LGPD de Brasil y WiFi para invitados: una guía de cumplimiento

LGPD de Brasil y WiFi para invitados: una guía de cumplimiento. Un informe de Purple Intelligence. Bienvenido al informe de Purple Intelligence. Soy su anfitrión, y hoy abordamos algo que todo responsable de TI, arquitecto de redes y oficial de cumplimiento que opere en Brasil debe hacer bien: la Lei Geral de Proteção de Dados (la LGPD) y, específicamente, lo que significa para sus despliegues de WiFi para invitados. Si ya cumple con el GDPR en sus operaciones europeas, podría asumir que Brasil es una extensión directa de ese trabajo. Y tendría parte de razón, pero solo en parte. La LGPD presenta algunas diferencias significativas que afectarán a las multinacionales que simplemente copien y peguen su postura de cumplimiento de la UE. Y con la ANPD (la autoridad de protección de datos de Brasil) madurando constantemente su capacidad de control, el plazo para un enfoque informal se está cerrando rápidamente. Así que entremos en materia. Cubriremos el marco legal, las bases legítimas que realmente se aplican a los registros de WiFi, cómo se compara la ANPD con reguladores como la ICO y la CNIL, y cómo debe ser su Captive Portal para mantenerlo en el lado correcto de la ley. Comencemos con lo fundamental. La LGPD (Ley número 13.709) entró en vigor en agosto de 2020, y las sanciones administrativas comenzaron a aplicarse a partir de agosto de 2021. Se modeló estrechamente a partir del GDPR, lo que significa que si comprende uno, tiene una base sólida para el otro. Pero el diablo está en los detalles. En el momento en que un invitado se conecta a su red WiFi, usted está recopilando datos personales. Las direcciones MAC, las direcciones IP, las marcas de tiempo de conexión, la duración de la sesión... todo esto entra de lleno en la definición de datos personales de la LGPD. Añada un formulario de registro en el Captive Portal que recopile nombres, direcciones de correo electrónico o números de teléfono, y habrá entrado firmemente en un territorio que requiere una base legítima clara para el tratamiento. La LGPD contempla diez bases legítimas en su artículo 7. Para el WiFi de invitados, tres son especialmente relevantes. En primer lugar, el consentimiento (artículo 7, número romano uno). Esta es la base más sencilla: el invitado acepta activamente su aviso de privacidad y marca una casilla de consentimiento antes de conectarse. El consentimiento debe ser libre, informado, inequívoco y específico para la finalidad. No se puede agrupar el consentimiento de marketing con el consentimiento de conectividad básica; deben ser casillas de verificación independientes. En segundo lugar, la ejecución de un contrato (artículo 7, número romano cinco). Esto se aplica cuando la conectividad WiFi forma parte de un servicio contratado. Los datos de conexión de un huésped de hotel que ha reservado una habitación que incluye acceso a WiFi pueden tratarse bajo esta base, porque es necesario para prestar el servicio que ha contratado. Esta es una base más limpia para los operadores de hostelería que el consentimiento, porque no requiere una casilla activa; es inherente a la relación de servicio. En tercer lugar, el interés legítimo (artículo 7, número romano nueve). Esta es la base más flexible, pero también la más expuesta jurídicamente. Debe realizar y documentar una evaluación de interés legítimo (una prueba de ponderación) que demuestre que sus intereses no prevalecen sobre los derechos fundamentales del interesado. Para el registro básico de seguridad de la red, esto suele ser defendible. Para la analítica de comportamiento o la elaboración de perfiles de marketing, resulta mucho más difícil de justificar. Ahora bien, hay algo que pilla desprevenidos a muchos operadores: el Marco Civil da Internet. Se trata del marco de derechos civiles de internet de Brasil (Ley 12.965 de 2014) y coexiste con la LGPD en lugar de ser sustituido por ella. Según el artículo 13 del Marco Civil, los proveedores de conexión a internet deben conservar los registros de conexión durante un mínimo de un año. Si su establecimiento ofrece acceso a internet al público, es muy posible que entre dentro de esa definición. Esto significa que su política de retención de datos no puede limitarse a decir que se elimina todo después de 30 días: tiene la obligación legal de conservar los registros de conexión durante doce meses, independientemente de lo que indique su aviso de privacidad de la LGPD sobre la minimización de