Los datos son uno de los principales activos de una empresa en la era digital/tecnológica, y se utilizan para diversos fines, desde la realización de compras y registros hasta la segmentación de clientes en función de perfiles identificados.
Sin embargo, con la expansión del volumen de datos y negocios, la exposición de los datos personales de los individuos sin su consentimiento se ha vuelto incontrolable, lo que ha llevado a un debate urgente sobre los límites entre las estrategias empresariales y la invasión de la privacidad.
Una de las filtraciones de datos más sonadas en el panorama internacional la llevó a cabo Facebook al filtrar las contraseñas y datos de 540 millones de sus usuariosy el uso de la información de más de 50 millones de usuarios sin su consentimiento por parte de la empresa estadounidense estadounidense Cambridge Analytica por motivos políticos.
Además del impacto negativo en la imagen de la empresa, junto con la desconfianza y la pérdida de usuarios, las filtraciones de datos conllevan acciones legales e importantes costes para las empresas. El estudio "Cost of a Data Breach Report 2019" realizado por IBM revela que el coste de una violación de datos es de 3,92 millones de dólares de media. En Brasil, el coste medio de una violación de datos es de 1,35 millones de dólares. El estudio también muestra que se necesitan 250 días para identificar una violación y 111 días para contenerla.
Los escándalos en torno a la filtración de datos de usuarios de grandes empresas han dirigido la atención de usuarios y empresas hacia la siguiente pregunta: ¿cómo proteger los datos personales y evitar las filtraciones?
Para frenar el uso de datos sin el consentimiento de los usuarios, la LGPD (Ley General de Protección de Datos - Ley nº 13.709/2018) ha surgido como medida para garantizar la privacidad y seguridad de los datos.
Inspirada en el GDPR (Reglamento General de Protección de Datos) de la Unión Europea, la Ley General de Protección de Datos (LGPD) de Brasil fue aprobada el miércoles (26 de agosto de 2020) por el Senado, eliminando el artículo 4 de la Medida Provisoria 959/2020, que había fijado la fecha de inicio de la legislación para el 1 de enero de 2021. Como resultado, la ley entró en vigor el 27 de agosto de 2020.
Comprender algunos de los términos utilizados en la Ley General de Protección de Datos:
- Datos personalesinformación que permite identificar a una persona: nombre, DNI, CPF, sexo, fecha y lugar de nacimiento, número de teléfono, dirección, etc;
- Datos personales sensiblesdatos relativos al origen racial o étnico, las convicciones religiosas, las opiniones políticas, la pertenencia a un sindicato o a una organización religiosa, filosófica o política, los datos relativos a la salud o a la vida sexual, los datos genéticos o biométricos;
- Datos anónimosDatos anónimos: se refieren a un interesado que no puede ser identificado;
- Base de datosRecopilación estructurada de datos personales;
- Titular de los datosPersona a la que se refieren los datos;
- Responsable del tratamientoPersona facultada para tomar decisiones sobre el tratamiento de datos personales;
- OperadorPersona que realiza el tratamiento de datos personales por cuenta del responsable del tratamiento;
- Responsable del tratamientoPersona designada por el responsable del tratamiento y el operador para actuar como canal de comunicación entre el responsable del tratamiento, los interesados y la Autoridad Nacional de Protección de Datos (ANPD);
- Informe de impacto sobre la protección de datos personalesSe trata de la documentación del responsable del tratamiento que contiene una descripción de los procesos de tratamiento de datos personales que pueden generar riesgos para las libertades civiles y los derechos fundamentales.
Fundamentos
La base (art. 2) de la LGPD se construyó sobre los siguientes fundamentos:
I - respeto a la intimidad;
II - autodeterminación informativa;
III - libertad de expresión, información, comunicación y opinión;
IV - la inviolabilidad de la intimidad, el honor y la imagen;
V - desarrollo económico y tecnológico e innovación;
VI - libre empresa, libre competencia y protección del consumidor;
VII - los derechos humanos, el libre desarrollo de la personalidad, la dignidad y el ejercicio de la ciudadanía de las personas físicas.
Sanciones
LA ANPD (Autoridad Nacional de Protección de Datos de Carácter Personal) vigilará el cumplimiento de la LGPD y sancionará las irregularidades detectadas, además de orientar y regular la aplicación de la ley con carácter preventivo.
