El comercio brasileño y la LGPD: ¿cómo aplicar la nueva ley en la práctica?
Resume:
La Ley General de Protección de Datos entró en vigor en agosto de 2020, generando dudas sobre su implementación en el día a día del comercio. La nueva ley trae deberes para las empresas en cuanto a la transparencia y seguridad de los datos. Inspirada en el Reglamento General de Protección de Datos Europeo, esta ley busca definir qué son los datos sensibles y las reglas para el tratamiento y almacenamiento de datos de terceros.
Registros de clientes en el comercio, ¿cómo ajustarse?
El registro de clientes en el comercio sigue siendo permitido, pero los comerciantes deben estar al tanto de que, a partir de ahora, existen directrices sobre el tratamiento y almacenamiento de estos datos. Se cree que el impacto, a mediano plazo, de esta ley será el cambio en la cultura de respeto a la privacidad. Probablemente, causará alteraciones en la forma en que las empresas recogen, almacenan y comparten datos. Además, la responsabilización de los agentes públicos y privados por filtraciones y mal uso de datos contribuirá a un comercio con más privacidad y confianza entre todos los agentes. Después de todo, eso es lo que buscamos, ¿no es así?
Conteo de flujo y Net Promoter Score, ¿hay algo que se deba tener en cuenta con los productos de AlterVision?
El conteo de flujo mediante cámaras no implica una necesidad de adecuación adicional, ya que todos los datos almacenados están anonimizados y no son sensibles, y las imágenes en sí no se guardan. Simplemente se tiene la información de que alguien ha ingresado al establecimiento. De la misma manera, recoger la opinión del cliente mediante una pregunta sobre el servicio no requiere autorización escrita por parte del mismo ni un cuidado adicional con este dato, siempre que no se almacenen datos personales o sensibles.
LGPD: yendo más a fondo:
La LGPD se aplica “a cualquier operación de tratamiento realizada por una persona natural o por una persona jurídica de derecho público o privado, independientemente del medio, país de su sede o del país en el que se encuentren los datos”, siempre que la actividad de tratamiento se realice en territorio nacional, tal como está expresamente previsto en la ley en su artículo 4º.
Pero, ¿qué significa esto? Significa que toda operación con datos personales relacionados con la recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción, deberá observar los nuevos criterios de guarda de datos, bajo el riesgo de sufrir penalidades, incluidas las pecuniarias, independientemente del segmento de actuación del controlador.
Destacan los conceptos de datos personales, como se listan en la propia ley en su art. 5º, incisos I, II y III:
“I – dato personal: información relacionada con una persona natural identificada o identificable;”
Vemos que el concepto legal de dato personal no se limita a las informaciones descriptivas sobre una persona, sino que puede incluir también fotografías, matrículas de vehículos, direcciones residenciales, función de localización en teléfonos, entre otros que contengan elementos capaces de identificar al titular de la información.
“II – dato personal sensible: dato personal sobre origen racial o étnico, convicción religiosa, opinión política, afiliación a sindicato o a organización de carácter religioso, filosófico o político, dato referente a la salud o vida sexual, dato genético o biométrico, cuando vinculado a una persona natural;”
En otras palabras, el dato personal sensible está vinculado a la privacidad del titular, elementos más profundos de su intimidad y vida privada. Por lo tanto, se justifican mayores restricciones para su tratamiento, incluyendo mayor protección legal al tener una lista cerrada de casos en los que podrá ser tratado, como se verifica en el artículo 11º.
“III – dato anonimizado: dato relativo a un titular que no pueda ser identificado, considerando el uso de medios técnicos razonables y disponibles en el momento de su tratamiento;”
El dato anonimizado es aquel que originalmente era personal o sensible, pero que perdió su vinculación con el titular a través de un proceso de anonimización, previsto en el artículo 5º como “XI – uso de medios técnicos razonables y disponibles en el momento del tratamiento, mediante los cuales un dato pierde la posibilidad de asociación, directa o indirecta, con un individuo”. Además, debe asegurarse que posteriormente no sea posible identificar al titular, bajo pena de haber realizado una seudonimización, ya que ambos presentan reglas distintas en la LGPD.
Otro elemento crucial para la aplicación de la LGPD es el conocimiento del concepto de consentimiento, el cual está expresamente definido en la ley como “XII – consentimiento: manifestación libre, informada e inequívoca por la cual el titular acepta el tratamiento de sus datos personales para una finalidad determinada.”
Se observa que, en el caso en que los datos tratados ya hayan sido manifestamente públicos por el titular, la ley no exige el consentimiento expreso para su uso, según lo dispuesto en el artículo 7º, párrafo 4º. Por lo tanto, el controlador puede usar los datos. Sin embargo, cuando los datos sean de naturaleza sensible, se establece la necesidad de una concordancia manifiesta por parte del titular, así como de informar el propósito específico para el uso de los datos, no siendo posible una autorización genérica para el tratamiento de los datos personales. Además, la autorización puede ser revocada en cualquier momento.
Fuente:
Informe 4/2007 sobre el concepto de datos personales organizado por el órgano consultivo europeo independiente en materia de protección de datos y privacidad.
