Los datos forman la base de una nueva economía.

Actualmente, toda institución, en menor o mayor grado, también es una gestora de datos personales, ya que recopila, almacena y utiliza información de personas de todo el mundo. Y para proteger al ciudadano del uso y exposición indebidos de su información personal, se promulgó la Ley General de Protección de Datos Personales (Ley Nº 13.709/2018). Las empresas tienen hasta el 16 de agosto de 2020 para adaptarse a la LGPD.

La Ley regula el tratamiento de datos personales, incluso en los medios digitales. Es decir, toda operación realizada con los datos personales de cualquier individuo está sujeta a la LGPD.

Cuando un dato personal es recopilado, producido, recibido, clasificado, utilizado, accedido, reproducido, transmitido, distribuido, procesado, archivado, almacenado, eliminado, evaluado, controlado, modificado, comunicado o transferido, está siendo tratado.

La Ley tiene aplicación extraterritorial, es decir, las empresas extranjeras que también recopilen o traten datos en territorio nacional u ofrezcan bienes o servicios a individuos ubicados en Brasil están sujetas a la aplicación de la LGPD.

¿Qué es un dato personal?

Dato personal es cualquier información que, de manera aislada o agregada, pueda identificar a un individuo, como nombre, dirección, correo electrónico, dirección IP, datos de comportamiento en páginas de internet, hábitos de consumo, etc. Por lo tanto, es cualquier información relacionada con una persona natural y no solo aquellos datos relacionados con la vida privada.

Dato personal sensible se refiere al origen racial o étnico, convicciones religiosas o filosóficas, opiniones políticas, afiliación sindical, datos genéticos o biométricos, y sobre la salud o la vida sexual si están vinculados a una persona. Por su naturaleza, pueden someter a su titular a prácticas discriminatorias y, por lo tanto, deben ser tratados de manera más segura y restrictiva.

Titular de los datos

El titular es la persona a la que se refieren los datos personales objeto de tratamiento. Son derechos del titular: confirmación de la existencia de tratamiento; acceso a los datos; corrección de datos; anonimización; bloqueo o eliminación de datos innecesarios, excesivos o tratados en desacuerdo con la Ley; portabilidad; obtención de información sobre el intercambio de datos, revocación del consentimiento y eliminación de los datos tratados bajo este fundamento.

Además del titular, la Ley también define los roles del Controlador, Operador, Encargado y la Autoridad Nacional. En la práctica funciona así:

Cuando vas a la farmacia y te registras para obtener un descuento, tú eres el titular y la farmacia, el controlador.

La farmacia contrata una empresa que se encarga del sistema de gestión de la base de datos, esta empresa es el operador.

La farmacia tiene un encargado que es el canal de comunicación contigo sobre tus datos.

La ANPD emite las reglas que complementan la LGPD. Supervisa la farmacia y la empresa de sistemas y también recibe una denuncia si identificas que tus datos fueron tratados de alguna manera con la que no estás de acuerdo.

En el caso de Multicom, como regla general, la empresa tiene el papel de controladora, ya que toma las decisiones referentes al tratamiento de datos personales, realizando el tratamiento de esta información por sí misma o por empresas contratadas para ese propósito.

El Encargado es el Defensor General y tiene como actividades:

• Aceptar reclamaciones y comunicaciones de los titulares, proporcionar aclaraciones y tomar medidas;
• Recibir comunicaciones de la autoridad nacional y tomar medidas;
• Orientar a los empleados y contratistas de la entidad sobre las prácticas que deben adoptar en relación con la protección de datos personales;
• Ejecutar las demás funciones determinadas por el controlador o establecidas en normas complementarias.

La Autoridad Nacional de Protección de Datos está en proceso de formación y será el organismo de la administración pública responsable de velar, implementar y supervisar el cumplimiento de la LGPD.

Principios y sanciones

La LGPD establece que todo tratamiento de datos personales debe considerar la buena fe y los siguientes principios:

FINALIDAD

Recolectar y tratar datos personales con fines específicos, legítimos e informados al titular.

TRANSPARENCIA

Asegurar que el titular sea debidamente informado sobre el tratamiento: finalidad, duración del tratamiento, agentes involucrados, etc.

ADECUACIÓN

Recolectar y tratar exclusivamente datos compatibles con la finalidad informada al titular.

NECESIDAD

Recolectar información estrictamente necesaria para la realización de la finalidad.

CALIDAD DE LOS DATOS

Asegurar que los datos personales bajo su custodia estén siempre exactos y actualizados y que sean relevantes para el cumplimiento de la finalidad de su tratamiento.

