Menu
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Mauris tempus leo in nulla bibendum dapibus. Donec ut vestibulum diam. Nullam non efficitur mi. Donec vestibulum cursus convallis. Nam scelerisque quam neque, feugiat dictum turpis maximus ut. Donec iaculis est non ultrices facilisis. Aliquam diam turpis, sodales ut consectetur a, tempus nec nis!. Sed ullamcorper accumsan orci eu rhoncus. Aenean ultrices ut massa vel vestibulum.
Morbi vel commodo ex. Aliquam vehicula, nulla id rhoncus tristique, arcu magna faucibus purus, hendrerit interdum elit erat eu neque. Nulla volutpat mi eget placerat mollis. Praesent pulvinar lectus nec rhoncus maximus. Curabitur eu risus in urna tristique rutrum. Quisque dapibus ac tortor at finibus. In commodo tempor massa, at eleifend ante fringilla a. In eu erat gravida, gravida nisl at, volutpat mi. Praesent quis rhoncus elit, sit amet commodo lectus. Duis elementum massa at elit efficitur, vitae dapibus neque consectetur. Orci varius natoque penatibus et magnis dis parturient montes, nascetur ridiculus mus.
Fusce in ligula eu ex efficitur eleifend. Integer lobortis, est eu porttitor aliquet, justo velit condimentum nunc, vitae luctus massa lorem non tellus. Maecenas blandit tortor at sem congue imperdiet. Aenean vel dictum ipsum. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut fringilla lacinia condimentum. Pellentesque lobortis dictum urna at sollicitudin. Suspendisse lorem erat, condimentum ut vulputate quis, porta imperdiet neque. Praesent malesuada est ac nunc blandit, quis condimentum dui sodales. Proin eleifend metus a sem accumsan blandit.
El GDPR (Reglamento General de Protección de Datos) publicado bajo el Reglamento (UE) 2016/679 o Reglamento General de Protección de Datos (RGPD) y la Ley General de Protección de Datos Personales (LGPD) publicada por el Gobierno Federal de Brasil con el número 13.709, de 14 de agosto de 2018, el RGPD prevé el tratamiento de datos personales, incluso en medios digitales, por parte de una persona física o jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural.
Este sitio web es administrado por RD2Buzz, que asume la obligación de proteger la privacidad del reportero.
La información que recibimos está protegida contra el uso y la divulgación no autorizados en virtud de disposiciones específicas de la Ley.
La violación de esta ley puede resultar en responsabilidad penal y/o civil.
Podemos recopilar información personal sobre usted cuando visita este sitio web. Generalmente, tu Puede visitar este sitio sin decirnos quién es a menos que elija proporcionar esa información.
Seguridad de la Información
La normativa y legislación aquí formada regula la protección de datos personales por las siguientes causales:
I – respeto a la privacidad;
Il – autodeterminación informativa;
III – libertad de expresión, información, comunicación y opinión;
IV – la inviolabilidad de la intimidad, del honor y de la imagen;
V – desarrollo e innovación económica y tecnológica;
VI – libre empresa, libre competencia y protección del consumidor; Es
VII- los derechos humanos, el libre desarrollo de la personalidad, la dignidad y el ejercicio de la ciudadanía por las personas naturales.
Datos de visitas al sitio web
La información que registramos cuando accede a nuestro sitio web incluye:
• su dirección IP o servidor
• la fecha y hora de su visita al sitio web
• las páginas o archivos a los que usted accede
• el tiempo necesario para transmitirle la información
• la dirección de Internet anterior desde la que fue remitido a nuestro sitio web.
La información que recopilamos se analiza para mostrar enlaces rotos en nuestro sitio web,
cuellos de botella y otros problemas. Utilizamos esta información para mantener el sitio web de manera eficiente.
También podemos recopilar información sobre el dispositivo de TI que utiliza. Esta información puede usarse para identificarlo y ayudarnos a realizar nuestras funciones y actividades.
Galletas
Utilizamos cookies para mantener el contacto con un usuario a través de una sesión en el sitio web. Las cookies nos permiten reconocer la secuencia de conexión de los
navegadores cuando acceden a nuestro sitio web.
Utilizamos dos tipos de cookies: cookies de sesión y cookies persistentes.
Cookies de sesión
Estos archivos solo se utilizan durante una sesión del navegador web en nuestro sitio web.
Todas las cookies se eliminarán inmediatamente cuando finalice su sesión de Internet o apague su computadora. Nuestra copia de su información se eliminará automáticamente veinte minutos después de la última vez que utilizó nuestro sistema.
Esta información solo se utiliza para ayudarle a utilizar los sistemas de nuestro sitio web de manera más eficiente, no para rastrear sus movimientos en Internet ni para registrar su información.
personal.
Cookies persistentes
Estos archivos permanecen en una de las subcarpetas de su navegador hasta que los elimine manualmente o su navegador los elimine según la duración contenida en el archivo cookie persistente (generalmente después del final de la sesión actual).
No se almacena información personal en las cookies utilizadas por nuestro sitio web. Ninguno se intentará identificar a los usuarios anónimos o sus actividades de navegación a menos que estemos legalmente obligados a hacerlo.
Otras informaciones
Si, en algún momento, cree que no hemos cumplido con los principios mencionados en esta declaración de privacidad, contáctenos por correo electrónico.
Cualquier consulta puede enviarse a info@rd2buzz.com
Brasil
El encargado del tratamiento de datos personales tiene la función de actuar como canal de comunicación entre la institución, los interesados y la Autoridad Nacional de Protección de Datos (ANPD).
Responsable
Paulo Bitar
Rua João Antônio de Oliveira, 1228 Torre Avanti Conjunto 143 – Mooca, São Paulo – SP / Brasil
Teléfono: +55(11)3042-8990
Correo electrónico: dpo@rd2buzz.com
Predicción legal:
LGPD, art. 5º, VIII
Tareas
Artículo 41, §2, de la LGPD
I – aceptar quejas y comunicaciones de los titulares, brindar aclaraciones y adoptar medidas;
II – recibir comunicaciones de la autoridad nacional y adoptar medidas;
III – orientar a los empleados y contratistas de la entidad sobre las prácticas a ser adoptadas en relación a la protección de datos personales; Es
IV – ejercer otras atribuciones determinadas por el responsable del tratamiento o establecidas en normas complementarias.
Consulte la LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
EUROPA
Arte. 37 RGPD Designación del delegado de protección de datos
Consultar: https://gdpr-info.eu/art-37-gdpr/
– California, Portugal y Brasil
El Derecho a la Privacidad es un derecho constitucional y esencial para la vida en sociedad, que garantiza la seguridad de la vida privada y privada de cualquier individuo, garantizado por la ley, y le corresponde guardar en particular todos los acontecimientos de la vida de una persona. que no encajan en el aspecto público.
Con los cambios recientes y la facilidad de compartir contenido, ya sea en formato visual o textual, la sociedad civil está discutiendo cada vez más este derecho.
Es necesario que el derecho siga las nuevas tecnologías surgidas en la última década, y se actualice para regular la realidad que hoy vivimos.
Depende de todos nosotros en RD2Buzz y de usted, que está leyendo este artículo, garantizar la mejor forma de conducta para protegerse y nunca exponer nada que pueda dañar a terceros.
Aquí, divulgamos qué información recopilamos y cómo la usamos (“Términos de uso” y “Aviso de privacidad”) para que haya más claridad sobre el compromiso de RD2Buzz con la seguridad, confidencialidad e integridad de sus datos personales (“datos”). .
*Esta versión se actualizó por última vez el XXXXXXXXXX de 2023 y RD2Buzz puede actualizarla en cualquier momento, por lo que lo invitamos a consultar periódicamente esta sección. Las condiciones siguen la Ley N° 13.709, de 14 de agosto de 2018, conocida como Ley General de Protección de Datos Personales (LGPD).
Al utilizar los servicios de RD2Buzz, confirma que ha leído, comprendido y aceptado los términos y políticas aplicables y que está sujeto a ellos.
Es importante reforzar que nuestros componentes están disponibles en forma de APIS, con la documentación adecuada para ser integrados/utilizados por nuestros Clientes y, aunque no nos envíen datos, es importante que orientemos:
Definiciones:
Datos personales: información relativa a una persona física identificada o identificable.
Datos personales sensibles: datos personales sobre origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización de carácter religioso, filosófico o político, datos referentes a la salud o vida sexual, datos genéticos o biométricos, cuando se vincule a una persona natural .
Titular: persona física a quien se refieren los datos personales que son objeto de tratamiento.
Usuarios (o usuario, individualmente considerados): todas las personas físicas que utilizan los servicios, sean o no interesados.
Tercero: persona o entidad que no participe directamente en un contrato, en un acto jurídico o en un negocio, o que, además de las partes intervinientes, pueda tener interés en un proceso jurídico.
Responsable del tratamiento: persona física o jurídica, pública o privada, que es responsable de las decisiones relativas al tratamiento de datos personales.
Operador: persona física o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento.
Responsable: persona designada por el responsable y operador para actuar como canal de comunicación entre el responsable, los interesados y la Autoridad Nacional de Protección de Datos (ANPD).
