La sanción de la Ley General de Protección de Datos (LGPD) – o Ley nº 13.709 – ya está en vigencia desde agosto de este año. Eso significa que instituciones, públicas y privadas, deben buscar la adecuación a la ley, a fin de dar prioridad al flujo seguro de datos personales y a la privacidad de los titulares, y para proporcionar transparencia a tales titulares,  de forma que ellos sepan cómo sus datos colectados están siendo tratados y almacenados.

Estar en conformidad no es más una opción: promover una cultura de protección de datos personales precisa ser una preocupación permanente. Frente a eso, las organizaciones deben trabajar para implementar programas de compliance y de gobernanza de privacidad y protección de datos. Con la entrada en vigor, la adecuación a la ley se hizo urgente, teniendo en vista que ella prevé la aplicación de multas y sanciones. Entre las sanciones legales tenemos la advertencia, medidas correctivas, suspensión o prohibición de la actividad de tratamiento de datos. Para las empresas, las multas pueden ser de hasta el 2% de la facturación, con el límite de R$50 millones.

En las áreas de educación, investigación y, principalmente, salud, se manipulan datos personales y sensibles constantemente. ¿Cuáles son esas informaciones? Nombre, CUIT, dirección, e-mail, teléfono, matrícula de un alumno o funcionario, son ejemplos de datos personales. Algunos se consideran sensibles debido a la posibilidad  de discriminación, como origen racial o étnico, opinión política, convicción religiosa, orientación sexual, informaciones sobre la salud y vida sexual, entre otros.

Aún frente a esta realidad de gran flujo y producción de datos, el relevamiento efectuado con 56 instituciones, en el ámbito de la Edición 2020 de la “Investigación de Seguridad y Privacidad en el Sistema RNP”, reunimos números que demuestran que todavía hay mucho por hacer con relación a la adecuación a la ley en vigencia.

• 57%  de las instituciones admitió que debería gerenciar el consentimiento de los usuarios, pero no lo hace.
   
• 54% todavía no definió un proceso para responder a las solicitaciones de los titulares de datos personales.
   
• 64% señaló que promover la cultura de protección de datos personales continúa siendo uno de sus principales retos.

A pesar de haber similitudes en los parámetros a seguir, las instituciones del Sistema RNP poseen sus particularidades con relación a otros tipos de organizaciones.

Las instituciones deben estar atentas al compartir datos personales con terceros. Eso solo puede realizarse con expreso consentimiento del titular de esos datos personales. Sin el consentimiento, destacándose aquí las informaciones sensibles, solo se permite compartir datos con el fin de realizar estudios de órganos de investigación, siempre que sea posible, y mediante el anonimato.

Para las investigaciones en el área de salud pública, se aplica lo mismo. Los órganos de investigación pueden tener acceso a bases de datos personales, pero solamente en ambiente seguros e incluyendo también el anonimato. No se permite la divulgación o compartir esos datos con terceros.

¿Cómo fue pensado el Programa LGPD para apoyar a las instituciones del Sistema RNP?

El Programa LGPD trabaja en tres frentes, ofreciendo apoyo metodológico consultivo y educacional. La iniciativa tiene por objetivo auxiliar a las instituciones en las acciones necesarias para el cumplimiento de la ley ya en vigencia, teniendo en cuenta las características de las organizaciones del Sistema RNP y también el hecho de que existen instituciones en diferentes fases de la adecuación.

Como apoyo metodológico, el Método RNP de adecuación a la LGPD – conocido también como Método RNP – se desarrolló por un equipo multidisciplinario de especialistas, teniendo como subsidios la experiencia de adecuación de la propia RNP, el proyecto piloto conducido por la RNP en la Universidad Federal de Bahía y consultorías conducidas por empresas asociadas en algunas instituciones de la comunidad RNP. El método ayuda a las instituciones a estructurar acciones necesarias para que la LGPD sea cumplida y trae elementos relacionados a la cultura de  privacidad, preparación, mapeo de datos y riesgos, implementación y adecuación, seguridad y protección de datos y gobernanza en privacidad.

“El proceso de adecuación no es trivial – atender los variados requisitos de la ley exige un esfuerzo estructurado de la organización, y esto no se hace en un santiamén. Por eso, es fundamental que las instituciones de enseñanza reconozcan cuanto antes la importancia no solo de la adecuación a la ley en sí, sino principalmente a la importancia de promover la cultura de privacidad, de la protección de datos personales y de establecer un programa de privacidad permanente. Y es para ayudar en esta cuestión, que pensamos en el Programa LGPD y en el Método RNP”, dijo Emilio Nakamura, Director Adjunto de Ciberseguridad en la RNP.

En el día 13, se lanzó oficialmente el Método RNP, en el Webinar “Desarrollando la Cultura de la Privacidad en el Sistema RNP”, con la directora de la Autoridad Nacional de Protección de Datos (ANPD), Miriam Wimmer. Hablamos sobre los beneficios de la metodología para el Sistema RNP y contamos con el testimonio del Superintendente de TI de la Universidad Federal de Bahía, Luiz Claudio Mendonça, quien describió su experiencia en la implementación del proyecto piloto del Método RNP, en la UFBA.

Además de la metodología, la RNP también ofrece servicios de consultoría, exclusivos para instituciones del Sistema RNP, y entrenamientos para la capacitación de profesionales que precisan aprender más sobre el asunto, a través de la Escuela Superior de Redes.

Próximo evento – SIG-LGPD@RNP. ¡Invitamos a todo el Sistema RNP para participar!

El SIG-LGPD@RNP es una iniciativa que forma parte del conjunto de acciones del Programa LGPD. El foro incluye encuentros virtuales con especialistas invitados para el intercambio de experiencias y buenas prácticas relacionadas a la privacidad, a la protección de datos personales y a la propia LGPD.

En el día de mañana (1/10) se realizará el Webinar “Convocatoria para el 2º Ciclo del SIG-LGPD@RNP”, a las 15h. En este Webinar, los interesados tendrán la oportunidad de conocer los criterios de selección, plazos y otros detalles para candidatearse a integrar el segundo ciclo de ese foro. Las instituciones que participaron del primer ciclo también están invitadas.