Aprovechando que hoy, 28 de enero, se celebra el Día Internacional de la Protección de Datos Personales, desde WeLiveSecurity entrevistamos al Chief Security Evangelist de ESET, Tony Anscombe, quien aclara varios puntos en relación a la Ley General de Protección de Datos de Brasil (LGPD). Por ejemplo, cuál es el alcance que tiene la misma y a quiénes impacta, las principales diferencias con el GDPR, si ya es posible realizar denuncias por incumplimiento, y qué deberían hacer las empresas para prepararse de aquí hasta agosto de 2021 cuando las penalizaciones comiencen a hacerse efectivas.

Con un gran conocimiento sobre temas vinculados a la privacidad y las distintas regulaciones que existen en el mundo, Tony abordó en reiteradas oportunidades y desde distintos enfoques el tema de la privacidad de los datos personales y la información de los usuarios, ya sea como fuente de consulta sobre el GDPR, a través de artículos en los que plantea si es viable pensar en la posibilidad de que exista una ley de privacidad global o si legislar la seguridad de los dispositivos IoT es una solución para dar respuesta a los desafíos de seguridad que suponen los dispositivos inteligentes. Por eso, en esta oportunidad decidimos consultarle acerca de la LGPD de Brasil, una ley que entró en vigor hace unos pocos meses y sobre la cual hay algunas dudas por parte de las empresas y los consumidores.

La ley entró en vigor en agosto de 2020 pero las penalizaciones comenzarán a hacerse efectivas en agosto de 2021. ¿Esto quiere decir que las empresas responsables del uso indebido de los datos personales previo a agosto de 2021 no serán sancionadas?

A pesar de que las sanciones derivadas del incumplimiento de la LGPD no serán impuestas por el regulador oficial hasta agosto de 2021, es posible que se presenten litigios civiles. El Ministerio Público del Distrito Federal y territorios presentó una demanda de este tipo en septiembre de 2020, contra una empresa informática por la supuesta venta de información personal de 500.000 ciudadanos. La opción de presentar una demanda civil abre la posibilidad de realizar un litigio tanto civil como colectivo.

¿Cuáles son las diferencias más importantes entre la LGPD y el GDPR?

Si bien en general hay muchas similitudes entre la LGPD y el GDPR, aquí están algunas de las diferencias más importantes:

  • La LGPD no define los tipos de datos de la forma en que lo hace el GDPR, esto significa que el reglamento es muy amplio y puede aplicarse a los datos vinculados directa o indirectamente a una persona o grupo de personas.
  • El GDPR permite a las empresas utilizar libremente los datos anónimos sin revelarlos, lo que no ocurre con la LGPD, ya que no existe un lenguaje relativo a los tipos de datos, lo que significa que, independientemente de la anonimización, la recopilación debe ser revelada.
  • La LGPD da a las empresas solo 15 días para responder a las solicitudes de datos por parte de los consumidores, frente a los 30 días que otorga la GDPR.
  • Las multas máximas que puede imponer la LGPD son del 2% de los ingresos globales o 50 millones de reales, lo que equivale aproximadamente al 50% del valor de la multa que puede llegar a imponer el GDPR.
  • La LGPD no tiene un tiempo definido en el que una empresa debe reportar que ha sido víctima de una violación de datos, en la actualidad solo establece un "tiempo razonable". La GDPR obliga a hacerlo en un plazo de 72 horas.

¿A quiénes impacta la LGPD? ¿A ciudadanos y empresas de todo el mundo o solo de Brasil?

La LGPD afecta a empresas de todos los tamaños, con algunas excepciones, como las periodísticas, artísticas, académicas, de seguridad pública y de defensa nacional. El reglamento entra en vigor independientemente de dónde las empresas y organizaciones tienen su sede cuando se cumplen algunas de las siguientes condiciones: los datos se recogen o procesan dentro de Brasil o los datos se procesan con el fin de ofrecer bienes o servicios a individuos en Brasil. El uso de la palabra "individuo" amplía el alcance de la regulación más allá de los ciudadanos y lo hace aplicable a cualquier persona que se encuentre en el territorio nacional de Brasil, independientemente de su condición de ciudadano.

