La LGPD en el desarrollo de sistemas y aplicaciones trae desafíos a las empresas que necesitan revisar los datos de los clientes de forma segura.
La LGPD, o Ley General de Protección de Datos, está vigente desde agosto de 2020. Por tanto, esta adaptación requiere cambios en el proceso de captura de datos personales y de la información en su conjunto. Es decir, no sólo desde la página web, sino desde cualquier canal de conversión de la empresa, incluso a través de medios físicos de recogida.
Teniendo esto en cuenta, Crosoften creó una guía con buenas prácticas de LGPD. De esta manera, ayudamos a las empresas a realizar los cambios necesarios en los sitios web y las herramientas. Además de mostrar cómo será la relación con los clientes a partir de ahora.
El control del consentimiento es fundamental con la LGPD
El primer punto es comprender el conocimiento que tiene el usuario del contenido de la política de privacidad y de las condiciones de uso. El cual es obligatorio para que el usuario complete un registro o interactúe con un sistema.
De hecho, si la empresa utiliza el consentimiento como apoyo al usuario, para acceder al sistema y recibir futuras comunicaciones. El cliente tiene derecho a elegir si interactúa o no.
En este caso, será necesario solicitar el consentimiento para cada finalidad pretendida por la empresa. Así, dividiendo el consentimiento en niveles, por ejemplo:
- Aceptar comunicaciones por correo electrónico sobre promociones de la empresa;
- Aceptar recibir comunicaciones de los socios;
- Permitir el intercambio de datos con terceros para proporcionar servicios;
- Permitir el intercambio de datos con otras empresas del Grupo, para mejorar el servicio.
Cada uno de estos elementos está disponible en el momento del registro, pero para tener seguridad jurídica en caso de disputas. Es importante registrar toda la historia.
De hecho, para ayudar en esta gestión ya existen sistemas específicos que se integran con el sitio web o plataforma. oh RD Station e Adoptar, por ejemplo, ayuda para registrar el consentimiento de comunicación directa y la política de privacidad.
¿Qué datos se recogerían?
Para la LGPD, dato es cualquier información capaz de describir o individualizar a las personas. El cual incluye no sólo elementos documentales, sino también características físicas y sociales. Como etnia, color de ojos, sexualidad, posicionamiento político, perfil de consumo, etc. Como se desprende del art. 5.º de la LGPD.
Prácticas LGPD para aplicaciones
Con la LGPD se modifican los términos de privacidad y seguridad de las aplicaciones. Deberían ser más objetivos y concisos sobre el propósito de la recopilación de datos. Es decir, aunque la aplicación sea extranjera, toda la información recopilada en territorio brasileño estará sujeta a la LGPD brasileña.
Ahora, comprenda cómo aplicar el LGPD para aplicaciones:
en mapeo
Planifique toda la información que realmente será necesaria para su negocio. Es decir, definir cómo se adquirirán.
En transparencia
Toda la encuesta del paso anterior servirá para crear unos Términos de Uso y Privacidad transparentes para el usuario.
Su solicitud debe informarle cuándo se utilizará cierta información. Dejando así en claro si habrá venta de datos, uso para anuncios personalizados, experiencias de personalidad y otros.
Por ejemplo, una aplicación de entrega solicita acceso a datos de geolocalización. Por tanto, la aplicación tendrá información sobre las direcciones del usuario. Al solicitar acceso a estos datos, la aplicación debe dejar claro el motivo. Uno de ellos es el envío de cupones de descuento personalizados a la región.
La aplicación también debe aclarar la opción preferida del usuario. Es decir, si quieren seguir recibiendo notificaciones push sobre cupones o correos electrónicos, entre otras posibilidades de cada aplicación.
En análisis y diagnóstico.
Es interesante evaluar si la aplicación y sus cambios protegen la integridad y privacidad de sus clientes.
Habilitación del titular de los datos personales
Otro factor muy importante que LGPD impone, es el empoderamiento del interesado. El usuario tiene varios derechos. previsto en la LGPD de forma que facilite el ejercicio de éstos, que incluye:
- Confirmación de si se está realizando un tratamiento de datos.
- La opción de solicitar acceso a los datos registrados por su empresa y portabilidad de la información.
Además, necesita una forma de:
- Cambie su elección de consentimiento.
- Revocar el consentimiento.
También es necesario eliminar datos personales de la base de datos. Por ejemplo, cuando la ANPD –Autoridad Nacional de Protección de Datos– lo solicite, o cuando lo haga el propio titular.
Por lo tanto, eliminar la información del cliente resulta en la pérdida de los datos históricos y de gestión de la empresa. Por lo tanto, es necesario buscar caminos técnicos, por ejemplo, mantener confidencial el registro de que se realizó una venta. Así como información del cliente., como nombre, correo electrónico y dirección de entrega.
Según la LGPD, ¿cuánto tiempo pueden las empresas conservar los datos de sus clientes?
El plazo de conservación de los datos dentro de la empresa también debe seguir una lógica. Es decir, hay que mantener la relación con la finalidad para la que se recogieron/trataron los datos.