Agentes del tratamiento: el responsable del tratamiento y el explotador.
Autoridad Nacional de Protección de Datos (ANPD): organismo de la administración pública encargado de velar, implementar y supervisar el cumplimiento de la presente Ley en todo el territorio nacional.
Tratamiento: cualquier operación realizada con datos personales, tales como la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
Uso compartido de datos: comunicación, difusión, transferencia internacional, interconexión de datos personales o tratamiento compartido de bases de datos personales por organismos y entidades públicas en cumplimiento de sus competencias legales, o entre éstos y entidades privadas, recíprocamente, con autorización expresa, a una o más modalidades de tratamiento permitidas por estas entidades públicas, o entidades privadas.
Base de datos: conjunto estructurado de datos personales, establecidos en uno o varios lugares, en soporte electrónico o físico. Consultar: https://gdpr-info.eu/art-37-gdpr/
Derechos de privacidad
– California, Portugal y Brasil
El Derecho a la Privacidad es un derecho constitucional y esencial para la vida en sociedad, que garantiza la seguridad de la vida privada y privada de cualquier individuo, garantizado por la ley, y le corresponde guardar en particular todos los acontecimientos de la vida de una persona. que no encajan en el aspecto público.
Con los cambios recientes y la facilidad de compartir contenido, ya sea en formato visual o textual, la sociedad civil está discutiendo cada vez más este derecho.
Es necesario que el derecho siga las nuevas tecnologías surgidas en la última década, y se actualice para regular la realidad que hoy vivimos.
Depende de todos nosotros en RD2Buzz y de usted, que está leyendo este artículo, garantizar la mejor forma de conducta para protegerse y nunca exponer nada que pueda dañar a terceros.
Avisos de privacidad de productos
Aquí, divulgamos qué información recopilamos y cómo la usamos (“Términos de uso” y “Aviso de privacidad”) para que haya más claridad sobre el compromiso de RD2Buzz con la seguridad, confidencialidad e integridad de sus datos personales (“datos”). .
*Esta versión se actualizó por última vez el XXXXXXXXXX de 2023 y RD2Buzz puede actualizarla en cualquier momento, por lo que lo invitamos a consultar periódicamente esta sección. Las condiciones siguen la Ley N° 13.709, de 14 de agosto de 2018, conocida como Ley General de Protección de Datos Personales (LGPD).
Al utilizar los servicios de RD2Buzz, confirma que ha leído, comprendido y aceptado los términos y políticas aplicables y que está sujeto a ellos.
Es importante reforzar que nuestros componentes están disponibles en forma de APIS, con la documentación adecuada para ser integrados/utilizados por nuestros Clientes y, aunque no nos envíen datos, es importante que orientemos:
Definiciones:
Datos personales: información relativa a una persona física identificada o identificable.
Datos personales sensibles: datos personales sobre origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización de carácter religioso, filosófico o político, datos referentes a la salud o vida sexual, datos genéticos o biométricos, cuando se vincule a una persona natural .
Titular: persona física a quien se refieren los datos personales que son objeto de tratamiento.
Usuarios (o usuario, individualmente considerados): todas las personas físicas que utilizan los servicios, sean o no interesados.
Tercero: persona o entidad que no participe directamente en un contrato, en un acto jurídico o en un negocio, o que, además de las partes intervinientes, pueda tener interés en un proceso jurídico.
Responsable del tratamiento: persona física o jurídica, pública o privada, que es responsable de las decisiones relativas al tratamiento de datos personales.
Operador: persona física o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento.
Responsable: persona designada por el responsable y operador para actuar como canal de comunicación entre el responsable, los interesados y la Autoridad Nacional de Protección de Datos (ANPD).
Agentes del tratamiento: el responsable del tratamiento y el explotador.
Autoridad Nacional de Protección de Datos (ANPD): organismo de la administración pública encargado de velar, implementar y supervisar el cumplimiento de la presente Ley en todo el territorio nacional.
Tratamiento: cualquier operación realizada con datos personales, tales como la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
Uso compartido de datos: comunicación, difusión, transferencia internacional, interconexión de datos personales o tratamiento compartido de bases de datos personales por organismos y entidades públicas en cumplimiento de sus competencias legales, o entre éstos y entidades privadas, recíprocamente, con autorización expresa, a una o más modalidades de tratamiento permitidas por estas entidades públicas, o entidades privadas.
Base de datos: conjunto estructurado de datos personales, establecidos en uno o varios lugares, en soporte electrónico o físico.
Códigos maliciosos: cualquier programa informático, o parte de un programa, construido con la intención de causar daño, obtener información no autorizada o interrumpir el funcionamiento de los sistemas y/o redes informáticas.
Cookies: son archivos que se almacenan en el ordenador o dispositivo móvil del usuario al acceder a una página web que almacena y recupera información relacionada con su navegación.
Confidencialidad: garantizar que la información sea accesible sólo por personas autorizadas. Integridad: garantía de la exactitud e integridad de la información y los métodos de su procesamiento.
Seguridad de la información: conjunto de prácticas y métodos destinados a preservar la confidencialidad, integridad y disponibilidad de la información.
Anonimización: uso de medios técnicos razonables disponibles en el momento del procesamiento, a través del cual los datos pierden la posibilidad de asociación directa o indirecta con un individuo.
Datos anonimizados: datos relativos a un titular que no puede ser identificado, considerando el uso de medios técnicos razonables disponibles en el momento del tratamiento.
Violación de datos personales: violación de la seguridad que provoque, accidental o ilícitamente, la destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales transmitidos, conservados o objeto de cualquier otro tipo de tratamiento.
Legislación:
Ley N° 13.709, de 14 de agosto de 2018: Ley General de Protección de Datos Personales (Lei Geral de Proteção de Dados Pessoais – LGPD);
Ley nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet): establece principios, garantías, derechos y deberes para el uso de Internet en Brasil.
La Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA) y las regulaciones emitidas bajo HIPAA son un conjunto de leyes de salud de los EE. UU. que establecen requisitos para el uso, divulgación y protección de información de salud identificable individualmente. El alcance de HIPAA se amplió con la promulgación de la Ley de tecnología de la información sanitaria para la salud económica y clínica (HITECH) en 2009.
HIPAA se aplica a las entidades cubiertas (específicamente, proveedores de atención médica, planes de salud y autorizaciones de salud) que crean, reciben, mantienen, transmiten o acceden a la información de salud protegida (PHI) del paciente. HIPAA se aplica además a los socios comerciales de entidades cubiertas que realizan ciertas funciones o actividades que involucran PHI como parte de la prestación de servicios a la entidad cubierta o en nombre de la entidad cubierta.
Cuando una entidad cubierta contrata los servicios de un proveedor de servicios en la nube, el proveedor de servicios en la nube sería un socio comercial según HIPAA. Además, cuando una empresa asociada subcontrata a un proveedor de servicios en la nube para crear, recibir, mantener o transmitir PHI, el proveedor de servicios en la nube también se convierte en un socio comercial.
Las regulaciones de HIPAA requieren que las entidades cubiertas (definidas por las Reglas) celebren acuerdos con socios comerciales para garantizar que la PHI esté adecuadamente protegida. Este acuerdo se denomina Acuerdo de Asociación Comercial. Entre otras cosas, un Acuerdo de socio comercial establece los usos y divulgaciones de PHI permitidos y requeridos por parte del socio comercial en función de la relación entre las partes y las actividades o servicios que realiza el socio comercial. Para respaldar el cumplimiento de HIPAA de nuestros clientes al usar productos y servicios comerciales de proveedores de la nube, que celebrarán acuerdos de asociación comercial con su entidad cubierta y clientes comerciales asociados.
¿Qué es Hitrust?
El marco de seguridad común (CSF) de Health Information Trust Alliance (HITRUST), en sus propias palabras, “es un marco certificable que brinda a las organizaciones un enfoque integral, flexible y eficiente para el cumplimiento normativo y la gestión de riesgos. Desarrollado en colaboración con profesionales de la seguridad de la información y de la atención médica, HITRUST CSF simplifica las normas y los estándares de atención médica en un marco de seguridad integral”.
El CSF de HITRUST unifica los controles de seguridad de la ley federal (como HIPAA y HITECH), la ley estatal (como las Normas de Massachusetts para la protección de la información personal de los residentes de la Commonwealth) y los marcos no gubernamentales (como el PCI Security Standards Council ) en una única estructura, personalizada según las necesidades del área asistencial.
Ver: https://www.hhs.gov/hipaa/index.html
¿De qué trata la Ley General de Protección de Datos Personales – LGPD?
La Ley General de Protección de Datos – LGPD (Ley n. 13.709, de 2018), prevé el tratamiento de datos personales de personas físicas, definiendo las hipótesis en las que dichos datos podrán ser utilizados legítimamente por terceros y establecer mecanismos para proteger los datos de los interesados contra usos inapropiados.
