Qué es LGPD

LGPD (Ley General de Protección de Datos) es la ley nº 13.709, aprobada en agosto de 2018 y vigente a partir de septiembre de 2020. Prevé el tratamiento de datos personales, con el objetivo de proteger los derechos fundamentales de libertad e intimidad y el libre desarrollo de la personalidad de la persona física.

Protección de Datos Personales

LGPD establece en su contenido los principios que deben respetarse en materia de protección de datos personales:

Respeto por la privacidad
Autodeterminación informativa
Libertad de expresión, información, comunicación y opinión
La inviolabilidad de la intimidad, el honor y la imagen
Desarrollo e innovación económica y tecnológica
Libre empresa, libre competencia y protección del consumidor
Los derechos humanos, el libre desarrollo de la personalidad, la dignidad y el ejercicio de la ciudadanía por parte de las personas físicas.

Incidente de Seguridad

Aunque LGPD no presenta expresamente el concepto de violación o incidente, la Autoridad Nacional de Protección de Datos describe un incidente de Seguridad con datos personales como "cualquier evento adverso confirmado relacionado con la violación en la Seguridad de los datos personales, como el acceso no autorizado, accidental o ilegal que resulte en destrucción, pérdida, alteración, fuga o incluso, cualquier forma de tratamiento indebido o ilícito de los datos, que pueda suponer un riesgo para los derechos y libertades del titular de los datos personales."

Es importante conocer la definición de incidente para entender los eventos que involucran datos personales y que están presentes en la legislación, por ejemplo, lo que establece el artículo 42 de la LGPD:

"El controlador u operador que, debido al ejercicio de la actividad de procesamiento de datos personales, cause al otro daño a la propiedad, moral, individual o colectivo, en violación de la legislación de protección de datos personales, está obligado a repararlo".

Y también el artículo 46 de la LGPD que establece que los agentes de tratamiento de datos personales deben adoptar medidas de Seguridad, técnicas y administrativas capaces de proteger los datos personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito.

¿Cuál es el propósito de LGPD?

LGPD fue creada con el objetivo de proporcionar una mayor protección a los datos personales y un mayor control a los interesados sobre su información personal. A tal efecto, LGPD establece normas, principios y lineamientos aplicables al tratamiento de datos, en medios físicos o digitales, realizado por personas físicas, cuando tenga fines económicos, y por entidades públicas o privadas.

¿Cómo define LGPD los datos personales?

El artículo 5 de LGPD trae las definiciones para dos categorías de datos: datos personales y datos personales sensibles.

Datos personales

Son datos personales toda aquella información relacionada con una persona física que permita identificarla o que, de alguna manera, pueden conducir al reconocimiento de una persona. Por ejemplo, los siguientes datos se consideran datos personales: nombre, números de identificación (RG y CPF), correo electrónico, teléfono, fecha de nacimiento, geolocalización y configuración de dispositivos (IP), entre otros.

Datos personales sensibles

En cuanto a los datos personales sensibles, la ley los define de la siguiente manera: datos personales sobre origen racial o étnico, convicciones religiosas, opinión política, afiliación a un sindicato o la organización de carácter religioso, filosófico o político, datos en relación con la salud o la vida sexual, y datos genéticos o biométricos que estén vinculados a una persona física.

Esta categoría de datos fue tratada por la legislación con mayor rigor, porque son datos que, por su naturaleza, se relacionan con información que merece mayor cuidado, principalmente para la protección contra la discriminación.

¿A quién se aplica RGPD?