Por ejemplo, una vez prestado el servicio, ya no sería necesario mantener datos personales en la base de datos. Sin embargo, la empresa podrá almacenar información personal para cumplir con sus obligaciones legales y reglamentarias o para defenderse ante los tribunales.
Más que un reto técnico, el cumplimiento de la LGPD. Requiere que la empresa realmente asuma como valor el respeto a la LGPD.
Así, la empresa se compromete a respetar un plazo para que los datos sean efectivamente suprimidos tras la ANPD, o a petición del titular. Esto implica la necesidad de crear procesos internos. Asegurar que el trámite se realiza en todos los sistemas de la empresa. Que incluye ERP y plataformas de pago.
Además, la LGPD también exige el nombramiento de un responsable de Privacidad de Datos, el denominado Responsable. La cual media con la Autoridad Nacional de Protección de Datos Personales (ANPD). Donde puede demandar a una persona jurídica en caso de disputa o en accidentes de seguridad.
Seguridad de información
El último aspecto que es muy importante y no se puede descuidar es la seguridad de los datos.
En Crosoften el equipo técnico realmente juega un papel fundamental para brindar seguridad a la empresa. La ANPD tiene una Orientación con lista de verificación de los requisitos básicos que necesitan las empresas.
La ley dice que la empresa debe tomar medidas técnicas para evitar el acceso indebido a datos personales. Además de asegurar que no sean alterados, compartidos o tratados de forma inapropiada.
Pero en la práctica, ¿qué significa esto?
Que la empresa debe establecer procedimientos de seguridad de la información. Es decir, como cifrar datos personales antes de guardarlos en la base de datos.
En este caso, el cifrado garantiza la seguridad, incluso ante un ataque. El acceso a sus archivos será difícil o incluso no accesible a terceros. Ya que habrá una capa extra de protección para leerlos.
También debes planificar cuidadosamente el manejo de estos datos, creando diferentes niveles de acceso a los sistemas. Sólo los usuarios con nivel administrativo tienen acceso a toda la información del cliente.
Aunque los equipos operativos necesitan realizar consultas. Incluso para generar un duplicado de factura o abrir una solicitud interna. Una buena alternativa es mostrar sólo una parte de la información a los operadores. Por ejemplo, mostrando sólo el nombre del cliente o los últimos dígitos del CPF.
Puntos de atención al capturar datos
Con carácter general, la LGPD determina que debemos solicitar únicamente los datos que sean imprescindibles para lograr la finalidad de prestación del servicio por parte de la empresa. En otras palabras, omita información excesiva o innecesaria, como la fecha de nacimiento y el sexo. Porque son irrelevantes para los servicios.
También se discute sobre la necesidad de conservar datos como el número de teléfono y la dirección. Pero al ser información de registro justifica el permiso para contactar en caso de fraude, en la generación de facturas y en contacto en caso de fallas en el procesamiento. Para ello, deberá incluir la retención de dicha información en la política de privacidad.
Otro punto importante es la recomendación de que todos los datos impliquen identificación personal. Como nombre, correo electrónico y CPF, por ejemplo. Estar encriptados en la Base de Datos para reducir posibles riesgos o uso del acceso. Si no es posible cifrar toda la base, se recomienda cifrar la información confidencial.
Cambios técnicos en los sistemas.
El intercambio de información interna también es un punto que cambió con la LGPD. Por los principios de finalidad, necesidad y adecuación, sólo pueden acceder a los datos áreas internas que tengan relación con los servicios prestados.
La copia y exportación de datos también debe ser realizada únicamente por personas clave, con un alto nivel de seguridad, almacenando registros de acceso. Por lo tanto, debes cambiar los perfiles de administrador, como por ejemplo:
- La identificación de las personas que tienen acceso al sistema: que incluye la identificación de la persona que inició sesión.
- Evite inicios de sesión compartidos: requiera autenticación de dos factores al iniciar sesión en el navegador por primera vez. Para hacer esto, puede utilizar la aplicación Google Authenticator o el token por correo electrónico/sms.
- Diferenciar niveles de acceso: en teoría, si la persona no tiene un motivo para tener acceso a los datos personales, no debería presentarse.
- Las restricciones: la función de copiar datos y exportarlos debe ser exclusiva de los superadministradores.
Cuidado con la subcontratación
El intercambio de datos con terceros merece atención. Los vendedores telefónicos y las agencias de publicidad, por ejemplo, actuarán como "operadores de datos" para la empresa.
Donde deberán prestar atención a las instrucciones transmitidas por la empresa, utilizando así los datos personales compartidos. Sin embargo, la empresa será responsable si no utiliza la información de acuerdo con los límites impuestos.
Además, se recomienda incluir cláusulas sobre protección de datos personales en el contrato de prestación de servicios con empresas subcontratadas. Así, establecer las responsabilidades y límites para el tratamiento de datos compartidos.
Existen recursos que aportan mayor seguridad en el desarrollo de sistemas. Por ejemplo, en lugar de hacer que el número de teléfono del cliente esté disponible en la interfaz, utilice un marcador integrado. Así, el operador no tendría acceso a datos personales, como el número de teléfono, pero podría contactar con el cliente con normalidad.