La LGPD es aplicable a los datos de las personas físicas y debe ser cumplida por las personas físicas y las entidades públicas o privadas, independientemente del país de su sede o donde se encuentren los datos, que realicen cualquier operación de tratamiento de datos personales, tales como la recolección, almacenamiento y puesta en común de datos con terceros, siempre que dicho tratamiento (i) se realice en el territorio nacional, (ii) tenga por objeto la oferta o suministro de bienes o servicios o el tratamiento de datos de personas físicas ubicadas en el territorio nacional, o, aún, (iii) cuando los datos personales hayan sido recabados en el territorio nacional.
¿Cómo puede ayudar la legislación de protección de datos personales a Brasil?
La LGPD tiene como objetivo proteger los derechos fundamentales relacionados con el ámbito de la información del ciudadano. Así, la Ley introduce una serie de nuevos derechos que aseguran una mayor transparencia en el tratamiento de los datos y dan protagonismo al titular en su uso.
La aprobación de la LGPD y la creación de la Autoridad Nacional de Protección de Datos – ANPD también representan pasos importantes para colocar a Brasil al mismo nivel que muchos otros países que ya aprobaron leyes y estructuras institucionales de esta naturaleza.
La constitución de un entorno legal enfocado en la protección de datos personales corresponde también al alineamiento con los lineamientos de la Organización para la Cooperación y el Desarrollo Económicos – OCDE, que durante décadas ha jugado un papel importante en la promoción del respeto a la privacidad como valor fundamental y como un supuesto para el libre flujo de datos.
Finalmente, desde el punto de vista de los agentes de tratamiento, ya sean empresas o el propio gobierno, la LGPD brinda la oportunidad de mejorar las políticas de gobierno de datos, con la adopción de normas de buenas prácticas y la incorporación de medidas técnicas y administrativas. que mitigan los riesgos y aumentan la confianza de los interesados en la organización.
¿Cuándo entró en vigor la LGPD?
La ley entró en vigor de manera escalonada:
· El 28 de diciembre de 2018, en relación con los arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58- A y 58-B, que versan sobre la constitución de la Autoridad Nacional de Protección de Datos – ANPD y del Consejo Nacional de Protección de Datos Personales y Privacidad – CNPDPP.
· El 18 de septiembre de 2020, respecto de los demás artículos de la ley, con excepción de las disposiciones relativas a la aplicación de sanciones administrativas;
· El 1 de agosto de 2021, respecto de los arts. 52, 53 y 54, que tratan de las sanciones administrativas.
Con la LGPD, ¿cómo va el Registro Positivo?
Por ser ley general, se aplican las normas del Código de Protección al Consumidor (Ley N° 8078/90) para el tratamiento de datos negativos y la Ley de Registro Positivo (Ley N° 12414/2011) para el tratamiento de datos positivos.
En el artículo 7, fracción X, de la LGPD, el legislador menciona expresamente que el tratamiento de datos personales puede realizarse para la “protección del crédito”. En el mismo artículo, reconoce las disposiciones existentes en la legislación correspondiente, incluyendo así las leyes que tratan específicamente de crédito.
¿Qué es el tratamiento de datos personales, según la LGPD?
De acuerdo con la LGPD, se considera tratamiento de datos personales cualquier operación realizada con datos personales, tales como las referidas a la recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, tratamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
¿Qué son los datos personales?
La LGPD adopta un concepto abierto de dato personal, definido como información relativa a una persona física identificada o identificable.
Así, además de la información básica relacionada con el nombre, número de inscripción en el Registro General (RG) o en el Registro Nacional de Contribuyentes (CPF) y domicilio, también se consideran datos personales otros datos que permitan la identificación de una persona física, tales como orientación sexual, afiliación a partidos políticos, historial médico y también los referidos a aspectos biométricos del individuo.
De acuerdo con la LGPD, también pueden ser considerados como datos de carácter personal aquellos utilizados para formar el perfil de comportamiento de una determinada persona física, en caso de identificarse.
La LGPD adopta un concepto abierto de dato personal, definido como información relativa a una persona física identificada o identificable.
Así, además de la información básica relacionada con el nombre, número de inscripción en el Registro General (RG) o en el Registro Nacional de Contribuyentes (CPF) y domicilio, también se consideran datos personales otros datos que permitan la identificación de una persona física, tales como orientación sexual, afiliación a partidos políticos, historial médico y también los referidos a aspectos biométricos del individuo.
De acuerdo con la LGPD, también pueden ser considerados como datos de carácter personal aquellos utilizados para formar el perfil de comportamiento de una determinada persona física, en caso de identificarse.
Con la LGPD, ¿cómo va el Registro Positivo?
Por ser ley general, se aplican las normas del Código de Protección al Consumidor (Ley N° 8078/90) para el tratamiento de datos negativos y la Ley de Registro Positivo (Ley N° 12414/2011) para el tratamiento de datos positivos.
En el artículo 7, fracción X, de la LGPD, el legislador menciona expresamente que el tratamiento de datos personales puede realizarse para la “protección del crédito”. En el mismo artículo, reconoce las disposiciones existentes en la legislación correspondiente, incluyendo así las leyes que tratan específicamente de crédito.
¿Qué es el tratamiento de datos personales, según la LGPD?
De acuerdo con la LGPD, se considera tratamiento de datos personales cualquier operación realizada con datos personales, tales como las referidas a la recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, tratamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.
¿Qué son los datos personales?
La LGPD adopta un concepto abierto de dato personal, definido como información relativa a una persona física identificada o identificable.
Así, además de la información básica relacionada con el nombre, número de inscripción en el Registro General (RG) o en el Registro Nacional de Contribuyentes (CPF) y domicilio, también se consideran datos personales otros datos que permitan la identificación de una persona física, tales como orientación sexual, afiliación a partidos políticos, historial médico y también los referidos a aspectos biométricos del individuo.
De acuerdo con la LGPD, también pueden ser considerados como datos de carácter personal aquellos utilizados para formar el perfil de comportamiento de una determinada persona física, en caso de identificarse.
La LGPD adopta un concepto abierto de dato personal, definido como información relativa a una persona física identificada o identificable.
Así, además de la información básica relacionada con el nombre, número de inscripción en el Registro General (RG) o en el Registro Nacional de Contribuyentes (CPF) y domicilio, también se consideran datos personales otros datos que permitan la identificación de una persona física, tales como orientación sexual, afiliación a partidos políticos, historial médico y también los referidos a aspectos biométricos del individuo.
De acuerdo con la LGPD, también pueden ser considerados como datos de carácter personal aquellos utilizados para formar el perfil de comportamiento de una determinada persona física, en caso de identificarse.
¿Qué son los datos personales sensibles?
Los datos personales sensibles son aquellos a los que la LGPD ha otorgado aún mayor protección, ya que están directamente relacionados con los aspectos más íntimos de la personalidad de un individuo.
Así, son datos personales sensibles aquellos relacionados con el origen racial o étnico, la convicción religiosa, la opinión política, la afiliación u organización sindical de carácter religioso, filosófico o político, los datos referentes a la salud o la vida sexual, los datos genéticos o biométricos, cuando se vinculen a un individual.
Sobre los datos considerados sensibles, ¿qué tal el tema de los datos biométricos?
La LGPD clasifica los datos biométricos como datos personales sensibles, dotando aún de mayor rigor a los criterios aplicables a su tratamiento. En estos casos, el tratamiento podrá realizarse sin el consentimiento del titular cuando se trate de hipótesis que incluyan el cumplimiento de una obligación legal o reglamentaria y la prevención del fraude y la seguridad del titular, entre otras.
¿Qué datos están protegidos por la LGPD?
La LGPD garantiza la protección de todos los datos cuyos titulares sean personas físicas, ya sea en formato físico o digital. Así, la LGPD no alcanza los datos en posesión de las personas jurídicas -que no tienen la consideración de datos personales para los efectos de la Ley.
¿En qué casos se pueden tratar los datos personales?
Con la entrada en vigor de la LGPD, el tratamiento de datos personales podrá realizarse cuando se verifique alguna de las hipótesis previstas en su artículo 7 o, tratándose de datos personales sensibles, alguna de las previstas en el artículo 11. Diez bases legales distintas para el procesamiento de datos personales y ocho bases legales que legitiman el procesamiento de datos personales sensibles.
Cabe señalar que la LGPD también es aplicable a los datos cuyo acceso es público y a los que se hagan manifiestamente públicos por los titulares, salvaguardando la observancia de los principios generales y derechos de los titulares previstos en la Ley.
¿Cuáles son las bases legales para el tratamiento de datos personales?
El tratamiento de datos personales (no sensibles) podrá realizarse en cualquiera de los siguientes supuestos, previstos en el art. 7 de la LGPD:
· Previa prestación del consentimiento por parte del titular;
· Para el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento;
· Para la ejecución de políticas públicas, por parte de la administración pública;
· Realizar estudios por organismo de investigación;
· Para la ejecución de un contrato o trámites preliminares relacionados con un contrato en el que el titular de los datos sea parte, a solicitud del titular de los datos;
· Para el ejercicio ordinario de derechos en procedimientos judiciales, administrativos o arbitrales;
· Para la protección de la vida o integridad física del titular o de un tercero;
· Para la protección de la salud, exclusivamente, en un procedimiento realizado por profesionales de la salud, servicios de salud o autoridades sanitarias;
· Para satisfacer intereses legítimos del responsable del tratamiento o de un tercero, salvo que prevalezcan los derechos y libertades fundamentales del titular que requieran la protección de datos personales;
· Para protección de crédito.