LGPD se aplica a cualquier operación de tratamiento de datos realizada por una persona física o por una persona jurídica de derecho público o privado, independientemente del medio, el país de su sede social o el país donde se encuentren los datos, siempre que:

La operación de procesamiento de datos se realiza en Brasil

La actividad de procesamiento de datos está dirigida a ofrecer o proporcionar servicios a personas ubicadas en Brasil

Los datos personales fueron recolectados en Brasil

Definiciones importantes en LGPD

Hay algunas definiciones muy importantes en LGPD y que ayudan a entender el texto legal:

Responsable

Es la persona física o jurídica, de derecho público o privado, quien es responsable de las decisiones relativas al tratamiento de datos personales. El controlador es responsable de las decisiones sobre el procesamiento de los datos personales en su posesión.

Operador

Es la persona física o jurídica, de derecho público o privado, quien lleva a cabo el tratamiento de los datos personales por cuenta del responsable del tratamiento, de acuerdo con las directrices recibidas.

Suboperador

Hay una tercera figura que LGPD no incluye en su texto, pero la ANPD aborda en su Guía Orientativa a los agentes de tratamiento de datos personales y al responsable: el de suboperador. Es el contratado por el operador para ayudarlo a procesar datos personales en nombre del controlador. La relación directa del suboperador es con el operador y no con el controlador. En términos generales, se ejercería el ejercicio de la función de operador en subordinación a otro operador

Oficial de Datos

El Oficial de Protección de Datos (DPO), la persona designada por el controlador y el operador para actuar como un canal de comunicación entre el controlador, los interesados y la Autoridad Nacional de Protección de Datos (ANPD).

Los 9 derechos de LGPD

Confirmación de la existencia del tratamiento

Teniendo en cuenta que el tratamiento de datos es cualquier actividad relacionada con los datos personales, como la recolección, el almacenamiento, el uso y la clasificación, LGPD garantiza al interesado el derecho a confirmar si una empresa realiza el tratamiento de sus datos personales. LGPD también determina que la respuesta a la existencia de los datos debe indicar el origen, los criterios utilizados y la finalidad del tratamiento.

Acceso a los datos

Una vez tratados los datos por el responsable, el interesado podrá solicitar el acceso a sus datos, que serán facilitados a través de una copia física o digital.

Corrección de datos incompletos, inexactos u obsoletos

Confirmada la existencia del tratamiento de sus datos, LGPD da derecho al interesado para solicitar la corrección o eliminación de cualquier dato suyo que esté incompleto, inexacto o desactualizado.

Derecho de anonimización, bloqueo o supresión

El titular podrá solicitar la anonimización, bloqueo o supresión de sus datos. La anonimización de los datos significa que ya no pueden estar relacionados con el titular, por lo que ya no son datos personales. El bloqueo se refiere a la suspensión temporal del tratamiento para determinados fines. Finalmente, la eliminación se refiere a la exclusión de datos innecesarios, excesivos o procesados en incumplimiento de los fines previstos.

Portabilidad de datos

Tras la regulación de la ANPD o si existe una posibilidad técnica, el titular podrá solicitar que el responsable del tratamiento facilite sus datos en un formato estructurado para cederlos a un tercero, salvo aquellos que ya hayan sido anonimizados y excluidos de la base de datos y no infrinjan derechos de propiedad intelectual y/o industrial, ni sean confidenciales en virtud de los contratos celebrados.

Derecho a revocar el consentimiento

El titular de los datos podrá cancelar cualquier consentimiento que haya aceptado para utilizar sus datos personales.

Derecho a la información sobre el intercambio de sus datos

El titular tiene derecho a conocer cuáles son los tipos de entidades públicas y privadas con las que el responsable del tratamiento realiza el uso compartido de sus datos.

Información sobre la posibilidad de no consentir un tratamiento de datos

El titular tiene derecho a recibir información clara y completa sobre la posibilidad y consecuencias de no prestar el consentimiento.

Oposición al tratamiento de datos

LGPD autoriza el tratamiento de los datos incluso sin la prestación de consentimiento del titular. En tales casos, el procesamiento debe tener razones legítimas para tanto, como cuando sea necesario para garantizar la Seguridad de un sitio web y los recursos disponibles. Sin embargo, si el propietario no está de acuerdo con cualquier propósito de procesar sus datos, puede informar sobre su oposición, solicitando la interrupción del procesamiento directo al controlador.