datos. Hablemos de la ANPD (Autoridade Nacional de Proteção de Dados). Fue establecida por la propia LGPD y funciona como una autoridad federal especial vinculada al Ministerio de Justicia. Su mandato abarca la supervisión, la orientación y la aplicación de la ley. ¿Cómo se compara con la ICO en el Reino Unido o la CNIL en Francia? La respuesta sincera es que la ANPD aún está madurando. La ICO ha impuesto multas de decenas de millones (British Airways recibió una sanción de veinte millones de libras; Marriott, de dieciocho coma cuatro millones). La CNIL multó a Google con ciento cincuenta millones de euros y a Facebook con sesenta millones. La primera multa de la ANPD, impuesta en julio de 2023, fue de un total de catorce mil cuatrocientos reales brasileños (aproximadamente tres mil dólares estadounidenses) contra una pequeña empresa de telemarketing. En 2024, sus medidas de ejecución se dirigieron en su totalidad contra entidades del sector público y se tradujeron en advertencias en lugar de sanciones económicas. Pero no deje que eso le lleve a la complacencia. La trayectoria de aplicación de la ANPD es claramente ascendente. En julio de 2024, dictó una medida preventiva contra Meta, ordenando la suspensión inmediata de la política de datos de entrenamiento de IA de Meta. En diciembre de 2024, tomó medidas contra X Corp por los datos de menores. La agenda regulatoria de la ANPD para 2025 y 2026 prioriza explícitamente la IA y el reconocimiento facial, lo cual es directamente relevante para cualquier establecimiento que implemente la autenticación biométrica para el acceso WiFi. La sanción máxima según la LGPD es del dos por ciento de los ingresos anuales de una empresa en Brasil, con un límite de cincuenta millones de reales por infracción (aproximadamente nueve millones de euros al tipo de cambio actual). Esto es significativamente inferior al cuatro por ciento de los ingresos globales de la GDPR, pero se calcula únicamente sobre los ingresos en Brasil. Para una multinacional con operaciones sustanciales en Brasil, la exposición sigue siendo importante. Una diferencia crítica con respecto al GDPR: la LGPD exige un Delegado de Protección de Datos para todos los responsables del tratamiento de datos, sin excepciones. Bajo el GDPR, un DPO solo es obligatorio en circunstancias específicas. Bajo la LGPD, si procesas datos personales en Brasil, necesitas uno. La Resolución 18 de la ANPD, publicada en julio de 2024, detalla las responsabilidades y cualificaciones requeridas. Los datos de contacto del DPO deben hacerse públicos, normalmente en tu sitio web. Los derechos de los interesados bajo la LGPD son nueve, en comparación con los ocho del GDPR. Las diferencias prácticas para los operadores de WiFi son dobles. En primer lugar, dispones de quince días para responder a una solicitud de acceso del interesado, la mitad del plazo de treinta días del GDPR. Si gestionas la red de un gran recinto con miles de conexiones diarias, tus procesos de recuperación de datos y respuesta deben ser operativamente capaces de cumplir con ese plazo más estricto. En segundo lugar, la LGPD incluye un derecho explícito a solicitar la anonimización de los datos, no solo su eliminación. Tu plataforma debe admitir ambas respuestas. Entonces, ¿cómo es realmente un despliegue conforme a la normativa? Permíteme guiarte a través de los requisitos clave de implementación. Tu Captive Portal debe mostrar un aviso de privacidad en portugués (portugués de Brasil, no portugués de Europa). El aviso debe identificar al responsable del tratamiento de datos, indicar la base legal para el procesamiento, especificar los fines para los que se utilizarán los datos, identificar a los terceros con los que se compartirán los datos y proporcionar los datos de contacto del DPO. Esto no es negociable. Las casillas de verificación de consentimiento deben estar desmarcadas por defecto. Las casillas marcadas previamente no constituyen un consentimiento válido bajo la LGPD, al igual que ocurre bajo el GDPR. El consentimiento de marketing debe ser independiente del consentimiento de conectividad: no puedes condicionar el acceso a internet a que el invitado acepte recibir correos electrónicos promocionales. Sobre la minimización de datos: recopila solo lo que realmente necesites. Si estás desplegando WiFi para invitados puramente para conectividad, no necesitas una fecha de nacimiento ni una dirección particular. Si estás ejecutando un programa de fidelización a través de tu plataforma