¿Cuáles son los derechos de los ciudadanos con la entrada en vigor de la LGPD?
La LGPD prevé una amplia gama de derechos para los interesados, entre los que se pueden destacar los siguientes:
· facilitar el acceso a la información sobre el tratamiento de sus datos, que deberá estar disponible de forma clara, adecuada y notoria;
· confirmación de la existencia del tratamiento;
· acceso a los datos;
· corrección de datos incompletos, inexactos o desactualizados;
· anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en violación de las disposiciones de esta Ley;
· portabilidad de los datos a otro proveedor de servicios o productos, previa solicitud expresa, de conformidad con las normas de la autoridad nacional, observando secretos comerciales e industriales;
· supresión de los datos personales tratados con el consentimiento del titular, excepto en los casos previstos en el art. 16 de la LGPD;
· información sobre entidades públicas y privadas con las que el controlador compartió datos;
· información sobre la posibilidad de no dar su consentimiento y sobre las consecuencias de la denegación;
· revocación del consentimiento, previa manifestación expresa del titular, a través de un procedimiento gratuito y facilitado;
· petición en relación con sus datos contra el controlador, ante la autoridad nacional y ante los organismos de protección al consumidor;
· oposición al tratamiento realizado en base a una de las hipótesis de renuncia al consentimiento, en caso de incumplimiento de lo dispuesto en la LGPD;
· solicitar la revisión de las decisiones tomadas únicamente sobre la base del tratamiento automatizado de datos personales que afecten a sus intereses, incluidas las decisiones destinadas a definir su perfil personal, profesional, de consumo y crediticio o aspectos de su personalidad; Es
· suministro, previa solicitud, de información clara y adecuada sobre los criterios y procedimientos utilizados para la toma de decisiones automatizada, observando secretos comerciales e industriales.
¿Cuáles son los derechos de los ciudadanos con la entrada en vigor de la LGPD?
La LGPD prevé una amplia gama de derechos para los interesados, entre los que se pueden destacar los siguientes:
· facilitar el acceso a la información sobre el tratamiento de sus datos, que deberá estar disponible de forma clara, adecuada y notoria;
· confirmación de la existencia del tratamiento;
· acceso a los datos;
· corrección de datos incompletos, inexactos o desactualizados;
· anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en violación de las disposiciones de esta Ley;
· portabilidad de los datos a otro proveedor de servicios o productos, previa solicitud expresa, de conformidad con las normas de la autoridad nacional, observando secretos comerciales e industriales;
· supresión de los datos personales tratados con el consentimiento del titular, excepto en los casos previstos en el art. 16 de la LGPD;
· información sobre entidades públicas y privadas con las que el controlador compartió datos;
· información sobre la posibilidad de no dar su consentimiento y sobre las consecuencias de la denegación;
· revocación del consentimiento, previa manifestación expresa del titular, a través de un procedimiento gratuito y facilitado;
· petición en relación con sus datos contra el controlador, ante la autoridad nacional y ante los organismos de protección al consumidor;
· oposición al tratamiento realizado en base a una de las hipótesis de renuncia al consentimiento, en caso de incumplimiento de lo dispuesto en la LGPD;
· solicitar la revisión de las decisiones tomadas únicamente sobre la base del tratamiento automatizado de datos personales que afecten a sus intereses, incluidas las decisiones destinadas a definir su perfil personal, profesional, de consumo y crediticio o aspectos de su personalidad; Es
· suministro, previa solicitud, de información clara y adecuada sobre los criterios y procedimientos utilizados para la toma de decisiones automatizada, observando secretos comerciales e industriales.
¿Qué deben hacer las empresas y el gobierno para cumplir?
La LGPD establece una serie de medidas que deben adoptar los agentes de tratamiento, entre las que se encuentran identificar las bases legales que justifican las actividades de tratamiento de datos; la adopción de procesos y políticas internas que aseguren el cumplimiento de las normas de protección de datos personales; y el establecimiento de un canal de contacto con los titulares de los datos personales.
La Ley determina que los responsables del tratamiento deberán designar un Responsable para que actúe como canal de comunicación entre el responsable, los interesados y la ANPD. En determinadas circunstancias, dependiendo de la naturaleza y tamaño de la entidad o del volumen de operaciones de tratamiento de datos, la ANPD podrá establecer hipótesis para dispensar de su indicación.
Todavía no tenemos nada de acuerdo a lo que pide la LGPD. ¿Qué hacer?
Es importante recordar que los datos personales permean toda la organización, por lo que el éxito de este trabajo dependerá del esfuerzo e implicación de todos. Los primeros pasos deben tener la dirección de la empresa involucrada y consciente de la necesidad de cumplir, para tener un patrocinador fuerte, para formar un equipo multidisciplinario que involucre varias áreas, como cumplimiento, tecnología, seguridad y gobierno, legal y recursos. Humanos
¿Cuál es el perfil deseado para el Supervisor (DPO)?
La Designación del Titular debe basarse en las cualidades profesionales del candidato, particularmente en su conocimiento legal y regulatorio, en tecnología y seguridad de la información, liderazgo organizacional, concientización/educador, y también, con conocimiento en gobernabilidad. Cuanto más complejas sean las actividades de tratamiento de datos que realice la organización, mayor será el nivel de conocimientos técnicos del Responsable del Tratamiento de Datos Personales (RPD).
¿Cuál es la implicación del área de TI en el proyecto de adecuación?
La participación del área de TI es muy importante en el proceso de cumplimiento, ya que involucra desde apoyar la disponibilidad de sistemas que soporten las demandas de privacidad hasta asegurar que las herramientas, procesos y buenas prácticas de seguridad de la información estén implementadas y de acuerdo.
Esta área tiene una participación amplia e integral ya que la Ley deja claro que las empresas deben adoptar medidas técnicas y administrativas para asegurar la protección de sus datos personales. No obstante, es fundamental la implicación de todas las áreas, especialmente de las áreas legal, de cumplimiento y de negocio.
¿Cuál es el trabajo del Capataz (DPO) en la práctica?
El Responsable desempeñará un papel fundamental en las decisiones estratégicas de las organizaciones y deberá tener autonomía sobre las actividades que impliquen cualquier tipo de tratamiento de datos, además de tener contacto directo con la dirección de la empresa, tomando decisiones que cumplan con la ley.
Tal y como trata la LGPD en su artículo 41, el DPO/Encargado debe tener las siguientes atribuciones:
· aceptar quejas y comunicaciones de los titulares, brindar aclaraciones y adoptar medidas;
· recibir comunicaciones de la autoridad nacional y tomar medidas;
· orientar a los empleados y contratistas de la entidad sobre las prácticas a adoptar en relación con la protección de datos personales;
· realizar las demás atribuciones que determine el responsable del tratamiento o que se establezcan en normas complementarias.
Además de estas atribuciones, la ANPD, Autoridad Nacional de Protección de Datos, podrá establecer reglas adicionales sobre la definición y atribuciones del responsable.
¿Cuál es la implicación del área de TI en el proyecto de adecuación?
La participación del área de TI es muy importante en el proceso de cumplimiento, ya que involucra desde apoyar la disponibilidad de sistemas que soporten las demandas de privacidad hasta asegurar que las herramientas, procesos y buenas prácticas de seguridad de la información estén implementadas y de acuerdo.
Esta área tiene una participación amplia e integral ya que la Ley deja claro que las empresas deben adoptar medidas técnicas y administrativas para asegurar la protección de sus datos personales. No obstante, es fundamental la implicación de todas las áreas, especialmente de las áreas legal, de cumplimiento y de negocio.
¿Qué importancia tiene la tecnología para la implementación de la LGPD?
El proceso para cumplir con la LGPD debe pasar por personas, áreas, procesos, sistemas, socios legales y tecnológicos. Por todas estas variables involucradas, entendemos que la tecnología sí marca la diferencia y es importante, ya que, dependiendo del tamaño y nivel de complejidad de una organización, administrar todas estas entidades de acuerdo con los requisitos de la ley sin una herramienta de gestión que puede agregar, registrar y controlar todas estas demandas puede convertirse en un proyecto extremadamente difícil.
Según el art. 49 de la Ley, los sistemas utilizados para el tratamiento de datos personales deberán estar estructurados de manera que cumplan con los requisitos de seguridad, las normas de buenas prácticas y buen gobierno y los principios generales previstos en esta Ley y demás normas reglamentarias.
¿Qué es el mapeo de datos y cómo hacerlo?
El Mapeo de Datos consiste en levantar, a través de la estructura de la organización, con recursos propios o con una empresa especializada, todos los elementos asociados a datos personales. Con esta información se crea un inventario, que básicamente puede ser de cuatro tipos:
· Tablas activas o bases de datos completas, aplicaciones que conservan datos no electrónicos o archivos físicos;
· Proveedores de sistemas con los que se comparten datos personales, como un CRM en la nube;
· Procesos o actividades que de alguna manera manipulen información personal;
· Las empresas asociadas también manejan datos personales bajo nuestra responsabilidad. ¿Cuál es el perfil deseado para el Supervisor (DPO)?