Lista de verificación de Cumplimiento de LGPD

LGPD trae una serie de medidas de Cumplimiento para que los agentes de tratamiento puedan implementar un proceso de adecuación. Cabe mencionar las siguientes medidas:

Mapeo de datos

Aunque no está expresamente previsto en LGPD, su contenido es esencial para verificar la legalidad y sostenibilidad de la operación, a través de la definición y atribución de bases legales, así como para la elaboración de los documentos requeridos por la ley.

La actividad consiste en identificar (y documentar) el camino recorrido por todo el personal dentro de una organización.

Una vez completada la cartografía de los datos personales, las bases jurídicas adecuadas deben indicarse adecuadamente en cada flujo de tratamiento, tal y como se dispone en el artículo 7 de la legislación.

Elaboración de documentación requerida por LGPD y las Bases Legales

LGPD dispone que el responsable y el operador lleven a cabo el Registro de Actividad de Tratamiento (Record Of Processing Activity o “ROPA”), especialmente en lo que respecta a los flujos de tratamiento basados en la base jurídica del "Interés Legítimo".

Además, la ley también requiere que la Autoridad Nacional de Protección de Datos ("ANPD") solicite al controlador la preparación de la Evaluación de Impacto de Protección de Datos (Data Protection Impact Assessment o “DPIA”), incluidos los datos confidenciales relacionados con sus operaciones de procesamiento de datos.

Por lo tanto, la preparación de los documentos solicitados es esencial en un proceso de Cumplimiento de LGPD.

Adecuación de los contratos

Según LGPD, el responsable del tratamiento debe "adoptar medidas de Seguridad, técnicas y administrativas capaces de proteger los datos personales del acceso no autorizado".

En este contexto, corresponderá al responsable del tratamiento tomar todas las medidas necesarias para proteger los datos personales tratados, lo que significa incluso establecer límites y mitigar los riesgos en relación con el intercambio de información con clientes, socios y proveedores, a través de contratos.

Se recomienda el mapeo continuo, verificación y adecuación de todas las relaciones contractuales, de acuerdo con las pautas ya compartidas a lo largo del proyecto.

Definición de los plazos y criterios para el almacenamiento y eliminación de datos personales

Otro documento de Cumplimiento es una "Política de retención de datos personales" para que el ciclo de vida de cada dato personal (o conjunto de datos) esté organizado y, por lo tanto, delimite el límite de tiempo correcto para la eliminación (o, si corresponde, la anonimización de los datos).

Adopción de medidas de Seguridad, técnicas y administrativas

El artículo 46 de LGPD establece que los agentes encargados del tratamiento deben adoptar medidas de Seguridad, técnicas y administrativas capaces de proteger los datos personales del acceso no autorizado y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento indebido o ilícito.

Por lo tanto, es esencial implementar medidas de Seguridad como políticas de Seguridad y la gestión de incidentes; medidas administrativas, como la capacitación en concientización, y medidas técnicas, como los controles de acceso.

Programa de Gobernanza de la Privacidad y Buenas Prácticas

El artículo 50 de la LGPD determina que tanto el controlador como el operador formulen reglas de buenas prácticas y gobernanza en la privacidad de los datos, dentro del alcance de sus deberes en el procesamiento de datos personales. Dichas normas deberán publicarse y actualizarse periódicamente y podrán ser reconocidas y divulgadas por la ANPD.

Desafíos para el Cumplimiento de LGPD

El Cumplimiento de LGPD no es un proceso fácil. Al igual que Brasil, muchos países están desarrollando regulaciones de Cumplimiento inspiradas en GDPR. Por ejemplo, la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Implementación de la Carta Digital propuesta por Canadá.

