a limitar -por defecto- al mínimo necesario la cantidad de datos personales recogidos, así como el alcance de su tratamiento, el periodo de su almacenamiento y su accesibilidad.
Recuerde tener esto en cuenta al auditar sus bases de datos y al diseñar nuevos flujos de datos (creación de formularios, toma de decisiones sobre el seguimiento de actividades, etc.).
#5. Cómo se utilizan los datos recogidos: ¿cuál es la finalidad del tratamiento de datos personales?
Los datos sólo podrán tratarse con fines determinados, explícitos y legítimos, y no podrán tratarse de forma incompatible con dichos fines.
# LGPD 6. ¿Recoge datos confidenciales, como historiales médicos, datos sobre origen racial o étnico, creencias religiosas o filosóficas, etc.?
El tratamiento de datos sensibles está prohibido por defecto y sólo puede darse en circunstancias específicas descritas en la LGPD, por lo que una recomendación general sería evitar por completo el tratamiento de estos datos. Si esto no es posible, busque asesoramiento jurídico para identificar recursos que proporcionen una base legal para el tratamiento de dichos datos.
#7. ¿Ha comprobado si existen procesos en su empresa que requieran la realización de una evaluación del impacto de la protección de datos?
Dicha evaluación debe llevarse a cabo en el caso de un tratamiento que -teniendo en cuenta su naturaleza, alcance, contexto y fines- pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, en particular debido al uso de nuevas tecnologías.
Puede ser necesario en casos específicos, entre ellos:
- la evaluación sistemática y exhaustiva de aspectos personales relativos a personas físicas que se base en un tratamiento automatizado, incluida la elaboración de perfiles, y en la que se fundamenten decisiones que produzcan efectos jurídicos sobre la persona física o le afecten de forma significativa.
- El tratamiento de datos sensibles a gran escala.
- Vigilancia sistemática a gran escala de una zona de acceso público.
#8. ¿Cómo se gestionará el derecho a la portabilidad de datos? ¿En qué formato se facilitarán los datos al interesado o a otro responsable del tratamiento a petición del interesado?
El derecho a la portabilidad de los datos puede ejercerse si el interesado ha facilitado datos a un responsable del tratamiento. El tratamiento se lleva a cabo por medios automatizados y se basa en uno de los siguientes fundamentos jurídicos: el consentimiento del interesado o un contrato en el que el interesado es parte.
Permite al interesado solicitar una copia de sus datos en un formato estructurado, común y legible. La LGPD no proporciona más especificaciones de este formato, por lo que corresponde al responsable del tratamiento elegirlo, teniendo en cuenta que el interesado puede solicitar que los datos se transmitan directamente a otro responsable.
#9. ¿Cómo puede un usuario solicitar el acceso a sus datos, incluida la recepción de una copia de sus datos personales tratados? ¿Este proceso se realizará de forma manual o automática? ¿En qué formato se entregará la copia?
El interesado puede solicitar al responsable del tratamiento una copia de sus datos personales objeto de tratamiento. Cuando se ejerza este derecho por primera vez, el responsable del tratamiento proporcionará dicha copia gratuitamente, pero en caso de solicitudes posteriores, el responsable del tratamiento podrá cobrar una tarifa razonable basada en los costes administrativos.
Salvo que el interesado solicite lo contrario, si la solicitud se realiza por medios electrónicos, la información también se facilitará en formato electrónico.
Al prepararse para que el interesado ejerza sus derechos sobre los datos, el responsable del tratamiento debe plantearse un puñado de preguntas importantes, siendo las más importantes:
- Cómo puede presentarse la solicitud: a través de un sitio web específico, con un formulario de solicitud e instrucciones, o quizá, por ejemplo, por correo electrónico;
- Este proceso se realizará de forma manual o automática;
- En el primer caso, hay suficiente personal formado para gestionar la carga de trabajo entrante;
- Los procedimientos y medios organizativos existentes permiten atender estas solicitudes sin demoras indebidas.
#10. ¿Se compartirán los datos con terceros, incluso dentro de su grupo? ¿Cuándo, cómo y sobre qué base jurídica?
Cuando usted es el responsable del tratamiento, compartir datos con otras entidades puede adoptar dos formas:
- El tratamiento se llevará a cabo en su nombre, usted especifica su finalidad, duración, las obligaciones del encargado del tratamiento, etc.: en este caso, necesita celebrar un contrato que regule todas estas cuestiones con el encargado del tratamiento, y no tiene que pedir el consentimiento del interesado para hacerlo;
- Su empresa pierde el control sobre los datos que comparte y su tratamiento, y el destinatario se convierte en controlador independiente de esos datos, en cuyo caso necesitará una base jurídica para compartir datos personales (por ejemplo, el consentimiento del interesado especificando con quién comparte los datos y con qué fin).
Preguntas y respuestas sobre la LGPD que van más allá del concepto básico
Preguntas básicas como “¿Qué es la LGPD?”, ” ¿Qué son los datos personales y confidenciales?”, “¿Cuándo entra en vigor la LGPD?” se han dejado de lado para mostrar que la ley de protección de datos está directamente vinculada a los procesos de negocio de su empresa, y por lo tanto el objetivo de la aplicación de la ley de protección de datos debe ser algo más profundo.
Esto significa que las preguntas y respuestas sobre LGPD deben centrarse en las herramientas, características como la adopción de la firma electrónica, el cifrado, la formación, entre otros puntos que no quedaron retratados en nuestra lista. Es necesario ir más allá.
A poco más de un año de su entrada en vigor, las empresas deben estar atentas a los próximos pasos de la Ley General de Protección de Datos. Es decir, la ejecución de las acciones de cumplimiento necesarias antes de la entrada en vigor de la LGPD.
Empresas como EVAL le ayudan a aplicar su estrategia para cumplir los requisitos previstos antes de que entre en vigor la LGPD con soluciones para evaluar riesgos, aplicar políticas, proteger datos, responder a incidentes y solicitudes y demostrar el cumplimiento.
EVAL puede ayudar a su empresa a unificar las operaciones empresariales con la protección y la seguridad de los datos, permitiendo la medición de riesgos en toda la organización para ayudar en la aplicación de un plan integral de cumplimiento de la LGPD.
Acerca de Eval
EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.
Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.
Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.
Eval, la seguridad es un valor.