de WiFi, debes justificar cada campo de datos adicional frente al propósito declarado. Para la retención de datos, documenta tu política explícitamente. Registros de conexión: un año como mínimo bajo el Marco Civil. Datos de marketing: consérvalos solo el tiempo necesario para el fin declarado y elimínalos al retirar el consentimiento. Tu plataforma de analítica de WiFi debe admitir programas de retención automatizados y flujos de trabajo de eliminación. El mayor error que veo en la práctica es el problema del consentimiento empaquetado. Los operadores crean una única pantalla de consentimiento que cubre la conectividad, la analítica y el marketing en una sola casilla de verificación. Eso no cumple ni con la LGPD ni con el GDPR. Separa los consentimientos. Sí, añade fricción. Pero la alternativa es una acción de ejecución que te costará mucho más. El segundo gran error es ignorar el Marco Civil. Los operadores que se centran por completo en el cumplimiento de la LGPD y se olvidan de la obligación de retención de registros de conexión durante un año según el Marco Civil crean un tipo diferente de exposición legal. Se trata de dos instrumentos legales distintos y ambos son aplicables. Tercer error: no implementar un flujo de trabajo para los derechos de los interesados. No basta con tener un aviso de privacidad que diga "póngase en contacto con nosotros para ejercer sus derechos". Se necesita un proceso operativo: una dirección de correo electrónico dedicada o un formulario web, un flujo de trabajo interno documentado y la capacidad técnica para recuperar, corregir, exportar o eliminar los datos de una persona específica en un plazo de quince días. Permítame repasar algunas preguntas rápidas que escucho habitualmente de los clientes. ¿Necesitamos un DPO si solo tenemos un establecimiento en Brasil? Sí. La LGPD se aplica a todos los responsables del tratamiento que procesen datos personales en Brasil, independientemente de su escala. ¿Podemos utilizar el interés legítimo como base para la analítica de WiFi? Potencialmente, pero necesita una evaluación de interés legítimo documentada. Para la seguridad básica de la red y la analítica operativa, es defendible. Para la elaboración de perfiles de marketing conductual, es mucho más difícil de justificar. ¿Qué pasa con la autenticación biométrica, como el reconocimiento facial en el Captive Portal de WiFi? Se trata de datos sensibles según la LGPD. Necesita el consentimiento explícito y debe ser muy cuidadoso con la forma en que los almacena y procesa. La ANPD tiene esto directamente en su punto de mira para su aplicación entre 2025 y 2026. Cumplimos con el GDPR, ¿nos cubre eso para la LGPD? En gran parte sí, pero no del todo. El plazo de respuesta más estricto para las solicitudes de acceso de los interesados, el requisito obligatorio de DPO, la obligación de retención del Marco Civil y el requisito de aviso en idioma portugués son áreas en las que el cumplimiento del GDPR por sí solo no será suficiente. Para resumir: la LGPD es un marco de protección de datos maduro, inspirado en el GDPR, con algunas características importantes específicas de Brasil. Para los operadores de WiFi para invitados, las acciones clave son estas. Audite su Captive Portal: ¿está su aviso de privacidad en portugués de Brasil?, ¿indica la base legal?, ¿las casillas de verificación de consentimiento están separadas y desmarcadas por defecto? Nombre a un DPO y publique sus datos de contacto. Esto es obligatorio para todos los responsables del tratamiento. Verifique su política de retención de datos frente al requisito de retención de registros de conexión de un año del Marco Civil. Cree un flujo de trabajo para los derechos de los interesados que sea capaz de responder en un plazo de quince días. Y si va a implementar cualquier forma de autenticación biométrica o analítica avanzada, realice una Evaluación de Impacto de Protección de Datos antes de la puesta en marcha. La plataforma de WiFi para invitados de Purple está diseñada teniendo en cuenta estos requisitos de cumplimiento: flujos de consentimiento configurables, programas de retención automatizados y herramientas para los derechos de los interesados que funcionan tanto en las jurisdicciones del GDPR como de la LGPD. Si va a realizar un despliegue en todo Brasil y desea analizar su arquitectura de cumplimiento específica, póngase en contacto con el equipo de Purple. Eso es todo por el boletín de hoy. Gracias por escucharnos y nos vemos la próxima vez.