La LGPD y los cambios en seguridad electrónica.
Una investigación realizada por la consultora Daryus en septiembre de 2022 mostró que el 80% de las empresas brasileñas aún no están completamente adecuadas a la Ley General de Protección de Datos (LGPD).
Además de la adecuación ser una necesidad, la preocupación por los datos de los clientes es un gran diferencial para las empresas, ya que muchos clientes definen sus elecciones analizando cómo se tratarán sus datos.
1. ¿Qué es la Ley General de Protección de Datos Personales?
La Ley General de Protección de Datos Personales, LGPD, determina reglas específicas en relación al tratamiento de datos personales en Brasil, desde la recolección hasta la clasificación, utilización y almacenamiento.
Todos los datos tratados, tanto en medio físico como digital, están sujetos a la regulación. La LGPD establece que no importa la ubicación de la sede o del centro de datos de una organización: si hay procesamiento de información sobre personas, brasileñas o no, que se encuentren en el territorio nacional, la LGPD debe ser observada.
Para fiscalizar el cumplimiento de la LGPD, existe la Autoridad Nacional de Protección de Datos Personales (ANPD), que también orienta preventivamente sobre la aplicación de la ley si es necesario.
Las fallas de seguridad pueden generar multas de hasta el 2% de la facturación anual de una empresa en Brasil, limitadas a R$50 millones por infracción.
La ANPD establece niveles de penalidad según la gravedad de la falla y envía alertas y orientaciones antes de aplicar sanciones.
2. Control de acceso de visitantes de acuerdo con la LGPD
Es imprescindible que grandes empresas y condominios, ya sean residenciales o comerciales, tengan los datos del control de acceso de sus visitantes y proveedores de servicios, tratados conforme a las reglas determinadas por la LGPD.
Cualquier información que se recolecte para el control de acceso se ajusta a las reglas de tratamiento de datos. Para que sea posible esta recolección, es necesario definir una razón para este tratamiento, siguiendo las bases legales.
Es importante definir la real necesidad de los datos recolectados, solicitando la menor cantidad posible de información, permitiendo la seguridad y eficiencia del control de acceso, sin que haya excesos en la cantidad de datos a ser tratados.
Con la definición de qué datos se recolectarán y sus funciones, viene la parte del fundamento legal para justificar esta acción. De acuerdo con el Artículo 7º de la LGPD, existen hipótesis de realización de tratamiento de datos personales:
Consentimiento: Es el más aplicado para el control de acceso. En este caso, la persona necesita informar el consentimiento para que sus datos sean recolectados. Los cuidados en este aspecto son para garantizar que ella esté claramente informada del uso y de la necesidad.
Interés legítimo: En este fundamento, el controlador asume la responsabilidad de garantizar que el tratamiento de datos se realice en beneficio del titular, pero sin recolectar el consentimiento. Es importante dejar claro que al recolectar datos como fotos o identificación biométrica, no se encuadra en este aspecto.
Protección de la vida: En caso de que los datos de la persona sean recolectados por motivos de seguridad de la misma, es posible utilizar esta base legal. Se aplica principalmente cuando hay algún riesgo que implique la necesidad de utilizar los datos personales para seguridad del titular de los datos.
Existen sistemas que satisfacen las necesidades de seguridad y control de acceso específicas de varios tipos de empresas y lugares, adecuados a las regulaciones de tratamientos de datos de la LGPD. El sistema de control de acceso Invenzi es uno de ellos, en caso de estar interesado en el tema, póngase en contacto con nosotros.
3. Circuito Cerrado de Televisión (CCTV) y la LGPD
La LGPD también actúa en la recolección de audios e imágenes, y en el almacenamiento de las grabaciones, abarcando también el CCTV (Circuito Cerrado de Televisión).
A continuación, se presentan algunas sugerencias para ayudar en la adecuación del CCTV a la Ley General de Protección de Datos:
. Transparencia sobre el uso de CCTV: La transparencia está en el centro de la LGPD, todos deben ser informados de la recolección de imágenes y el porqué de ello. Divulgar el contacto del responsable por la protección de estos datos, para crear un canal para despejar dudas e informaciones.
. Quién tendrá acceso a las imágenes del CCTV: Hay algunas posibilidades en relación a quién tendrá acceso a estas imágenes. Pero la primera actitud a tomar, es la convocatoria de una asamblea, en la que se discutirán los derechos de los titulares de las imágenes y a continuación definir quiénes serán los responsables por la gestión de este contenido.
. Capacitación a los operadores: Los colaboradores que trabajan con las imágenes generadas deben saber todo lo relacionado con la LGPD. Entonces, proporcionar cursos o materiales instructivos mencionando situaciones comunes, será un gran facilitador para el trabajo de este colaborador.
4. Beneficios de la LGPD para empresas
Muchas empresas se asustaron con los cambios causados por las normas de la LGPD, pero es positiva, tanto para la empresa como para quien cede los datos.
Vamos a listar algunos beneficios que la LGPD ofrece:
- Mejor relación con el cliente: Al proteger los datos de su cliente, la empresa demuestra preocupación por la privacidad, aumentando la confianza y atrayendo nuevos negocios.
- Mayor seguridad jurídica: Al crear estándares de normas y procedimientos, pasa a existir un escenario de seguridad jurídica igualitaria.
- Protección contra ataques cibernéticos: Los ataques cibernéticos en Brasil han aumentado, entonces con los cambios para cuidar de la gestión de datos que surgen por cuenta de las reglas de la LGPD, su empresa estará más protegida.
Estos son algunos análisis de impactos causados por la Ley General de Protección de Datos, la LGPD, en el segmento de seguridad electrónica y control de acceso, que es la experiencia de Invenzi, que cuenta con un software que atiende las adecuaciones de la LGPD.
En el software de control de acceso Invenzi hay una etapa de consentimiento para utilización de la foto en equipos de reconocimiento facial. Adicionalmente, el formulario de registro de usuarios puede ser parametrizado de forma que solo se exijan los datos mínimos y que los datos sensibles puedan tener su acceso restringido.
En la solución de autoatención, el usuario recibe por correo electrónico o aplicación de mensajería un enlace para realizar el registro, donde tendrá acceso a la Política de Privacidad. Solo después de aceptar los términos, se liberará su credencial de acceso.
Algunas recomendaciones de infraestructura que deben destacarse son:
→ Configuraciones de política de seguridad de Windows (GPO).
→ Adaptaciones para cumplir con el estándar de referencia ISO 27701, estableciendo un control de privacidad de datos.
→ Adaptaciones para cumplir con el estándar de referencia ISO 27001, reevaluando el proceso interno de la organización y los riesgos relacionados con la Seguridad de la Información.
Las resoluciones de la LGPD permiten que la práctica de la empresa con el cliente sea aún más transparente y considere una mayor preocupación por el análisis y gestión de datos privados, lo que hace que la relación empresa-cliente sea más cercana y segura.