tadamichi - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Brasil prepara reforma para proteger la privacidad y seguridad de los datos

En un mundo dónde la información se genera en un lugar y se almacena en otro, es importante esclarecer el flujo correcto y las responsabilidades de cada participante, así como los derechos y obligaciones a los que se someten.

Un tema que no pasa de moda entre los brasileños es ¿qué hacen las grandes empresas con sus datos, y en consecuencia con su privacidad?

Esto se ve reflejado con la segunda fase del Marco Civil de Internet, y la propuesta referéndum que inicio el pasado 27 de enero por parte del Ministerio de la Justicia de Brasil y que termina el día 29 de febrero. La idea es que la población ayude al gobierno a afinar lo que se realmente se debe hacer con la red mundial de información, así como los datos que se generan en ella.

Bajo esta finalidad surgió un proyecto de ley sobre protección de datos personales elaborado por por el Senacon (Secretaria Nacional do Consumidor) y alistado con la ayuda de dos debates públicos, a través de internet, con más de 2000 aportes de los sectores público y privado, órganos académicos y organizaciones no gubernamentales. Una versión final fue publicada a finales del año pasado con una serie de enmiendas.

El texto tiene bastante influencia del Reglamento Europeo de Protección de Datos Personales y aún se encuentra en proceso de perfeccionamiento para ser presentado al Congreso Nacional en algún momento de este año. La nueva legislación propuesta tendrá un gran impacto en los modelos de negocios las empresas nacionales e internacionales, particularmente en lo referente al modo que procesan los datos de carácter personal.

Uno de los puntos más polémicos de la ley son las implicaciones que tiene para grandes empresas generadoras de datos con presencia internacional y que operan en territorio brasileño, tales como Facebook y Google. Para estas compañías la legislación que las rige es la estadounidense, considerando que su sede de operaciones se encuentra en los Estados Unidos. Pero la nueva propuesta de ley pretende hacer que estos sitios cumplan con la legislación local si quieren seguir operando en Brasil.

Un claro ejemplo de ello es el artículo 18 de la propuesta de ley, en donde se lee que "... la administración pública federal... debe garantizar el cumplimiento de la legislación brasileña, incluyendo la aplicación de las sanciones incluso si las actividades se llevan a cabo por la persona jurídica en el extranjero”. Y la propuesta también establece que los "proveedores de conexión y acceso a aplicaciones deben, en la guardia, almacenamiento y procesamiento de datos, observar las pautas de seguridad que se establecerán en el Decreto Presidencial.

Las directrices obligan a cualquier proveedor, incluso a los extranjeros a:

  • establecer el proveedor que tendrá la responsabilidad de acceso a los datos del usuario
  • hacer una doble autenticación para garantizar la individualización del tratamiento del control de los registros
  • crear un inventario de los accesos a registros de conexión y de acceso a las aplicaciones; dicho inventario debe contener la fecha, la duración, la identidad del oficial o responsable del acceso y el archivo que fue accedido.

Lo interesante es que estas atribuciones no limitan a los proveedores de conexión o telecomunicación instalados en Brasil, ya que el proyecto establece de manera integral los que serán cubiertos por ella.

El texto dice que: "[El] tratamiento de datos personales es el conjunto de acciones relativas a la colección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, difusión, transmisión, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, bloqueo u otorgamiento a terceros de datos personales, por comunicación, interconexión, transferencia, difusión o extracción".

También destaca el artículo 13, que indica la obligación de todos de cumplir con la ley brasileña al afirmar que "los datos se mantendrán en un formato que facilita el acceso por decisión judicial o por determinación legal".

¿Anonimato?

Una de las fallas más criticadas a la propuesta actual radica es que el proyecto no señala en ningún momento que procedimientos deben seguirse para garantizar el anonimato de los datos. Por ejemplo, el texto menciona que las empresas deben publicar informes, pero no hay ninguna claridad sobre cómo impedir que los datos se comercialicen sin permiso.

Las empresas se preparan

Desde que se promulgó el Marco Civil de Internet, muchas empresas han iniciado un proceso de mejora de sus sistemas, tanto para cumplir con las leyes, como para resolver los problemas implícitos que genera mantener la seguridad de los datos. Tal vez uno de los factores clave es la falta de un estándar tecnológico que permita la comunicación eficiente entre las fuentes de datos, los dispositivos, y los lugares donde serán colectados y almacenados. Respecto a este punto, el Gobierno, como ya fue indicado con anterioridad, solo se limita a establecer que debe ser realizado dentro del territorio brasileño, pero no establece, por el momento, una norma o estándar a seguir para garantizar que se cumpla todo el proceso.

Algunas de las soluciones que han optado por las empresas de mediano porte (omitimos las trasnacionales que mayormente están mejor preparadas al tener que lidiar con otras legislaciones más complejas como las de la Unión Europea) incluyen la implementación de políticas de privacidad y seguridad de uso, además de controles de gestión de datos, así como establecer normas para la colección, gestión y almacenamiento de datos.

Con el ojo en el vecino

Generalmente las organizaciones disponen de estrategias de seguridad in situ y en la nube, que se apoyan en reglamentos bien definidos para el proceso, guarda y almacenamiento de datos. Ejemplo de ello son los aplicados por diversos estados de la Unión Americana, como son la SEC, HIPAA, Sarbanes-Oxley y GLBA.

Todos ellos, de una forma u otra, establecen que las informaciones de un cliente deben ser cifradas, y en caso de no cumplir las normas definidas, se establecen multas muy severas. Muchos países de Latinoamérica ya cuentan con leyes de protección de datos personales o se encuentran en etapas de elaboración, y de igual forma establecen valores altos para quien infrinja con la privacidad de sus usuarios.

En México, por ejemplo, "las infracciones a la ley pueden llevar a multas de hasta 1.5 millones de dólares por delitos graves." En Chile, las autoridades pueden "imponer multas por 432 millones de pesos chilenos por infracciones." En Brasil, el proyecto de ley, finalizado en noviembre de 2015, proporciona sanciones duras para quienes incumplan, como lo estable el Artículo 12 fracción II del Marco Civil:

“Una multa de hasta el 10% (diez por ciento) de la facturación del grupo económico que opere en Brasil en su último ejercicio, excluidos los impuestos, considerada la condición económica del infractor y el principio de proporcionalidad entre la gravedad de la infracción y la intensidad de la sanción;”

Si nos ponemos en el lugar de los gigantes tecnológicos internacionales que operan en el vasto territorio brasileño, nos encontramos ante un gran problema que deberá ser debatido entre los diversos grupos empresariales que se sientan afectados, el Gobierno y por supuesto la población.

Al final no puede escaparse el hecho de que las empresas están sometidas a las leyes de las regiones que operan, pero al mismo tiempo tiene la obligación de defender sus derechos y el de los clientes que representan, y en un mundo dónde la información se genera en un lugar y se almacena en otro, es importante esclarecer por lo menos el flujo correcto y las responsabilidades que cada participante tiene y, en consecuencia, los derechos y obligaciones a los que están sometidos.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close