En los casos en que las empresas no traten los datos de acuerdo con las normas establecidas por la LGPD, se aplicarán las siguientes sanciones (art. 52):
I - una advertencia, con un plazo para la adopción de medidas correctoras;
II - multa simple de hasta el 2% (dos por ciento) del volumen de negocios de la persona jurídica privada, grupo o conglomerado en Brasil en su último ejercicio, excluidos los impuestos, limitada en total a R$ 50.000.000,00 (cincuenta millones de reales) por infracción;
III - una multa diaria, sujeta al límite total mencionado en el punto II;
IV - dar publicidad a la infracción después de que haya sido debidamente investigada y confirmada;
V - bloqueo de los datos personales a los que se refiere la infracción hasta su regularización;
VI - supresión de los datos personales a los que se refiere el delito.
LGPD: su empresa a la vanguardia de la protección de datos
Las empresas deben adaptarse a las normas establecidas por la LGPD, teniendo en cuenta dos puntos importantísimos que se refieren a la finalidad para la que se recoge la información, es decir, especificar claramente el motivo por el que se recogen los datos del usuario.
Otro punto es el consentimiento del usuario para proporcionar y también su derecho a cambiar (borrar o modificar) la información en la base de datos de la empresa.
Las empresas serán responsables de toda la operación realizada con datos personales, desde el acceso (registro) hasta la utilización (el acto de utilizar los datos), dando prioridad a la protección de datos y a los tres principios de seguridad: fiabilidad (garantizar que los datos no estén expuestos a riesgos), integridad (compromiso de mantener los datos correctos y actualizados) y disponibilidad (libre acceso de los usuarios).
Los datos deben tratarse de acuerdo con los principios de la Ley General de Protección de Datos (art. 6):
I - finalidad: tratamiento efectuado con fines legítimos, específicos y explícitos e informados al interesado, sin posibilidad de tratamiento ulterior incompatible con dichos fines;
II - adecuación: compatibilidad del tratamiento con las finalidades informadas al interesado, en función del contexto del tratamiento;
III - necesidad: limitación del tratamiento al mínimo necesario para el cumplimiento de sus fines, abarcando los datos que sean pertinentes, proporcionados y no excesivos en relación con los fines del tratamiento;
IV - libre acceso: garantizar a los interesados una consulta fácil y gratuita sobre la forma y duración del tratamiento, así como sobre la exhaustividad de sus datos personales;
V - calidad de los datos: garantizar a los interesados que los datos son exactos, claros, pertinentes y actualizados, de acuerdo con la necesidad y para el cumplimiento de la finalidad para la que se tratan;
VI - transparencia: garantizar a los interesados información clara, precisa y fácilmente accesible sobre el tratamiento y los respectivos encargados del tratamiento, respetando los secretos comerciales e industriales;
VII - seguridad: el uso de medidas técnicas y administrativas para proteger los datos personales del acceso no autorizado y de la destrucción, pérdida, alteración, comunicación o difusión accidental o ilícita;
VIII - prevención: adopción de medidas para evitar que se produzcan daños como consecuencia del tratamiento de datos personales;
IX - no discriminación: imposibilidad de realizar un tratamiento con fines discriminatorios ilícitos o abusivos;
X - responsabilidad y rendición de cuentas: demostración por parte del agente de la adopción de medidas efectivas capaces de demostrar el cumplimiento de las normas de protección de datos personales, incluida la eficacia de dichas medidas.
Para gestionar esta información, las empresas deben realizar un ejercicio de cartografía para identificar el volumen de datos y el número de usuarios. La ley estipula una persona encargada de llevar a cabo las actividades de tratamiento de datos personales, denominada responsable de protección de datos (RPD).
La Ley General de Protección de Datos es aplicable a cualquier empresa, independientemente de su tamaño o sector de actividad. Las normas se aplican tanto a los datos virtuales como a los físicos, así que elimínelos correctamente para que no puedan recuperarse ni identificarse.
Además de los datos de los clientes, la LGPD también cubre la información personal de proveedores y empleados.
Como resultado, su empresa garantiza la seguridad de los datos de sus usuarios con transparencia y fiabilidad, además de proteger a la empresa de posibles irregularidades y sanciones.
A Lean Sales es una empresa responsable del tratamiento de los datos de sus usuarios. Además de ofrecer este servicio a sus socios con operaciones que tienen en cuenta los criterios establecidos por la Ley General de Protección de Datos. Garantizamos el máximo nivel de cuidado y seguridad a través de nuestro profesional DPO (Data Protection Officer).