¿Un sitio web fuera del territorio brasileño al que acceden persona desde Brasil se ve afectado por la ley?

Si el sitio web recoge datos personales de personas situadas en Brasil y lo hace con el fin de suministrar bienes o servicios, deberá cumplir con la LGPD.

¿La ley afecta a empresas extranjeras ubicadas en Brasil o que estén en el extranjero pero que procesan datos de personas de Brasil?

Sí, cualquier empresa que procese datos de un individuo que se encuentre en Brasil tendrá que cumplir con los requisitos de la LGPD. Esto plantea la cuestión de cómo se llevará a cabo el cumplimiento de la ley, especialmente si la empresa no tiene ninguna entidad en Brasil, pero es un riesgo que no vale la pena probar.

Si una persona fuera de Brasil interactúa con un sitio web de una empresa o servicio que se ofrece en Brasil, ¿la ley tiene un impacto en estas personas?

La LGPD se aplica a cualquier persona ubicada en Brasil cuyos datos hayan sido recolectados o procesados, independientemente del lugar donde se encuentre la empresa que los recoge.

¿Crees que las empresas lograrán estar preparadas en agosto de 2021?

Dado que existe la posibilidad de entablar un litigio civil inmediato contra cualquier empresa que supuestamente infrinja la LGPD, las empresas deberían cumplirla lo antes posible. Se ha anunciado que la legislación se convertiría en ley durante un tiempo considerable, por lo que no hay excusa para no cumplirla o para tener un plan definido con acciones en curso para cumplirla.

¿Cuáles son los principales puntos que las empresas deberían atender en el proceso de implementación de procesos para cumplir con la LGPD antes de agosto de 2021?

En primer lugar, si una empresa no está segura de tener que cumplir con la LGPD, deberá buscar asesoramiento jurídico. Las empresas que deben cumplir con la ley necesitan seguir el siguiente proceso de alto nivel:

  1. Evaluación
  • Entender las políticas y procedimientos actuales para la recolección, almacenamiento y venta/compartición de datos personales.
  1. Análisis de las deficiencias
  • Revisar los requisitos de la LGPD y compararlos con los resultados de la evaluación. Crear una evaluación delta detallada entre el estado actual y al que necesita llegar la empresa para el cumplimiento.
  1. Hoja de ruta para el cumplimiento
  • Desarrollar una hoja de ruta clara con los pasos a seguir para alcanzar el cumplimiento basada en el análisis de las deficiencias.
  • Priorizar las acciones y tareas necesarias en función del riesgo y del nivel de esfuerzo requerido.
  1. Implementación
  • Desarrollar actualizaciones y mecanismos para el cumplimiento de la normativa, como políticas de privacidad, aceptación y exclusión voluntaria, actualizaciones de la web, etc.
  • Actualizar las debidas políticas de diligencia en referencia a los proveedores terceros para garantizar su cumplimiento.
  • Capacitar al personal sobre la legislación y los requisitos para el cumplimiento.

¿Cuáles son los principales desafíos para las pequeñas y medianas empresas?

La necesidad de cumplir con la normativa es independiente del tamaño de la empresa. En el caso de una pequeña o mediana empresa que se enfrente a la necesidad de cumplir con la normativa, es probable que tenga que asegurarse de que la empresa se adapta a los requerimientos y que cuenta con recursos para llevar a adelante las tareas necesarias para evaluar la necesidad de cumplir con lo que establece la misma, es decir, crear políticas y aplicar procesos para cumplir con la normativa. Es probable que muchas pequeñas empresas no dispongan de los procesos y políticas necesarias que pueden requerirse, mientras que las empresas más grandes tendrán equipos dedicados que ya gestionan estos procesos. Es probable que la falta de recursos cualificados sea un problema en todas las empresas de Brasil, ya que probablemente las empresas se estén tomando las medidas necesarias en la carrera por retener y contratar el talento necesario.

¿Cuál es la principal recomendación para las empresas que se están preparando?

