La Ley General de Protección de Datos Personales, LGPD, cumple 6 años y, según datos de 2023, más del 80% de las empresas brasileñas aún no se han adaptado para cumplir con sus exigencias.
La ley surgió con el propósito de proteger los derechos fundamentales de libertad, privacidad y la libre formación de la personalidad de cada individuo. Considerada un avance significativo en el ámbito legislativo brasileño en términos de protección de la información que circula en la web, la LGPD es el resultado de un movimiento espontáneo de la sociedad y las autoridades brasileñas.
Recuerda la LGPD
La Ley N.º 13.709/2018 aborda el tratamiento de datos personales, ya sea en formato físico o digital, realizado tanto por personas físicas como jurídicas, de derecho público o privado.
Los datos personales son información relacionada con personas naturales identificadas, como nombre, apellido, documento de identidad, CPF (Cédula de Identidad), o no identificables, como datos de geolocalización, dirección IP, identificación de dispositivo, entre otros.
Además de los datos personales, también se clasifican los datos sensibles, caracterizados por información como origen racial o étnico, creencia religiosa, opinión política, afiliación a sindicatos u organizaciones, ya sean de carácter religioso, filosófico o político, además de datos relacionados con la salud, vida sexual, datos genéticos y biométricos.
En otras palabras, toda la información personal proporcionada en medios digitales y físicos se utiliza, almacena y trata de alguna manera. Y, para que esta información esté segura, la LGPD surge para asegurar que nada se utilice si el usuario no lo permite.
En la práctica, la ley afecta a todas las empresas, ya sean microempresas, pequeñas, medianas o grandes. Cualquier actividad que utilice datos personales en la ejecución de sus operaciones, como la recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivado, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción.
Por ejemplo, cuando vas al médico y proporcionas tus datos personales para el registro. Esta información queda en la base de datos de ese médico, ya sea física o digital. Ante esto, es necesario que el médico garantice la seguridad de estos datos, sin poder proporcionarlos a otras personas o empresas.
De la misma manera, tus clientes, al registrarse en tu boletín informativo o proporcionar datos durante una compra, necesitan que les quede claro con qué finalidad se utilizarán sus datos y que estarán seguros.
La ley establece una estructura legal de derechos para los titulares de datos personales, que deben ser garantizados durante toda la existencia del tratamiento de datos realizado por la empresa. Y, para garantizar el ejercicio de estos derechos, la LGPD prevé un conjunto de herramientas que profundizan en las obligaciones de transparencia.
¿Quién debe ajustarse a los requisitos de la ley?
La Ley General de Protección de Datos se aplica a cualquier operación de tratamiento de datos, ya sea realizada por una persona física o jurídica, tanto de derecho público como privado. Esto implica que los organismos públicos también están sujetos a estas adaptaciones.
Es importante señalar que no importa si la sede de la organización o el centro de datos se encuentra en Brasil o en el extranjero; siempre que se realice el procesamiento de información sobre personas brasileñas, o incluso sobre aquellas que se encuentren en territorio nacional, se deben cumplir los requisitos establecidos por la LGPD.
Todos los sectores del mercado que operan en Brasil deben cumplir con esta legislación, lo que incluye a los organismos de investigación y estudios.
Beneficios de la LGPD para su empresa
Una de las principales motivaciones detrás de la creación de la ley fueron los ataques cibernéticos que resultaron en la filtración de datos, similares a los que ya ocurrieron en empresas como Facebook, Uber, Adobe, Banco Central e incluso el Ministerio de Salud.
Por lo tanto, una de las ventajas clave de adaptar su empresa a los requisitos de la LGPD es fortalecer la seguridad jurídica y la ciberseguridad, aspectos esenciales en la actualidad. Después de todo, los datos de IBM revelan que Brasil ocupa el cuarto lugar en el ranking de registros de filtraciones de datos, y en el segundo semestre de 2022, el país experimentó un aumento de casi el 50% en los ataques cibernéticos sufridos.