Para cumplir con estas normas, las organizaciones deben hacer el arduo trabajo de proteger los derechos de sus interesados y realizar evaluaciones de impacto, informar incidentes de Seguridad y garantizar que cuenten con procesos de auditoría.

El personal de IT no podrá utilizar procesos manuales o incluso controles temporales para ayudar a cumplir con los requisitos porque este enfoque no es sostenible. En cambio, una robusta tecnología de protección de datos que esté automatizada y simplificada cumple mejor con los estrictos requisitos reglamentarios para limitar el acceso a los datos personales y proteger los datos en reposo y en movimiento.

Tres áreas son de particular preocupación para los equipos de IT:

Seguridad

Con incidentes de Seguridad que cuestan millones, además de los costos asociados con la reputación y las relaciones públicas, es esencial garantizar la Seguridad de los datos que caen dentro de LGPD. La mejor práctica para los equipos de IT es invertir en soluciones de Seguridad como la Clasificación de Datos, el cifrado, la transferencia segura de archivos y la gestión de identidades y accesos.

Gestión de datos

Debido a que LGPD garantiza que los titulares tengan derecho a solicitar al controlador que acceda, corrija, elimine o transfiera a otro controlador a través de la portabilidad, los equipos de IT tienen el desafío de garantizar soluciones técnicas eficientes y transparentes para administrar estas solicitudes. Además, IT necesita asegurarse de que cualquier solución implementada sea auditable para cumplir con los requisitos legales.

El departamento de IT también debe garantizar que el responsable del tratamiento o el operador cuente con el personal y la formación adecuados para aplicar medidas que puedan mitigar los riesgos de un incidente y proporcionar el apoyo necesario después de un incidente que implique datos personales.

Automatización

Determinar cómo almacenar y gestionar de forma segura el consentimiento y el estado de consentimiento de los interesados en toda la organización es otra preocupación. El mapeo de datos es un requisito de LGPD, que determina que las actividades de tratamiento sean registradas.

Inicialmente, muchas empresas hicieron esto manualmente, pero debido a que estos registros necesitan una actualización constante, la automatización ayuda a mantener la información actualizada y permite que IT se centre en tareas más críticas. Las plataformas y herramientas de colaboración, así como la configuración de flujos de trabajo y reglas de negocio, pueden ayudar a mantener los registros actualizados más fácilmente.

La automatización de flujos de trabajo también se puede incorporar para garantizar una respuesta rápida de TI a los titulares que desean que sus datos se eliminen o borren de múltiples sistemas internos y externos. La aplicación de la automatización también puede ayudar a acelerar la absorción de datos personales de terceros que caen bajo LGPD.

Soluciones de Ciberseguridad para el Cumplimiento de LGPD

Para el Cumplimiento de LGPD es necesario aplicar políticas simples y procedimientos pragmáticos que lleven a las personas a adoptar una cultura de protección de la información en su organización, y acompañarlo con la implementación de un enfoque de Seguridad por capas que garantice el Cumplimiento de las políticas establecidas.

El enfoque de Fortra consiste en garantizar la Seguridad de la información mediante controles granulares en el flujo de información y a lo largo de su ciclo de vida, sin que esto represente ninguna caída en la productividad de la organización. Desde una Clasificación de Datos inteligente y granular capaz de identificar el tipo de información y su ubicación, pasando por la Prevención de Pérdida de Datos, gestión de derechos de datos digitales y Seguridad en la transferencia de archivos, ofrecemos un amplio conjunto integrado de soluciones para la ejecución de su estrategia de Seguridad:

Seguridad de email

Antes de que los datos personales se intercambien por correo electrónico, Clearswift aplica el tratamiento de Seguridad óptimo, basado en el contenido de los datos y en las políticas de privacidad de LGPD. Ofrece funcionalidades de sanitización y redacción en tiempo real, encriptación y bloqueo o eliminación de datos sensibles en función de las reglas que su Negocio defina para cumplir la normativa.