La Designación del Titular debe basarse en las cualidades profesionales del candidato, particularmente en su conocimiento legal y regulatorio, en tecnología y seguridad de la información, liderazgo organizacional, concientización/educador, y también, con conocimiento en gobernabilidad. Cuanto más complejas sean las actividades de tratamiento de datos que realice la organización, mayor será el nivel de conocimientos técnicos del Responsable del Tratamiento de Datos Personales (RPD).
¿Cuál es la implicación del área de TI en el proyecto de adecuación?
La participación del área de TI es muy importante en el proceso de cumplimiento, ya que involucra desde apoyar la disponibilidad de sistemas que soporten las demandas de privacidad hasta asegurar que las herramientas, procesos y buenas prácticas de seguridad de la información estén implementadas y de acuerdo.
Esta área tiene una participación amplia e integral ya que la Ley deja claro que las empresas deben adoptar medidas técnicas y administrativas para asegurar la protección de sus datos personales. No obstante, es fundamental la implicación de todas las áreas, especialmente de las áreas legal, de cumplimiento y de negocio.
¿Cuál es el trabajo del Capataz (DPO) en la práctica?
El Responsable desempeñará un papel fundamental en las decisiones estratégicas de las organizaciones y deberá tener autonomía sobre las actividades que impliquen cualquier tipo de tratamiento de datos, además de tener contacto directo con la dirección de la empresa, tomando decisiones que cumplan con la ley.
Tal y como trata la LGPD en su artículo 41, el DPO/Encargado debe tener las siguientes atribuciones:
· aceptar quejas y comunicaciones de los titulares, brindar aclaraciones y adoptar medidas;
· recibir comunicaciones de la autoridad nacional y tomar medidas;
· orientar a los empleados y contratistas de la entidad sobre las prácticas a adoptar en relación con la protección de datos personales;
· realizar las demás atribuciones que determine el responsable del tratamiento o que se establezcan en normas complementarias.
Además de estas atribuciones, la ANPD, Autoridad Nacional de Protección de Datos, podrá establecer reglas adicionales sobre la definición y atribuciones del responsable.
¿Cuál es la implicación del área de TI en el proyecto de adecuación?
La participación del área de TI es muy importante en el proceso de cumplimiento, ya que involucra desde apoyar la disponibilidad de sistemas que soporten las demandas de privacidad hasta asegurar que las herramientas, procesos y buenas prácticas de seguridad de la información estén implementadas y de acuerdo.
Esta área tiene una participación amplia e integral ya que la Ley deja claro que las empresas deben adoptar medidas técnicas y administrativas para asegurar la protección de sus datos personales. No obstante, es fundamental la implicación de todas las áreas, especialmente de las áreas legal, de cumplimiento y de negocio.
¿Qué importancia tiene la tecnología para la implementación de la LGPD?
El proceso para cumplir con la LGPD debe pasar por personas, áreas, procesos, sistemas, socios legales y tecnológicos. Por todas estas variables involucradas, entendemos que la tecnología sí marca la diferencia y es importante, ya que, dependiendo del tamaño y nivel de complejidad de una organización, administrar todas estas entidades de acuerdo con los requisitos de la ley sin una herramienta de gestión que puede agregar, registrar y controlar todas estas demandas puede convertirse en un proyecto extremadamente difícil.
Según el art. 49 de la Ley, los sistemas utilizados para el tratamiento de datos personales deberán estar estructurados de manera que cumplan con los requisitos de seguridad, las normas de buenas prácticas y buen gobierno y los principios generales previstos en esta Ley y demás normas reglamentarias.
¿Qué es el mapeo de datos y cómo hacerlo?
El Mapeo de Datos consiste en levantar, a través de la estructura de la organización, con recursos propios o con una empresa especializada, todos los elementos asociados a datos personales. Con esta información se crea un inventario, que básicamente puede ser de cuatro tipos:
· Tablas activas o bases de datos completas, aplicaciones que conservan datos no electrónicos o archivos físicos;
· Proveedores de sistemas con los que se comparten datos personales, como un CRM en la nube;
· Procesos o actividades que de alguna manera manipulen información personal;
· Las empresas asociadas también manejan datos personales bajo nuestra responsabilidad.
Después de definir qué se inventariará, el siguiente paso es mapearlo a través de un proceso iterativo e incremental. Es decir, es interesante empezar a mapear lo que se sabe, ya que desde un principio ya es posible tomar conciencia de los desfases y posibles riesgos que conlleva.
¿El formulario de consentimiento puede ser escrito o digital? En el caso de lo digital, ¿hay alguna regla a seguir?
El término del consentimiento puede adquirirse tanto físico como digital, pero debe serlo, como establece el art. 8, “por escrito o por otro medio que demuestre la expresión de la voluntad del titular”. Al igual que el RGPD, la Ley General de Protección de Datos trae consigo la preocupación de limitar la retención de datos únicamente a lo estrictamente necesario para su tratamiento.
En la Ley no existe un plazo fijo para la conservación de los datos tratados, pero establece, en su Art. 16, que “los datos personales serán eliminados después de la finalización de su tratamiento, dentro del ámbito y límites técnicos de las actividades”. Se observa, por tanto, que el plazo de conservación de los datos en la LGPD está condicionado a la finalidad declarada por el responsable del tratamiento, y que, una vez utilizados, deberán ser eliminados de sus servidores.
¿Qué es la Autoridad Nacional de Protección de Datos Personales – ANPD?
La ANPD es el órgano de la administración pública federal responsable de garantizar la protección de los datos personales y de implementar y supervisar el cumplimiento de la LGPD en Brasil.
Ver: https://www.gov.br/anpd/pt-br
¿Cuál es el papel de la Autoridad Nacional de Protección de Datos – ANPD?
La ANPD tiene como misión institucional asegurar la más amplia y correcta observancia de la LGPD en Brasil y, en esa medida, garantizar la debida protección a los derechos fundamentales de libertad, intimidad y libre desarrollo de la personalidad de las personas.
El artículo 55-J de la LGPD establece las principales facultades de la ANPD, entre las que se destacan las siguientes:
· desarrollar lineamientos para la Política Nacional de Protección de Datos Personales y Privacidad;
· vigilar y aplicar sanciones en caso de tratamiento de datos realizado en contravención de la legislación, a través de un proceso administrativo que asegure la contradictoria, amplia defensa y el derecho de apelación;
· promover el conocimiento de la población sobre las normas y políticas públicas sobre protección de datos personales y medidas de seguridad;
· fomentar la adopción de estándares para servicios y productos que faciliten el ejercicio del control de los titulares sobre sus datos personales, que deben tener en cuenta las especificidades de las actividades y el tamaño de los responsables;
· promover acciones de cooperación con las autoridades de protección de datos personales de otros países, ya sean de carácter internacional o transnacional;
· editar reglamentos y procedimientos sobre protección de datos personales y privacidad, así como sobre informes sobre el impacto de la protección de datos personales para los casos en que el tratamiento suponga un alto riesgo para la garantía de los principios generales de protección de datos personales previstos en la presente Ley;
· escuchar a los agentes de tratamiento ya la sociedad en asuntos de relevante interés e informar sobre sus actividades y planificación;
· editar reglas, lineamientos y procedimientos simplificados y diferenciados, incluyendo plazos, para que las micro y pequeñas empresas, así como las iniciativas empresariales de carácter incremental o disruptivo que se declaren startups o empresas de innovación, puedan adecuarse a la Ley;
· deliberar, en el ámbito administrativo, con carácter resolutorio, sobre la interpretación de la LGPD, sus competencias y omisiones;
· articularse con las autoridades reguladoras públicas para ejercer sus facultades en sectores específicos de actividades económicas y gubernamentales sujetas a regulación; Es
· Implementar mecanismos simplificados, incluyendo medios electrónicos, para el registro de denuncias sobre el tratamiento de datos personales en contravención a la presente Ley.
¿Cuándo se creó la ANPD?
La ANPD fue creada por la Medida Provisional n. 869, del 27 de diciembre de 2018, luego convertida en Ley n. 13.853, del 14 de agosto de 2019.
A su vez, el Decreto 10.474, del 26 de agosto de 2020, aprobó la Estructura Normativa y el Cuadro Demostrativo de Cargos en Comisiones y Funciones de Fideicomiso de la ANPD, con entrada en vigencia a partir de la fecha de publicación del nombramiento del Director-Presidente de la ANPD en el Diario Oficial de la Federación.
¿Cuál es la estructura de la ANPD?
De conformidad con el art. 55-C de la LGPD y el art. 3 del Decreto 10.474/20, la ANPD tiene la siguiente composición:
· Consejo de Administración, máximo órgano de dirección, integrado por cinco Consejeros, incluido el Consejero Delegado;
· Consejo Nacional de Protección de Datos Personales y Privacidad, órgano consultivo integrado por 23 representantes de los organismos públicos, la sociedad civil, la comunidad científica, el sector productivo y empresarial y el sector laboral.