Las empresas que cumplen con los requisitos de la LGPD mejoran la relación con sus clientes, transmitiendo mayor confianza y generando una mayor credibilidad para la marca. Además, una mayor conciencia sobre la protección de datos promueve el control de acceso a la información, facilitando el mapeo de riesgos y la reducción de fallas de seguridad.
Lo que ha cambiado en los últimos 6 años
A lo largo de los años, la ley ha experimentado adaptaciones para acercarse más a la realidad de los emprendedores, incluyendo la flexibilización de sus medidas para microempresas, empresas de pequeño tamaño, startups y similares.
Durante el año 2023, se produjeron cambios significativos, como el inicio de la supervisión y aplicación de sanciones por actividades ilegales, otorgando poder a la Agencia Nacional de Protección de Datos, el organismo responsable de la supervisión, con el objetivo de hacer las medidas más eficientes.
La aprobación del Reglamento de Dosimetría y la aplicación de sanciones adecuadas por parte de las autoridades también fueron hitos importantes en el año anterior. Con esto, la ANPD (Agencia Nacional de Protección de Datos) logró imponer su primera multa, subrayando la importancia de que las empresas cumplan con las normativas. Ahora, las penalidades pueden variar desde multas de hasta el 2% de la facturación hasta la suspensión de actividades por un período determinado.
Sin embargo, aún hay un largo camino por recorrer, trabajando en la mejora continua hasta que el porcentaje de empresas que cumplen con la ley sea mayor, invirtiendo la proporción actual. La tendencia es que en este año 2024 el tema se aborde aún más, especialmente en lo que respecta a la transferencia de datos internacionales, también impactada por la inteligencia artificial.
Otros aspectos también están en la agenda de temas de este año, como las hipótesis legales de tratamiento de datos personales, la definición de alto riesgo y escala amplia, el término de ajuste de conducta, además de mejoras en cuanto a los datos personales sensibles, especialmente los datos biométricos.
Cómo empezar
A pesar de que han pasado 6 años desde su creación, la mayoría de las empresas aún no ha realizado las adaptaciones necesarias, principalmente porque no comprenden muy bien cómo funciona la ley y cuáles son los primeros pasos para comenzar.
El primer paso es el cambio cultural, especialmente en relación con la Gestión de Archivos. Es necesario mapear los documentos y datos ya existentes en la empresa para clasificar esta información de acuerdo con las categorías de la LGPD.
A continuación, es necesario evaluar los impactos de la ley dentro de la organización y desarrollar un plan de acción para la adaptación a las nuevas reglas. Las políticas y los procedimientos internos también deben someterse a una revisión, prestando especial atención a aquellos que involucran el tratamiento de datos personales.
Designar a un profesional o área responsable del cumplimiento de las medidas puede facilitar el proceso, incluso en la capacitación de todos los colaboradores en cuanto a las nuevas reglas.
Invertir en tecnología y seguridad también es una etapa fundamental para garantizar la confidencialidad de los datos que circulan, ya sea que estén siendo tratados o simplemente almacenados. Contratar un software que garantice la protección, el control y el tratamiento de datos es imprescindible.
Y, si quieres saber más sobre la Gestión de la Protección de Datos, puedes consultar nuestro ebook, disponible en nuestro sitio web.
Conoce nuestras soluciones: Gestión de Protección de Datos
Interact Suite SA ofrece una solución para la Gestión de la LGPD, alineada con todos los principios de la legislación brasileña, garantizando el control, la protección y el tratamiento de datos personales obtenidos en las organizaciones.
La solución permite la creación, gestión y generación automática del Informe de Impacto sobre la Protección de Datos Personales, documento requerido por la ANPD, capaz de certificar la buena gestión de datos por parte de las organizaciones.
Autora:
Bianca Wermann
Periodista, Analista de Comunicación y Marketing de Interact Solutions.