Clasificación de Datos

Las soluciones de Clasificación de Datos de Fortra ayudan a cumplir LGPD porque aplican tanto etiquetas visuales como etiquetado a los metadatos de un archivo, para proteger y controlar su uso. Al añadir la clasificación, los usuarios pueden determinar mejor cómo debe tratarse, manipularse, almacenarse y, eventualmente, eliminarse un dato determinado. La clasificación optimiza el Cumplimiento y mejora la Seguridad.

Evaluación de vulnerabilidades y Protección de intrusiones

Demostrar el Cumplimiento de LGPD es más fácil con la línea de soluciones de Seguridad Powertech. Las organizaciones pueden identificar y cuantificar automáticamente las vulnerabilidades de Seguridad, así como proteger mejor su sistema contra las intrusiones. Además, las potentes funcionalidades de auditoría ayudan a cumplir los requisitos de auditoría de LGPD.

Transferencia Segura de Archivos (MFT)

Las soluciones de Transferencia Segura de Archivos pueden ayudar a cumplir varios principios clave de LGPD como, por ejemplo, la transmisión segura de datos personales gracias a la encriptación, la realización de controles de integridad de las transferencias para proteger la exactitud, y la provisión de pistas de auditoría detalladas y reportes de todas las transferencias. Los datos personales se protegen en tránsito y en reposo mediante funcionalidades de accesos de usuarios granulares que añaden Seguridad adicional a los datos.

Protección de la Infraestructura

La suite de Protección de la Infraestructura de Fortra incluye herramientas para la gestión de vulnerabilidades, servicios y software de pentesting, simulación de adversario y detección de intrusiones. Estas soluciones protegen los datos sensibles y garantizan el Cumplimiento de la normativa mediante la supervisión y evaluación de su infraestructura para identificar y priorizar cualquier riesgo. Gracias a sus completas funcionalidades de generación de reportes, también pueden demostrar fácilmente el Cumplimiento de la normativa a los auditores externos.

Prevención de Pérdida de Datos (DLP)

LGPD establece que los procesadores deben garantizar que los datos personales no se utilicen para ningún otro propósito fuera de los servicios a los que estaban destinados. La Prevención de Pérdida de Datos de Digital Guardian ayuda al Cumplimiento de LGPD al permitir a las organizaciones descubrir, monitorear y controlar eficazmente los datos personales transmitidos en la red, en uso en las estaciones de trabajo o en reposo en las estaciones de trabajo, los servidores de red y almacenados en la Cloud. Los datos se protegen adecuadamente contra la transmisión, la difusión, el uso y el almacenamiento no autorizados, mientras que la funcionalidad de análisis y generación de reportes puede proporcionar documentación clave para demostrar el Cumplimiento de LGPD.

Conozca todas nuestras soluciones de Ciberseguridad

GoAnywhere®

Titus®

Boldon James®

Agari®

Clearswift®

Secure Collaboration

Globalscape®

FileCatalyst®

Beyond Security®

Cobalt Strike®

Core Security®

Digital Defense®

PhishLabs®

Digital Guardian®

Su aliado en Ciberseguridad

Fortra ha sido reconocido por Cybersecurity Excellence como ganador en varias categorías, incluyendo Prevención de Fugas de Datos y Seguridad de Datos.

Soluciones de Ciberseguridad de Fortra

Winner of the Cybersecurity Excellence Awards 2022

Fortra lo ayuda en su Cumplimiento de LGPD

Fortra cuenta con más de 30 años de experiencia ayudando a organizaciones en todo el mundo a proteger sus datos. Nuestras soluciones reconocidas mundialmente y nuestro equipo de expertos pueden ayudarlo a cumplir con LGPD y otras normativas. Solicite una presentación sin compromiso, para conocer cómo nuestras soluciones pueden ayudar a la estrategia de Seguridad de su empresa.

SOLICITE UNA PRESENTACIÓN