· Órganos de asistencia directa e inmediata al Consejo de Administración:
a) Secretaría General;
b) Coordinación General de Administración; Es
c) Coordinación General de Relaciones Institucionales e Internacionales;
· Cuerpos seccionales:
a) Asuntos Internos;
b) Defensor del Pueblo; Es
c) Asesoramiento Jurídico; Es
· Órganos específicos singulares:
a) Coordinación General de Normalización;
b) Coordinación de Inspección General; Es
c) Coordinación General de Tecnología e Investigación.
Ver: https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/estrutura-organizacional-1
¿Es la ANPD una autoridad independiente?
A pesar de ser un órgano de la administración pública federal directa, la ANPD cuenta con algunas características institucionales que le otorgan una mayor independencia, tales como la autonomía técnica y decisoria y el mandato fijo de los Directores.
La LGPD también establece que la naturaleza jurídica de la ANPD es transitoria y puede ser transformada por el Poder Ejecutivo en una entidad indirecta de la administración pública federal, sujeta a un régimen autárquico especial y vinculada a la Presidencia de la República. Dicha evaluación deberá realizarse dentro de los 2 (dos) años contados a partir de la fecha de entrada en vigencia del marco normativo de la ANPD.
¿La ANPD puede aplicar sanciones por incumplimiento de la ley?
Cabe recordar, en primer lugar, que las disposiciones de la LGPD relativas a las sanciones administrativas sólo entrarán en vigor el 1 de agosto de 2021. A partir de esa fecha, la ANPD podrá aplicar, tras un procedimiento administrativo que permita la plena defensa, las siguientes sanciones administrativas :
· advertencia, indicando el plazo para la adopción de medidas correctivas;
· multa simple de hasta el 2% (dos por ciento) de la facturación de la persona jurídica privada, grupo o conglomerado en Brasil en su último ejercicio, excluidos impuestos, limitada en total a R$ 50.000.000,00 (cincuenta millones de reales) por infracción;
· multa diaria, sujeta al límite total a que se refiere el inciso II;
· publicación de la infracción después de que su ocurrencia haya sido debidamente investigada y comprobada;
· bloqueo de los datos personales a que se refiere la infracción hasta que se regularice;
· supresión de los datos personales a los que se refiere la infracción;
· suspensión parcial del funcionamiento del banco de datos a que se refiere la infracción por un plazo máximo de 6 (seis) meses, prorrogables por igual período, hasta que la actividad de tratamiento sea regularizada por el responsable del tratamiento;
· Suspensión de la actividad de tratamiento de datos personales a que se refiere la infracción por un plazo máximo de 6 (seis) meses, prorrogables por igual período; Es
· prohibición parcial o total de realizar actividades relacionadas con el tratamiento de datos.
¿La ANPD colabora con otras entidades y organismos públicos en el ejercicio de sus competencias?
Sí. La ANPD debe coordinarse con otras entidades y organismos públicos para asegurar el cumplimiento de su misión institucional, actuando como órgano central de interpretación de la LGPD y estableciendo normas y lineamientos para su implementación.
La LGPD determina, por ejemplo, que la ANPD y los organismos y entidades públicas responsables de la regulación de sectores específicos de la actividad económica y gubernamental deben coordinar sus actividades, en los ámbitos de actuación correspondientes, con miras a asegurar el cumplimiento de sus atribuciones con la mayor cuidado posible. eficiencia y promover el buen funcionamiento de los sectores regulados. Asimismo, la LGPD determina que la ANPD deberá comunicar a las autoridades competentes las infracciones penales de las que tenga conocimiento.
Es importante señalar que la aplicación de las sanciones previstas en la LGPD es competencia exclusiva de la ANPD, y sus competencias prevalecerán, en materia de protección de datos personales, sobre las competencias conexas de otras entidades u órganos de la administración pública. .
¿Cuál es el perfil de los Directores de la ANPD? ¿Cómo se eligen?
La LGPD determina que el Directorio de la ANPD estará integrado por 5 (cinco) directores, incluido el Gerente General. Los miembros son elegidos por el Presidente de la República y designados por él, previa aprobación del Senado Federal, y deben ser elegidos entre brasileños que tengan reputación intachable, nivel superior de instrucción y alta reputación en el campo de la especialidad de la cargos a los que serán designados.
La duración del mandato de los miembros del Consejo de Administración será de 4 (cuatro) años. Con el fin de garantizar que dichos períodos no coincidan (es decir, que terminen en años diferentes), los períodos de los primeros miembros de la Junta Directiva designados serán 2 (dos), 3 (tres), 4 (cuatro) , 5 (cinco) y 6 (seis) años, según lo establecido en el acta de nombramiento.
¿Para qué sirve el Consejo Nacional de Protección de Datos Personales y Privacidad – CNPDPP?
El Consejo Nacional de Protección de Datos Personales y Privacidad es una entidad consultiva que posibilita la participación de diferentes segmentos sociales en la conformación del entorno normativo de protección de datos personales. Sus funciones principales son:
· proponer lineamientos estratégicos y otorgar subsidios para la elaboración de la Política Nacional de Protección de Datos Personales y Privacidad y para el desempeño de la ANPD;
· preparar informes anuales que evalúen la implementación de las acciones de la Política Nacional de Protección de Datos Personales y Privacidad;
· sugerir acciones a ser realizadas por la ANPD;
· preparar estudios y celebrar debates y audiencias públicas sobre la protección de datos personales y la privacidad; Es
· difundir conocimientos sobre la protección de datos personales y la privacidad a la población.
La participación en el Consejo Nacional de Protección de Datos Personales y Privacidad tendrá la consideración de prestación de un servicio público relevante y no remunerado.
Es importante señalar que la aplicación de las sanciones previstas en la LGPD es competencia exclusiva de la ANPD, y sus competencias prevalecerán, en materia de protección de datos personales, sobre las competencias conexas de otras entidades u órganos de la administración pública. .
¿Cuál es el perfil de los Directores de la ANPD? ¿Cómo se eligen?
La LGPD determina que el Directorio de la ANPD estará integrado por 5 (cinco) directores, incluido el Gerente General. Los miembros son elegidos por el Presidente de la República y designados por él, previa aprobación del Senado Federal, y deben ser elegidos entre brasileños que tengan reputación intachable, nivel superior de instrucción y alta reputación en el campo de la especialidad de la cargos a los que serán designados.
La duración del mandato de los miembros del Consejo de Administración será de 4 (cuatro) años. Con el fin de garantizar que dichos períodos no coincidan (es decir, que terminen en años diferentes), los períodos de los primeros miembros de la Junta Directiva designados serán 2 (dos), 3 (tres), 4 (cuatro) , 5 (cinco) y 6 (seis) años, según lo establecido en el acta de nombramiento.
¿Para qué sirve el Consejo Nacional de Protección de Datos Personales y Privacidad – CNPDPP?
El Consejo Nacional de Protección de Datos Personales y Privacidad es una entidad consultiva que posibilita la participación de diferentes segmentos sociales en la conformación del entorno normativo de protección de datos personales. Sus funciones principales son:
· proponer lineamientos estratégicos y otorgar subsidios para la elaboración de la Política Nacional de Protección de Datos Personales y Privacidad y para el desempeño de la ANPD;
· preparar informes anuales que evalúen la implementación de las acciones de la Política Nacional de Protección de Datos Personales y Privacidad;
· sugerir acciones a ser realizadas por la ANPD;
· preparar estudios y celebrar debates y audiencias públicas sobre la protección de datos personales y la privacidad; Es
· difundir conocimientos sobre la protección de datos personales y la privacidad a la población.
La participación en el Consejo Nacional de Protección de Datos Personales y Privacidad tendrá la consideración de prestación de un servicio público relevante y no remunerado.
¿Cómo se elegirán los miembros del CNPDPP?
La CNPDPP está integrada por veintitrés representantes, titulares y suplentes, de los siguientes órganos y entidades:
· 5 (cinco) del Poder Ejecutivo Federal;
· 1 (uno) del Senado Federal;
· 1 (uno) de la Cámara de Diputados;
· 1 (uno) del Consejo Nacional de Justicia;
· 1 (uno) del Consejo Nacional del Ministerio Público;
· 1 (uno) del Comité Directivo de Internet de Brasil;
· 3 (tres) de entidades de la sociedad civil con actividades relacionadas con la protección de datos personales;
· 3 (tres) de instituciones científicas, tecnológicas y de innovación;
· 3 (tres) centrales sindicales representativas de las categorías económicas del sector productivo;
· 2 (dos) entidades representativas del sector empresarial relacionado con el área de tratamiento de datos personales; Es
· 2 (dos) de entidades representativas del sector laboral.
Los miembros de la CNPDPP y sus suplentes serán designados por el Presidente de la República.
Las nominaciones de miembros representantes de los órganos del Poder Ejecutivo, del Poder Legislativo, del Consejo Nacional de Justicia, del Consejo Nacional del Ministerio Público y del Comité de Gestión de Internet en Brasil deben ser presentadas por los titulares de los órganos al Ministro de Estado. Titular de la Casa Civil de la Presidencia de la República.