  • Designe a una persona para que esté a cargo de la necesidad de cumplir con la LGPD, un responsable de la protección de datos. Esta persona debe saber dónde están los datos, por qué se recolectaron y asegurarse de eliminar los datos que ya no sean necesarios. Debe formar a la empresa en la necesidad de cumplir la normativa, capacitar al personal, controlar el acceso a los datos, auditar y documentar las evaluaciones de riesgo y, lo más importante, debe llevar un registro. Y además, ser la interfaz con los consumidores que hacen consultas y solicitudes.
  • Documente las políticas de seguridad y disponga de los controles adecuados para hacerlas cumplir y para demostrar el mantenimiento continuo.
  • Implemente controles de acceso, incluida la autenticación de dos factores, y el cifrado de los datos almacenados y en tránsito.
  • Asegúrese de realizar el cifrado de disco completo en aquellos dispositivos de punto final que tienen acceso a los datos de los clientes y que todos los sistemas cuenten con un software de protección de punto final o servidor.
  • Asegúrese de que los sistemas de backup y de recuperación estén operativos para poder atender las solicitudes de los clientes independientemente de los problemas operativos que puedan afectarlo.

Lectura recomendada: Tipos de backup y los errores más comunes a la hora de realizarlo

¿Cómo va a impactar la ley en los usuarios a partir de agosto? ¿Antes de esa fecha pueden denunciar?

La ley no sólo consiste en presentar una denuncia cuando se percibe que algo se hizo de manera incorrecta. Los consumidores tienen derechos bajo la legislación de la LGPD que pueden ser ejercidos en cualquier momento, entre ellos:

  • Confirmación de que están siendo procesados datos personales
  • Acceso a los datos
  • Corregir los datos incompletos, inexactos o no actualizados
  • Solicitar la eliminación, el bloqueo o la anonimización de los datos recogidos de forma innecesaria, excesiva o no conforme con lo dispuesto por la normativa
  • Solicitar la eliminación de los datos personales, existiendo varias excepciones como los datos retenidos por motivos normativos o legales
  • La portabilidad de los datos a otro proveedor de servicios o productos
  • Solicitar información sobre las entidades con las que se han compartido los datos
  • Información sobre las consecuencias de negar el consentimiento
  • La opción de quitar el consentimiento

En el caso de que un consumidor tenga motivos para presentar un reclamo, antes de agosto de 2021, por el incumplimiento de la LGPD podrá interponer una demanda civil contra la empresa. Esto puede ser complicado para muchos individuos, pero es probable que las organizaciones de defensa de la privacidad defiendan la causa de los individuos e inicien el litigio en su nombre.

¿Qué mecanismos tendrá el usuario para denunciar el incumplimiento de la ley?

Cualquier reclamo que el usuario tenga siempre deberá ser dirigido en primer lugar a la empresa en cuestión. Solo cuando se ha establecido una respuesta insatisfactoria, o no se recibió respuesta alguna, se debe buscar una acción adicional, ya sea a través de una acción civil o regulador.

La nueva autoridad brasileña para la protección de datos (ANPD) no se creó por decreto hasta agosto de 2020, y como toda nueva organización tardará en hacerse efectiva. La agencia tendrá 36 empleados, incluidos sus directores. Uno de los departamentos será el de la Defensoría del Pueblo, el cual se encargará de aceptar las quejas, consultas y sugerencias del público en general. El proceso real para presentar una queja se aclarará sin duda a medida que el nuevo organismo regulador se establezca.

¿Puede el hecho de que el organismo regulador (Autoridade Nacional de Proteção de Dados o “ANPD”) no esté operativo cree cierta incertidumbre legal?

Una regulación sin un organismo de ejecución provoca inseguridad jurídica, lo que significa que no hay un ente que aporte claridad sobre los detalles reales de la regulación y la interpretación de las normas. Sin embargo, como se pueden interponer demandas civiles contra las empresas, es probable que los tribunales establezcan precedentes que aporten claridad. Sin embargo, esto podría crear un problema en el que los jueces se sientan facultados para ser los encargados de hacer cumplir la normativa, quitándole el prestigio y la autoridad al organismo regulador.

A partir de agosto de 2021 comenzarán a hacerse efectivas las penalizaciones por el incumplimiento de la LGPD. Esperemos que este artículo haya sido de utilidad para aclarar algunos puntos en relación a la ley y que para esa fecha las empresas logren cumplir con lo que establece la regulación y que los usuarios conozcan más los derechos que tienen con esta ley.