La Ley General de Protección de Datos - LGPD y Seguridad Online
25/09/2019
25/09/19
En est momento, millones de personas en todo el mundo están en línea y proporcionan sus datos a diversos entornos digitales. Cada momento, alguien crea nombres de usuario y contraseñas para usar sitios web y aplicaciones. Ya sea para comprar, estudiar, trabajar, publicar fotos, jugar, escuchar música, pagar facturas ... Para ello, proporcionamos datos como nuestros correos electrónicos, números de documentos, tarjetas de crédito, patrones de consumo, preferencias, historial de navegación y muchos otros.
¿Y qué se hace con nuestra información? ¿Cómo se asegura de que sean seguros? Es lo que regula la Ley 13.709, conocida como Ley General de Protección de Datos. La LGPD fue sancionada en agosto de 2018 por Michel Temer y la votación entró en vigor el 18 de septiembre de este año. A partir de la sanción, todas las empresas deberán seguir las definiciones legales para el tratamiento de los datos personales de clientes, empleados, visitantes, proveedores o cualquier otra categoría de titular que tenga sus datos tratados. El uso de cualquier información personal, desde la más básica, como nombre y correo electrónico, hasta datos de salud, deberá incluirse en la nueva ley. Las multas por incumplimiento pueden llegar a R$ 50 millones.
El procesamiento de datos es cualquier procedimiento que involucre el uso de información personal, como la recolección, clasificación, uso, procesamiento, almacenamiento, intercambio, transferencia, disposición, entre otras acciones.
La LGPD determina las reglas sobre el uso de datos personales en todas las transacciones en línea. La ley prohíbe el uso indiscriminado de datos personales. Para cumplir con la legislación, las empresas deberán definir la base legal para el uso de los datos y deben informar la finalidad específica de los datos utilizados. La LGPD también requiere que las empresas o agencias públicas eliminen datos una vez finalizado el período de procesamiento de datos, respetando la necesidad de cumplir con otras leyes, como laborales y fiscales. Además, las empresas estarán obligadas a informar al usuario qué datos personales hay en su base de datos si así lo solicita. La información de niños y adolescentes también estará mejor protegida y solo podrá utilizarse con el consentimiento de los padres o tutores legales.
También existe la garantía de un tratamiento diferente de la información personal considerada sensible. Los datos sensibles se tratan como referencias al origen racial o étnico, creencias religiosas, opinión política, afiliación a un sindicato u organización de naturaleza religiosa, filosófica o política, datos relacionados con la salud o la vida sexual, datos genéticos o biométricos.
CÓMO IMPACTA LA LGPD EN LA VIDA DE CIUDADANOS, EMPRESAS Y GOBIERNO
El ciudadano deberá conocer las normas informadas por las empresas que tratan sus datos, así como conocer sus derechos y cómo ejercerlos. En cualquier momento de la relación con la institución, puede solicitar los datos y averiguar cómo se están utilizando.
Las empresas deberán implementar una estructura y una política interna de cumplimiento para manejar adecuadamente los datos de sus clientes. Esto es para las entidades del sector público y privado.
Para que este proceso se lleve a cabo de forma adecuada, la LGPD define tres roles importantes en las organizaciones: el responsable del tratamiento, quien determinará las decisiones sobre el tratamiento de los datos, y suele ser la empresa con la que el titular tiene una relación comercial; el operador, que puede ser contratado por la sociedad controladora para realizar un tratamiento de datos personales; y el delegado de protección de datos (DPO), que es el profesional que se comunica entre el controlador y la agencia responsable por la fiscalización de la ley.
Se recomienda que las empresas creen un comité para la elaboración de políticas internas, metas y planes de gestión de protección de datos, así como planes de emergencia para la gestión de crisis que involucren seguridad y privacidad. En momentos de fuga de información, el cliente y la agencia reguladora del gobierno deben ser notificados de manera oportuna.
Los empleados de la entidad controladora deben conocer los procedimientos y, por lo tanto, deben estar formados sobre la nueva legislación y también sobre cómo se llevará a cabo el tratamiento de datos dentro de la empresa.
El gobierno estructurará la Autoridad Nacional de Protección de Datos (ANPD), que será el organismo encargado de vigilar el cumplimiento de la LGPD. Este organismo también deberá elaborar los lineamientos de la ley y aplicar las sanciones previstas para las empresas públicas o privadas que incumplan los requisitos.
CÓMO ES LA LGPD EN EL EXTRANJERO
La LGPD estuvo en discusión durante ocho años antes de su creación. Se basa en GDPR (acrónimo en inglés de General Data Protection Regulation), que es la ley de privacidad y protección de datos personales pionera en la Unión Europea. Efectivo desde 1995, fue creado luego de filtraciones y escándalos de intercambio de datos sin el consentimiento de los propietarios realizados por grandes empresas de tecnología, como Facebook.
El RGPD solo es válido para empresas con sede en Europa, que operan en el continente o utilizan datos de ciudadanos europeos. Sin embargo, las grandes empresas de tecnología han extendido el cumplimiento de los requisitos a todos sus usuarios, independientemente del país de origen. Lo mismo debería suceder con el LGDP que es para uso en el territorio nacional o con datos de brasileños, pero que puede operar en otros países.
LGPD EN NEOENERGÍA
Neoenergia definió tres fases para su adecuación a la Ley General de Protección de Datos. Fueron: mapeo y definición de planes de acción; implementación de planes definidos y ajustes al catálogo de procesamiento de datos; mejora del modelo de gobernanza. La empresa ya se encuentra en la tercera fase de este proyecto.
La primera decisión de Neoenergia fue registrar las Acciones de Tratamiento de Datos. En este amplio catálogo encontrará toda la información sobre el tratamiento de datos que se realiza en la empresa. Este catálogo también contiene la base legal de cada tratamiento y da soporte a diversas informaciones al respecto.
Con los planes de acción definidos tras el mapeo de los datos, Neoenergia implementó la publicación de avisos de privacidad en los sitios web, implementó los canales para que los titulares ejerzan sus derechos e inició un proceso de capacitación y educación. cultura de protección de datos personales entre sus empleados, así como la adecuación de sus procesos.
Hoy en día los titulares (clientes, visitantes, etc.) que tengan datos personales tratados por Grupo Neonergia ya pueden acceder a la página Política de Privacidad / Avisos en los sitios web de la compañía. La estructura organizativa para el tratamiento de la seguridad de los datos personales ya está conformada, desde el DPO (siglas en inglés de Data Protection Officer) hasta 21 Responsables de Protección de Datos en las diferentes áreas de la empresa. Además, las regulaciones de Ciberseguridad, Protección de Datos Personales y Manejo de Incidentes han sido revisadas y actualizadas para un mayor cumplimiento de la LGPD.
Actualmente, la compañía está realizando mejoras en el modelo de gobierno y protección de datos personales, así como implementando algunos ajustes al Marco de Manejo de Incidentes, que son las reglas internas de cómo proceder en caso de fuga de datos u otros incidentes de ciberseguridad.
Neoenergia considera que LGPD es importante para que Brasil pueda continuar operando en el comercio internacional de servicios. Con una ley que establezca claramente deberes y derechos en relación a la protección de datos personales, habrá un gran avance en el nivel de madurez de las organizaciones, así como de los titulares, en relación al uso de datos personales.