NO DISCRIMINACIÓN

Nunca tratar datos personales con fines discriminatorios, ilícitos o abusivos.

ACCESO LIBRE

Garantizar el derecho que tiene el Titular de acceder a sus datos. El Titular puede consultar de manera fácil y gratuita toda la información que la organización tiene sobre él y todo lo que se ha hecho con dicha información.

SEGURIDAD

Utilizar medidas técnicas y administrativas adecuadas para proteger los datos personales de accesos no autorizados y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión.

PREVENCIÓN

Adoptar medidas para prevenir la ocurrencia de daños en virtud del tratamiento de datos personales.

RESPONSABILIDAD Y RENDICIÓN DE CUENTAS

Demostrar la adopción de medidas eficaces y capaces de probar la observancia y el cumplimiento de las normas de protección de datos personales y, además, la eficacia de dichas medidas.

Minimización: recolectar la menor cantidad posible de información.

Higienización: mantener la base de datos siempre actualizada y organizada.

El incumplimiento de las normas de la LGPD puede causar diversos daños en los ámbitos jurídico, operativo y reputacional, afectando nuestros negocios.

La LGPD prevé sanciones como advertencias, divulgación de la infracción, bloqueo o eliminación de los datos que dieron origen a la falta, además de multas de hasta el 2% de la facturación neta del año, limitadas a R$ 50.000.000,00 por infracción.

Situaciones para el tratamiento de datos

Cada uno de nosotros desempeña un papel importante en la adecuación de la empresa, ya que cualquier archivo físico o electrónico que contenga datos personales será objeto de la LGPD. Para tratar datos personales que no sean sensibles es necesario que esté presente al menos una de las siguientes hipótesis:

• Consentimiento del titular de los datos personales;
• Cumplimiento de obligación legal o regulatoria por parte del controlador;
• Por la administración pública, para el tratamiento y uso compartido de datos necesarios para la ejecución de políticas públicas;
• Para la realización de estudios por parte de un organismo de investigación;
• Para la ejecución de un contrato o de procedimientos preliminares relacionados con un contrato del cual sea parte el titular;
• Para el ejercicio regular de derechos en un proceso judicial, administrativo o arbitral;
• Para la protección de la vida o de la integridad física del titular o de terceros;
• Para la tutela de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridades sanitarias;
• Cuando sea necesario para atender los intereses legítimos del controlador o de terceros, considerados a partir de situaciones concretas, excepto en caso de prevalecer los derechos y libertades fundamentales del titular que exijan la protección de los datos personales;
• Para la protección del crédito.

El consentimiento del titular es la manifestación libre, informada e inequívoca por la cual el titular está de acuerdo con el tratamiento de sus datos personales para un fin determinado. En el caso de datos personales sensibles, el consentimiento debe ser destacado y solo podrá ser dispensado en las siguientes hipótesis:

• Cumplimiento de obligación legal o regulatoria por parte del controlador;
• Tratamiento compartido de datos necesarios para la ejecución, por parte de la administración pública, de políticas públicas previstas en leyes o reglamentos;
• Realización de estudios por parte de un organismo de investigación;
• Ejercicio regular de derechos, incluidos en contrato y en proceso judicial, administrativo y arbitral;
• Protección de la vida o de la integridad física del titular o de terceros;
• Tutela de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridades sanitarias; o
• Garantía de la prevención del fraude y la seguridad del titular, en los procesos de identificación y autenticación de registros en sistemas electrónicos, excepto en caso de prevalecer los derechos y libertades fundamentales del titular que exijan la protección de los datos personales.

Multicom y la LGPD

Tratamos información personal de diversos públicos de interés de la empresa: en el registro de proveedores al obtener los datos personales de sus representantes legales, cuando recibimos visitantes en nuestros edificios y en nuestro sitio web, y en otras diversas ocasiones. Con la publicación de la LGPD, debemos ser aún más rigurosos con la información que recolectamos en nuestras interacciones diarias, así como con el tratamiento que se realiza.

Estamos trabajando para adecuar la empresa a las normas de la LGPD. Pero es responsabilidad de todos garantizar que el tratamiento de la información personal de nuestros públicos de interés esté limitado al mínimo necesario para la realización de sus fines, utilizando datos pertinentes, proporcionales y no excesivos en relación con la finalidad del tratamiento. El equilibrio es la misión de todos los que trabajan con datos personales, buscando la constante innovación con seguridad y respeto a la privacidad.