Mercado Mercado

Momento de ajuste

Para los especialistas, el impacto de la Ley de Protección de Datos hará que las empresas brasileñas sean más seguras y globalmente competitivas

Tatiana Vaz, especial para LogicalisNow

FacebookTwitterLinkedIn

US$ 50millones

es el valor de la multa en casos de desviación ilícita o pérdidas de información

Hoy en día, es prácticamente imposible hacer lo que sea sin dejar un rastro de datos por el camino. Hay una cantidad enorme de datos en todos lados, desde la aplicación que nos enseña el mejor camino a casa hasta la pizzería en donde cenamos cada tanto. Ávidas de información, las empresas han aprendido rápidamente cómo disfrutar de eso de la mejor manera posible para apalancar sus negocios. Sin embargo, la reciente Ley de Protección de Datos las ha dejado inseguras sobre cómo hacerlo de la mejor forma posible.

La Ley General de Protección de Datos (LGPD), sancionada por Michel Temer en agosto, establece reglas para utilizar información sin causarle daños al dueño de los datos ni al mercado. Además, crea la exigencia de estándares de seguridad, para que las empresas puedan evitar posibles incidentes, como desvío de fondos ilícito o fugas. Si se comprueban errores, hay una punición: multa de 50 millones de reales o hasta 2 % de la facturación bruta de la infractora.

El plazo para adecuar los negocios en Brasil será de 18 meses a partir de agosto de 2018. “Tener una ley, un conjunto de reglas iguales para todos, evita que un caso sea tratado de forma diferente de los demás y ayuda a que todo el mercado se modernice, sea más competitivo y creativo”, afirma Adriano Mendes, especialista en derecho digital de Assis e Mendes Advogados.

Según el especialista, la ley LGPD se basó en la normativa creada en Europa, General Data Protection Regulation (GDPR), vigente desde mayo para todas las empresas que utilizan datos de ciudadanos y residentes de la Unión Europea.

“Eso se hizo justamente para asegurar interoperabilidad entre los mercados y para que las empresas en Brasil tengan los mismos niveles de seguridad que las extranjeras”, afirma Mendes, que alerta sobre la necesidad de adaptarse dentro del plazo. “Cuanto antes empiecen y hagan el proceso de adecuación, más barato y eficiente será para el negocio”.

“Tener una ley evita que un caso sea tratado de forma diferente de los demás”
Adriano Mendes, especialista en derecho digital de Assis e Mendes Advogados

Dónde empezar?

Los ajustes se pueden dividir en cuatro pasos generales, desglosados en varias acciones, en una especie de proceso de autoconocimiento hecho por las propias empresas. Antes que nada, es necesario hacer un mapeo de todos los datos personales y confidenciales que la empresa posee, recopila, procesa y almacena, no solo de los clientes – ya sean personas físicas o jurídicas –, sino también de los empleados. Con todo eso en manos, hay que definir cómo se guardarán y qué es realmente necesario para la operación.

“Muchas empresas recolectaban más datos de las personas que lo necesario, simplemente porque ya estaban disponibles o porque formaban parte de formularios antiguos que se aprovecharon. Ahora, habrá que repensar qué es necesario realmente para los negocios”, explica Rodrigo Suzuki, especialista en seguridad de datos de Logicalis. Según la Ley, las empresas no deben almacenar datos que no tengan una correlación con su negocio. Por ejemplo, no se debe preguntar el padrón electoral en una ficha de registro para un puesto de trabajo.

“Ahora, habrá que repensar qué es necesario realmente para los negocios”
Rodrigo Suzuki, especialista en seguridad de datos de Logicalis

El próximo paso tiene que ver con la estrategia definida por la empresa sobre qué hacer con la información. En esta etapa, hay que definir quién podrá acceder a los datos y por qué. Tal vez no sea necesario que todos los empleados tengan acceso a los datos de registro de los clientes, por ejemplo. Finalmente, los contratos, términos de uso y políticas de privacidad deben aclarar qué información está – o puede estar – bajo el poder de las empresas.

La discusión sobre la creación de los estándares lleva años, y los escándalos involucrando grandes corporaciones dentro y fuera del país han socavado la confianza de las personas sobre la exposición de su información. Sin embargo, las empresas no parecen haberse dado cuenta de la gravedad y urgencia de los cambios. “Nos buscan para que expliquemos cómo aplicar los cambios necesarios empezando de cero muchas veces. Eso pasa porque muchas empresas todavía tienen que invertir en una estructura mínima de seguridad antes de pensar en adaptarse a la ley”, dice Suzuki.

La principal preocupación es de las empresas que tienen sucursales, mantienen relaciones comerciales o desean expandir sus operaciones a Europa. Las dos leyes, tanto la brasileña como la europea, extienden la responsabilidad de los incidentes con datos a los proveedores, por lo tanto es necesario apurarse para que los negocios se mantengan. Además, con el tiempo, los que no se adapten no serán tan competitivos en un mercado global como el que tenemos hoy, alertan los especialistas.

Para las empresas que ya poseen un nivel maduro y avanzado de seguridad, el proceso puede ser más rápido. Es el caso de Vagas.com, una empresa de desarrollo de software de reclutamiento y selección que atiende más de 3 mil clientes en el Brasil y tiene más de 9 millones de currículos activos en su base de datos. La empresa empezó a analizar cómo adaptarse a la ley europea a principios de año, porque se imaginó que la normativa sería similar a la brasileña. Después de analizar todos los datos que tenía, preparó un plan de acción para identificar los puntos que necesitaban mejorar, al igual que los que tenían que revisar o eliminar del proceso.

Entre los cambios, está la actualización de los términos de uso de la herramienta, describiendo los tipos de información recolectada. Antes había un contrato y una política de seguridad de la información bastante robusta, pero la idea ahora es comunicarle todo de la manera más clara posible a los usuarios. “Durante la navegación en nuestro sitio, los usuarios que aceptan nuestros términos de uso visualizan propagandas relacionadas, exhibidas de acuerdo con su perfil y datos de navegación. Queremos que eso quede evidente para los usuarios”, afirma Edson Benites, especialista de seguridad de la información y uno de los responsables del área en la empresa.

Actualmente, el candidato que incluye su currículum en Vagas.com tiene acceso al historial de envío de sus datos a puestos de su interés. Sin embargo, no puede imprimir o exportar esa información, lo que también será alterado. “Los datos son de ellos y queremos darles esta opción”, dice Benites. También tendrán que avisar que la información que Vagas.com le transmite a las empresas sobre los candidatos no se puede eliminar de las bases de datos de terceros. “Hoy, los usuarios tienen la opción de desactivar su perfil, pero no de eliminar totalmente la información que ya se compartió. Ahora estamos pensando en una manera de borrar la información cuando el usuario quiera”, afirma.

Sobre proveedores y seguridad, la compañía dice que siempre ha sido prudente, pero que la tendencia es serlo aún más. En cuanto a los clientes, las empresas atendidas firman un acuerdo de uso en el cual afirman que entienden la corresponsabilidad sobre los datos de los usuarios. “Se reforzarán los cambios en los términos de uso con los clientes y se enviarán a todos los usuarios cuando estén listos, seguramente antes del plazo de 18 meses”, asegura Benites.