Las demás candidaturas podrán ser presentadas libremente al Directorio de la ANPD por las entidades representativas de los distintos segmentos, en el plazo de treinta días, contados a partir de la publicación del aviso de convocatoria en el Diario Oficial de la Unión. Recibidas las postulaciones, la Junta Directiva formará una lista triple de titulares y suplentes para cada vacante, la cual será remitida al Ministro de Estado, Jefe de Gabinete de la Presidencia de la República, para su designación por el Presidente de la República. República.
¿Cómo participará la sociedad en el trabajo de la ANPD?
En los términos de la LGPD, corresponde a la ANPD escuchar a los agentes de tratamiento ya la sociedad en asuntos de interés relevante e informar sobre sus actividades y planificación. Asimismo, los reglamentos y normas que emita la ANPD deberán estar precedidos de consulta y audiencia pública, así como de análisis de impacto normativo.
Finalmente, cabe recordar que el CNPDPP es la forma de participación institucionalizada de los diferentes grupos sociales en la ANPD.
¿Las personas naturales y jurídicas, públicas o privadas, que realicen actividades de tratamiento de datos personales tendrán que trasladar sus bases de datos a la ANPD?
Las personas físicas o jurídicas que realicen tratamientos de datos no estarán obligadas a trasladar sus bases de datos a la ANPD. Corresponde a la ANPD supervisar y aplicar sanciones cuando el tratamiento de datos se produzca con infracción de la legislación en materia de protección de datos, mediante vía administrativa, con defensa contradictoria y plena.
EUROPA
¿Qué es el RGPD?
El Reglamento general de protección de datos es una ley de la Unión Europea que se implementó el 25 de mayo de 2018 y requiere que las organizaciones protejan los datos personales y defiendan los derechos de privacidad de cualquier persona en el territorio de la UE. El reglamento incluye siete principios de protección de datos que deben implementarse y ocho derechos de privacidad que deben facilitarse. También faculta a las autoridades de protección de datos a nivel de los estados miembros para hacer cumplir el RGPD con sanciones y multas. El RGPD reemplazó la Directiva de Protección de Datos de 1995, que creó un mosaico de leyes de protección de datos país por país. El RGPD, aprobado en el Parlamento Europeo por abrumadora mayoría, unifica la UE bajo un régimen único de protección de datos.
Lea nuestro resumen del RGPD para obtener una descripción general de la ley. ( https://gdpr.eu/que-es-gdpr/ )
¿Quién debe cumplir con el RGPD?
Cualquier organización que procese datos personales de personas en la UE debe cumplir con el RGPD. “Procesamiento” es un término amplio que cubre casi todo lo que puede hacer con los datos: recopilación, almacenamiento, transmisión, análisis, etc. “Datos personales” es cualquier información relacionada con una persona, como nombres, direcciones de correo electrónico, direcciones IP , color de ojos, afiliación política, etc. Incluso si una organización no está conectada a la UE, si procesa los datos personales de las personas en la UE (a través del seguimiento en su sitio web, por ejemplo), debe cumplir. El RGPD tampoco se limita a las empresas con fines de lucro.
Encuentra más información sobre quién debe cumplir con el RGPD: https://gdpr.eu/companies-outside-of-europe/ ¿Cómo participará la sociedad en el trabajo de la ANPD?
En los términos de la LGPD, corresponde a la ANPD escuchar a los agentes de tratamiento ya la sociedad en asuntos de interés relevante e informar sobre sus actividades y planificación. Asimismo, los reglamentos y normas que emita la ANPD deberán estar precedidos de consulta y audiencia pública, así como de análisis de impacto normativo.
Finalmente, cabe recordar que el CNPDPP es la forma de participación institucionalizada de los diferentes grupos sociales en la ANPD.
¿Las personas naturales y jurídicas, públicas o privadas, que realicen actividades de tratamiento de datos personales tendrán que trasladar sus bases de datos a la ANPD?
Las personas físicas o jurídicas que realicen tratamientos de datos no estarán obligadas a trasladar sus bases de datos a la ANPD. Corresponde a la ANPD supervisar y aplicar sanciones cuando el tratamiento de datos se produzca con infracción de la legislación en materia de protección de datos, mediante vía administrativa, con defensa contradictoria y plena.
EUROPA
¿Qué es el RGPD?
El Reglamento general de protección de datos es una ley de la Unión Europea que se implementó el 25 de mayo de 2018 y requiere que las organizaciones protejan los datos personales y defiendan los derechos de privacidad de cualquier persona en el territorio de la UE. El reglamento incluye siete principios de protección de datos que deben implementarse y ocho derechos de privacidad que deben facilitarse. También faculta a las autoridades de protección de datos a nivel de los estados miembros para hacer cumplir el RGPD con sanciones y multas. El RGPD reemplazó la Directiva de Protección de Datos de 1995, que creó un mosaico de leyes de protección de datos país por país. El RGPD, aprobado en el Parlamento Europeo por abrumadora mayoría, unifica la UE bajo un régimen único de protección de datos.
Lea nuestro resumen del RGPD para obtener una descripción general de la ley. ( https://gdpr.eu/que-es-gdpr/ )
¿Quién debe cumplir con el RGPD?
Cualquier organización que procese datos personales de personas en la UE debe cumplir con el RGPD. “Procesamiento” es un término amplio que cubre casi todo lo que puede hacer con los datos: recopilación, almacenamiento, transmisión, análisis, etc. “Datos personales” es cualquier información relacionada con una persona, como nombres, direcciones de correo electrónico, direcciones IP , color de ojos, afiliación política, etc. Incluso si una organización no está conectada a la UE, si procesa los datos personales de las personas en la UE (a través del seguimiento en su sitio web, por ejemplo), debe cumplir. El RGPD tampoco se limita a las empresas con fines de lucro.
Encuentra más información sobre quién debe cumplir con el RGPD: https://gdpr.eu/companies-outside-of-europe/
¿Cuáles son las multas del RGPD?
El RGPD permite a las autoridades de protección de datos de cada país imponer sanciones y multas a las organizaciones que considere infractoras. La sanción máxima es de 20 millones de euros o el 4 % de los ingresos globales, lo que sea mayor. Las autoridades de protección de datos también pueden imponer sanciones, como prohibiciones de procesamiento de datos o amonestaciones públicas.
Obtenga más información sobre cómo se evalúan las multas del RGPD: https://gdpr.eu/fines/
¿Cómo cumplo con el RGPD?
Las organizaciones pueden cumplir con el RGPD mediante la implementación de medidas de seguridad técnicas y operativas para proteger los datos personales que controlan. El primer paso es realizar una evaluación de GDPR para determinar qué datos personales controlan, dónde se encuentran y cómo se protegen. También deben cumplir con los principios de privacidad descritos en el RGPD, como obtener el consentimiento y garantizar la portabilidad de los datos. También se le puede solicitar que designe un Delegado de Protección de Datos y actualice su aviso de privacidad ( https://gdpr.eu/privacy-notice/ ), entre otras medidas organizativas.
Revise nuestra lista de verificación de GDPR para obtener más información sobre los pasos para el cumplimiento: https://gdpr.eu/checklist/
¿Qué es un Delegado de Protección de Datos?
Un Oficial de Protección de Datos (DPO) es un empleado dentro de su organización que es responsable de comprender el RGPD y garantizar el cumplimiento de su organización. El DPO es el principal punto de contacto de la autoridad de protección de datos. Por lo general, el DPO tiene conocimiento tanto de la tecnología de la información como de la ley.
Obtenga más información sobre el rol de Oficial de Protección de Datos aquí: https://gdpr.eu/data-protection-officer/
¿El RGPD requiere encriptación?
El RGPD requiere que las organizaciones implementen “medidas técnicas y organizativas apropiadas” para proteger los datos personales y proporciona una breve lista de opciones para hacerlo, incluido el cifrado. En muchos casos, el cifrado es el método más viable para proteger los datos personales. Por ejemplo, si envía regularmente correos electrónicos dentro de su organización que contienen información personal, puede ser más eficiente utilizar un servicio de correo electrónico encriptado que anonimizar la información cada vez.
ISO 27001 × ISO 27701
Es importante aclarar inicialmente la diferencia entre ISO 27001 e ISO 27701.
La norma ISO 27001 – Sistema de Gestión de Seguridad de la Información – es una norma para implementar un sistema de gestión enfocado a la seguridad de la información, mientras que la norma ISO 27701 – Sistema de Gestión de Seguridad Privada – es una extensión de la norma 27001, y tiene como objetivo agregar nuevos controles en la sistema de gestión para garantizar la total privacidad específicamente de los datos personales.
Dicho esto, es fundamental recalcar que es necesario implementar la ISO 27001 para que sea posible ampliar su alcance y cumplir también con la ISO 27701. Por supuesto, es posible (y recomendable) implementar ambas en paralelo, pero No es posible implementar solo ISO 27701 sin implementar ISO 27001, ya que los principales controles relacionados con la formación de un sistema de gestión seguro se encuentran en ISO 27001.
términos importantes
Algunos términos de la ISO 27701 tienen un mapeo directo con los términos de la LGPD, lo que demuestra la estrecha relación entre la ley y la regla de extensión. Son ellos:
PII – Información Personalmente Identificable – (LGPD: Datos Personales): Datos que pueden permitir la identificación del Titular de los Datos.
