Con la aplicación de la LPGD (Ley General de Protección de Datos - Ley nº 13.709/2018) que entró en vigor el 26 de agosto de 2020, las empresas están obligadas a adaptarse lo antes posible a la normativa establecida por la ley brasileña. Presentamos más detalles sobre la legislación en el post LGPD: su empresa a la vanguardia de la protección de datos.
Las reglas para el tratamiento de los datos de los usuarios con el fin de proteger y garantizar la seguridad de los datos contenidos en bases de datos digitales y físicas, clasificados como datos personales, sensibles y anónimos, determinan la forma en que debe llevarse a cabo el tratamiento de los datos. En este contexto, al realizar la gestión de los datos, la empresa debe tener en cuenta los principios establecidos en la LGPD (Art. 6):
- Propósito;
- Idoneidad;
- Necesidad;
- Acceso libre;
- Calidad de los datos;
- Transparencia;
- Seguridad;
- Prevención;
- No discriminación;
- Responsabilidad y rendición de cuentas.
Uno de los puntos principales cuando se trata del tratamiento de datos personales (clientes, proveedores y empleados) es el consentimiento del interesado, es decir, que el interesado (persona propietaria de los datos) autorice el uso de sus datos para el fin para el que fueron recogidos, así como el derecho del interesado a modificar o suprimir su información en la base de datos. La finalidad de la recogida de datos debe indicarse claramente (de forma explícita).
El incumplimiento de los criterios establecidos por la Ley General de Protección de Datos (LGPD) da lugar a sanciones que van desde advertencias, multas del 2% de la facturación, limitadas en total a 50.000.000,00 R$ (cincuenta millones de reales) por infracción, hasta la suspensión parcial o total del ejercicio de actividades relacionadas con el tratamiento de datos.
Es importante señalar que la LGPD es aplicable a cualquier organización (desde grandes a pequeñas empresas), en todos los sectores.
Tratamiento de datos
La Ley General de Protección de Datos considera el proceso de tratamiento de datos (art. 5, punto X) como:
X - tratamiento: cualquier operación realizada con datos personales, como las relativas a la recogida, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, elaboración, archivo, conservación, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción;
Para llevar a cabo estas operaciones, las empresas se apoyan en el operador, que trata los datos personales por cuenta del responsable del tratamiento, mientras que el responsable del tratamiento se refiere a la persona encargada de tomar las decisiones relativas al tratamiento de datos.
¿Qué es un RPD?
La legislación prevé el nombramiento de un responsable, denominado DPO (Data Protection Officer), para ayudar a las empresas en sus actividades de cumplimiento de la normativa.
Según la LGPD, las obligaciones de un responsable del tratamiento de datos son las siguientes:
Art. 41: El responsable del tratamiento debe designar a la persona encargada del tratamiento de los datos personales.
§ Apartado 1 La identidad y los datos de contacto del responsable deben hacerse públicos de forma clara y objetiva, preferiblemente en el sitio web del responsable del tratamiento.
§ Párrafo 2: Las actividades del capataz consisten en:
I - aceptar las quejas y comunicaciones de los propietarios, proporcionar aclaraciones y adoptar medidas;
II - recibir comunicaciones de la autoridad nacional y tomar medidas;
III - orientar a los empleados y contratistas de la organización sobre las prácticas que deben seguirse en relación con la protección de datos personales; y
IV - desempeñar otras funciones determinadas por el controlador o establecidas en normas complementarias.
Apartado 3 - La autoridad nacional podrá establecer normas adicionales sobre la definición y las funciones del responsable, incluida la posibilidad de renunciar a la necesidad de su nombramiento, en función de la naturaleza y el tamaño de la organización o del volumen de las operaciones de tratamiento de datos.
¿Cuáles son las funciones de un RPD?
En resumen, las funciones del RPD consisten en informar y orientar a los demás agentes (operador y controlador) y a los demás empleados/contratistas sobre sus actividades y obligaciones en virtud de la LGPD.
El RPD también es responsable de supervisar el proceso y documentar que se lleva a cabo de acuerdo con los criterios exigidos por la ley. Además, el RPD es el contacto que actúa como intermediario entre el responsable del tratamiento y los interesados.
¿Cuáles son los requisitos para ser RPD?
Nuevo en Brasil, el cargo de DPO requiere conocimientos en las áreas de tecnología, ciberseguridad y cumplimiento, además de dominar la nueva legislación.
El instituto EXIN ofrece un programa de cualificación que cubre los tres exámenes necesarios para cumplir los requisitos profesionales para trabajar a escala internacional como RPD:
- Fundación para la Seguridad de la Información (ISFS) basada en la norma ISO 27001;
- Fundación para la Protección de Datos y la Privacidad (PDPF);
- Profesional de la privacidad y la protección de datos (PDPP).
Una vez superados estos exámenes, el profesional obtiene el certificado de OPD.
Lean Sales cuenta con un responsable de la protección de datos (RPD) profesional, cualificado y capaz de actuar de conformidad con las normas establecidas por la LGPD.