En cualquier caso, lo importante es planificar bien el cumplimiento de las normas de privacidad y protección de datos personales. Porque este trámite se convierte en un diferenciador para la empresa.
Si necesitas ayuda para adaptar tu sitio web o plataforma a la LGPD, Entre em contato conosco. Somos especialistas en el desarrollo e integración de sitios web, aplicaciones, plataformas y herramientas. Trabajando en todas las etapas del proyecto: desde la planificación hasta la evolución tras la entrega final.
Preguntas frecuentes sobre el desarrollo de sistemas conforme a la LGPD
1. ¿Cómo funciona el control del consentimiento con la LGPD?
La política de privacidad y los términos de uso deben ser obligatorios para que el usuario complete un registro o interactúe con un sistema. No obstante, si la base para el tratamiento de los datos es el consentimiento, su obtención deberá realizarse para cada finalidad prevista, que se divide en los niveles que se mencionan a continuación:
- Aceptar recibir comunicaciones por correo electrónico sobre promociones de la empresa;
- Aceptar recibir comunicaciones de los socios de la empresa;
- Permitir que los datos se compartan con terceros para proporcionar servicios;
- Permitir que los datos sean compartidos con otras empresas del Grupo, para mejorar el servicio.
2. ¿Qué incluir en los formularios de registro LGDP?
En el formulario de registro sólo se incluye la información que es necesaria y suficiente para los fines del negocio. Es decir, no se deben solicitar datos como género, creencias, edad y raza, por ejemplo.
Porque se trata de datos excesivos y no deberían haber sido solicitados al titular.
3. ¿Qué tipo de información hay que cifrar según la LGPD?
El cifrado es una forma de colocar una capa de protección sobre los datos personales, de modo que la persona a la que se refiere ya no pueda ser identificada.
Por lo tanto, se recomienda utilizar cifrado y, especialmente cuando se recopilan datos confidenciales de los clientes, estos deben estar cifrados en la Base de Datos para evitar la fuga de información en caso de ataques.
Los datos sensibles son:
. datos personales sobre origen racial o étnico,
. convicción religiosa,
. opinión política,
. pertenencia a un sindicato u organización religiosa,
. lo filosófico o lo político,
. datos relativos a la salud o la vida sexual,
. datos genéticos o biométricos, cuando estén vinculados a una persona física.
4. ¿Quién puede tener acceso a los datos de los clientes según la LGPD?
Sólo aquellos que realizan funciones de procesamiento de datos, es decir, están relacionados con la finalidad del procesamiento previsto. Por lo tanto, es necesario crear diferencias de nivel de acceso en el administrador.
5. ¿Cómo evitar inicios de sesión compartidos en el sistema?
Para evitar que se comparta la información del cliente al acceder al sistema utilizando el mismo inicio de sesión de usuario, es necesario solicitar autenticación de dos factores al iniciar sesión en el navegador por primera vez. Puede utilizar la aplicación Google Authenticator o el token por correo electrónico/sms.
6. ¿Cuánto tiempo se pueden almacenar los datos?
Los datos personales, por regla general, son conservados por la empresa durante el estricto tiempo necesario para cumplir con la finalidad del tratamiento.
Así, por ejemplo, cuando caduca la prestación de los servicios, los datos. Sin embargo, los datos personales pueden permanecer en la empresa con fines de auditoría, para cumplir con obligaciones legales, para poder defenderse ante los tribunales (por ejemplo, en una acción legal relacionada con el servicio prestado).
7. ¿Cómo eliminar los datos de los clientes sin perder el historial?
Eliminar la información del cliente puede resultar en la pérdida de datos históricos y de gestión de la empresa. Por lo tanto, es necesario crear un sistema que mantenga registros de la venta, pero mantenga la confidencialidad de los datos brutos.
8. ¿Cómo está la subcontratación con la LGPD?
En ocasiones, las empresas de terceros pueden suponer un riesgo debido al intercambio de datos. En este caso, actuarán como “Operadores de datos” de la empresa y deberán prestar atención a las instrucciones transmitidas por la empresa para utilizar los datos personales compartidos.
Por tanto, las empresas subcontratadas serán responsables si no utilizan los datos dentro de los límites impuestos por el contratista. Además, se recomienda insertar cláusulas sobre protección de datos personales en el contrato de prestación de servicios, para establecer responsabilidades y límites de uso.
Para evitar posibles problemas, es posible crear una interfaz de facturación con un perfil de acceso específico en el sistema, utilizando un marcador integrado para que no haya acceso directo a los datos del cliente.
Calificación de los empleados
Los empleados responsables del tratamiento de los datos son capacitados e insertados en la cultura de protección de datos. Dado que son un punto de vulnerabilidad, necesitan conocer las mejores prácticas para evitar que se produzcan fugas. ¡Esto será un diferenciador para su aplicación!
¿Qué te pareció este contenido? Para más informaciones, Háblanos.