Controlador de PII (LGPD: Data Controller): es el interesado que determina los fines y medios por los cuales se tratarán los datos personales;
Encargado del Tratamiento de PII (LGPD: Data Processor): es el interesado que trata/trata datos personales para el Responsable del Tratamiento, siguiendo sus instrucciones;
PII principal (LGPD: Titular de los datos): persona física a quien se refieren los datos personales que son objeto de tratamiento.
¿Quién debería implementar la ISO 27701?
Toda organización, de cualquier tamaño y naturaleza (pública o privada), que sea responsable de procesar datos personales (Procesador PII) o de controlar y hacer uso de datos personales (Controlador PII), se beneficiará de la adopción de las mejores prácticas definidas en ISO 27701 La gestión basada en los riesgos de seguridad y privacidad busca ayudar a las organizaciones a evitar posibles fugas de datos, accesos indebidos y otras incidencias que puedan acarrear graves problemas para la empresa.
¿Qué es ISO 27701?
La norma ISO 27701 se publicó el 5 de agosto de 2019 con el objetivo de ser una adaptación lógica a la LGPD y al RGPD. Llegó como un estándar de extensión de ISO 27001 para abordar esta brecha en ISO 27001, y se puede comprar desde el enlace anterior por aproximadamente $ 190.00.
Como se mencionó anteriormente, ISO 27701 amplía el estándar ISO 27001 para incluir también controles relacionados con la privacidad de datos. Esto significa que, además de los controles previstos por el Sistema de Gestión de la Seguridad de la Información (SGSI), como la garantía de la integridad, confidencialidad y disponibilidad de los datos, para cumplir con la norma ISO 27701, este sistema de gestión debe expandirse a un “Sistema de gestión de información de privacidad” (PIMS), que es un sistema de gestión que también se ocupa de gestionar la privacidad de los datos personales. Este sistema de gestión busca ayudar a las empresas a gestionar los riesgos de privacidad relacionados con los datos personales, ya sea en relación con el controlador o el procesador de datos.
Es importante recalcar que al certificar ISO 27001 + ISO 27701, la empresa NO PUEDE decir que se está adhiriendo automáticamente a la LGPD. Sin embargo, esta certificación demuestra que la empresa cuenta con un robusto sistema de gestión preocupado por la privacidad de los datos personales, siguiendo las mejores prácticas del mercado para la gestión de la seguridad de la información y la privacidad de los datos. La LGPD no es, hasta el momento, oficialmente certificable, ya que aún no está en vigor y aún se están discutiendo los mecanismos de certificación.
¿Cuáles son las principales ventajas de ISO 27701?
Los principales beneficios que se obtienen al establecer un PIMS adherido a la norma ISO 27701 son:
Muestra a sus clientes, proveedores y empleados que la empresa se preocupa por sus datos e información, generando mayor confianza;
Cumple con los requisitos principales de la LGPD y GDPR;
Deja claro a todos los involucrados cuáles son los roles y responsabilidades de cada uno;
Aumenta la competencia y la conciencia de los empleados con respecto a la seguridad y privacidad de los datos;
Mejora los procesos internos, reduciendo el riesgo de fugas de datos;
Aporta transparencia en los controles establecidos para la gestión de la privacidad. Todo el mundo sabe cómo se manejan los datos y qué se está haciendo con ellos;
Facilita acuerdos con socios comerciales aumentando la seguridad y la confianza;
Se integra fácilmente con el Sistema de Gestión de Seguridad de la Información que exige la norma ISO 27001.
Implementando la norma
Para implementar ISO 27701, es necesario que también se implemente ISO 27001. Para ello, es aceptable que la empresa ya haya certificado o esté en proceso de certificación de la norma ISO 27001.
También es normal que la empresa no cuente con la ISO 27001. En este caso, es importante señalar que tendrá que implementar la ISO 27001 y la ISO 27701 juntas. Esta estrategia es recomendable y hace que la implementación sea más fácil y menos difícil.
Es importante aclarar inicialmente la diferencia entre ISO 27001 e ISO 27701.
La norma ISO 27001 – Sistema de Gestión de Seguridad de la Información – es una norma para implementar un sistema de gestión enfocado a la seguridad de la información, mientras que la norma ISO 27701 – Sistema de Gestión de Seguridad Privada – es una extensión de la norma 27001, y tiene como objetivo agregar nuevos controles en la sistema de gestión para garantizar la total privacidad específicamente de los datos personales.
Dicho esto, es fundamental recalcar que es necesario implementar la ISO 27001 para que sea posible ampliar su alcance y cumplir también con la ISO 27701. Por supuesto, es posible (y recomendable) implementar ambas en paralelo, pero No es posible implementar solo ISO 27701 sin implementar ISO 27001, ya que los principales controles relacionados con la formación de un sistema de gestión seguro se encuentran en ISO 27001.
términos importantes
Algunos términos de la ISO 27701 tienen un mapeo directo con los términos de la LGPD, lo que demuestra la estrecha relación entre la ley y la regla de extensión. Son ellos:
PII – Información Personalmente Identificable – (LGPD: Datos Personales): Datos que pueden permitir la identificación del Titular de los Datos.
Controlador de PII (LGPD: Data Controller): es el interesado que determina los fines y medios por los cuales se tratarán los datos personales;
Encargado del Tratamiento de PII (LGPD: Data Processor): es el interesado que trata/trata datos personales para el Responsable del Tratamiento, siguiendo sus instrucciones;
PII principal (LGPD: Titular de los datos): persona física a quien se refieren los datos personales que son objeto de tratamiento.
¿Quién debería implementar la ISO 27701?
Toda organización, de cualquier tamaño y naturaleza (pública o privada), que sea responsable de procesar datos personales (Procesador PII) o de controlar y hacer uso de datos personales (Controlador PII), se beneficiará de la adopción de las mejores prácticas definidas en ISO 27701 La gestión basada en los riesgos de seguridad y privacidad busca ayudar a las organizaciones a evitar posibles fugas de datos, accesos indebidos y otras incidencias que puedan acarrear graves problemas para la empresa.
¿Qué es ISO 27701?
La norma ISO 27701 se publicó el 5 de agosto de 2019 con el objetivo de ser una adaptación lógica a la LGPD y al RGPD. Llegó como un estándar de extensión de ISO 27001 para abordar esta brecha en ISO 27001, y se puede comprar desde el enlace anterior por aproximadamente $ 190.00.
Como se mencionó anteriormente, ISO 27701 amplía el estándar ISO 27001 para incluir también controles relacionados con la privacidad de datos. Esto significa que, además de los controles previstos por el Sistema de Gestión de la Seguridad de la Información (SGSI), como la garantía de la integridad, confidencialidad y disponibilidad de los datos, para cumplir con la norma ISO 27701, este sistema de gestión debe expandirse a un “Sistema de gestión de información de privacidad” (PIMS), que es un sistema de gestión que también se ocupa de gestionar la privacidad de los datos personales. Este sistema de gestión busca ayudar a las empresas a gestionar los riesgos de privacidad relacionados con los datos personales, ya sea en relación con el controlador o el procesador de datos.
Es importante recalcar que al certificar ISO 27001 + ISO 27701, la empresa NO PUEDE decir que se está adhiriendo automáticamente a la LGPD. Sin embargo, esta certificación demuestra que la empresa cuenta con un robusto sistema de gestión preocupado por la privacidad de los datos personales, siguiendo las mejores prácticas del mercado para la gestión de la seguridad de la información y la privacidad de los datos. La LGPD no es, hasta el momento, oficialmente certificable, ya que aún no está en vigor y aún se están discutiendo los mecanismos de certificación.
¿Cuáles son las principales ventajas de ISO 27701?
Los principales beneficios que se obtienen al establecer un PIMS adherido a la norma ISO 27701 son:
Muestra a sus clientes, proveedores y empleados que la empresa se preocupa por sus datos e información, generando mayor confianza;
Cumple con los requisitos principales de la LGPD y GDPR;
Deja claro a todos los involucrados cuáles son los roles y responsabilidades de cada uno;
Aumenta la competencia y la conciencia de los empleados con respecto a la seguridad y privacidad de los datos;
Mejora los procesos internos, reduciendo el riesgo de fugas de datos;
Aporta transparencia en los controles establecidos para la gestión de la privacidad. Todo el mundo sabe cómo se manejan los datos y qué se está haciendo con ellos;
Facilita acuerdos con socios comerciales aumentando la seguridad y la confianza;
Se integra fácilmente con el Sistema de Gestión de Seguridad de la Información que exige la norma ISO 27001.
Implementando la norma
Para implementar ISO 27701, es necesario que también se implemente ISO 27001. Para ello, es aceptable que la empresa ya haya certificado o esté en proceso de certificación de la norma ISO 27001.
También es normal que la empresa no cuente con la ISO 27001. En este caso, es importante señalar que tendrá que implementar la ISO 27001 y la ISO 27701 juntas. Esta estrategia es recomendable y hace que la implementación sea más fácil y menos difícil.
