La LGPD de Brasil y el WiFi para invitados: Una guía de cumplimiento

La LGPD de Brasil y el WiFi para invitados: Una guía de cumplimiento. Un informe de Purple Intelligence. Bienvenido al informe de Purple Intelligence. Soy su anfitrión, y hoy abordaremos algo que todo gerente de TI, arquitecto de redes y oficial de cumplimiento que opere en Brasil debe hacer bien: la Lei Geral de Proteção de Dados — la LGPD — y específicamente lo que significa para sus implementaciones de WiFi para invitados. Si ya cumple con el GDPR en sus operaciones europeas, podría asumir que Brasil es una extensión directa de ese trabajo. Y tendría parte de razón, pero solo en parte. La LGPD tiene algunas diferencias significativas que sorprenderán a las multinacionales que simplemente copian y pegan su postura de cumplimiento de la UE. Y con la ANPD — la autoridad de protección de datos de Brasil — madurando constantemente su capacidad de aplicación, el margen para un enfoque informal se está cerrando rápidamente. Así que entremos en materia. Cubriremos el marco legal, las bases legales que realmente se aplican a los registros de WiFi, cómo se compara la ANPD con reguladores como la ICO y la CNIL, y cómo debe ser su Captive Portal para mantenerlo del lado correcto de la ley. Comencemos con lo fundamental. La LGPD — Ley Número 13,709 — entró en vigor en agosto de 2020, y las sanciones administrativas comenzaron a aplicarse a partir de agosto de 2021. Se modeló estrechamente a partir del GDPR, lo que significa que si comprende uno, tiene una base sólida para el otro. Pero el diablo está en los detalles. En el momento en que un invitado se conecta a su red WiFi, usted está recopilando datos personales. Direcciones MAC, direcciones IP, marcas de tiempo de conexión, duración de la sesión; todo esto entra directamente en la definición de datos personales de la LGPD. Agregue un formulario de registro de Captive Portal que recopile nombres, direcciones de correo electrónico o números de teléfono, y habrá entrado firmemente en un territorio que requiere una base legal clara para el procesamiento. La LGPD proporciona diez bases legales bajo el Artículo 7. Para el WiFi de invitados, tres son particularmente relevantes. Primero, el consentimiento — Artículo 7, número romano uno. Esta es la base más directa: el invitado acepta activamente su aviso de privacidad y marca una casilla de consentimiento antes de conectarse. El consentimiento debe ser libre, informado, inequívoco y específico para el propósito. No puede empaquetar el consentimiento de marketing con el consentimiento de conectividad básico; deben ser casillas de verificación separadas. Segundo, la ejecución de contrato — Artículo 7, número romano cinco. Esto se aplica cuando la conectividad WiFi es parte de un servicio contratado. Un huésped de hotel que ha reservado una habitación que incluye acceso a WiFi puede tener sus datos de conexión procesados bajo esta base, porque es necesario para entregar el servicio que ha contratado. Esta es una base más limpia para los operadores de hotelería que el consentimiento, porque no requiere una marca activa; es inherente a la relación del servicio. Tercero, los intereses legítimos — Artículo 7, número romano nueve. Esta es la base más flexible pero también la más expuesta legalmente. Debe realizar y documentar una evaluación de intereses legítimos — una prueba de equilibrio — que demuestre que sus intereses no anulan los derechos fundamentales del titular de los datos. Para el registro básico de seguridad de la red, esto es generalmente defendible. Para analíticas de comportamiento o perfiles de marketing, se vuelve mucho más difícil de justificar. Ahora, aquí hay algo que sorprende a muchos operadores: el Marco Civil da Internet. Este es el marco de derechos civiles de internet de Brasil — Ley 12,965 de 2014 — y coexiste con la LGPD en lugar de ser reemplazado por ella. Bajo el Artículo 13 del Marco Civil, los proveedores de conexión a internet deben conservar los registros de conexión por un mínimo de un año. Si su establecimiento proporciona acceso a internet al público, es muy probable que entre en esa definición. Eso significa que su política de retención de datos no puede simplemente decir que eliminamos todo después de 30 días; tiene la obligación legal de conservar los registros de conexión durante doce meses, independientemente de lo que diga su aviso de privacidad de la LGPD sobre la minimización de datos. Hablemos de la ANPD — la Autoridade Nacional de Proteção de Dados. Fue establecida por la propia LGPD y opera como una autoridad federal especial vinculada al Ministerio de Justicia. Su mandato cubre la supervisión, orientación y aplicación de la ley. ¿Cómo se compara con la ICO en el Reino Unido o la CNIL en Francia? La respuesta honesta es que la ANPD aún está madurando. La ICO ha emitido multas de decenas de millones — British Airways recibió una multa de veinte millones de libras, Marriott dieciocho coma cuatro millones. La CNIL multó a Google con ciento cincuenta millones de euros y a Facebook con sesenta millones. La primera multa de la ANPD, emitida en julio de 2023, fue por un total de catorce mil cuatrocientos reales brasileños — aproximadamente tres mil dólares estadounidenses — contra una pequeña empresa de telemarketing. En 2024, sus acciones de aplicación fueron todas contra entidades del sector público y resultaron en advertencias en lugar de sanciones financieras. Pero no deje que eso lo lleve a la complacencia. La trayectoria de aplicación de la ANPD es claramente ascendente. En julio de 2024, emitió una medida preventiva contra Meta, ordenando la suspensión inmediata de la política de datos de entrenamiento de IA de Meta. En diciembre de 2024, tomó medidas contra X Corp por los datos de menores. La agenda regulatoria de la ANPD para 2025 y 2026 prioriza explícitamente la IA y el reconocimiento facial, lo cual es directamente relevante para cualquier establecimiento que implemente autenticación biométrica para el acceso a WiFi. La sanción máxima bajo la LGPD es del dos por ciento de los ingresos anuales de una empresa en Brasil, con un límite de cincuenta millones de reales por infracción — aproximadamente nueve millones de euros al tipo de cambio actual. Eso es significativamente menor que el cuatro por ciento de los ingresos globales del GDPR, pero se calcula únicamente sobre los ingresos en Brasil. Para una multinacional con operaciones sustanciales en Brasil, la exposición sigue siendo material. Una diferencia crítica con respecto al GDPR: la LGPD exige un Oficial de Protección de Datos para todos los controladores de datos, sin excepción. Bajo el GDPR, un DPO solo es obligatorio en circunstancias específicas. Bajo la LGPD, si está procesando datos personales en Brasil, necesita uno. La Resolución 18 de la ANPD, publicada en julio de 2024, establece las responsabilidades detalladas y las calificaciones requeridas. Los datos de contacto del DPO deben divulgarse públicamente, por lo general en su sitio web. Los derechos de los titulares de datos bajo la LGPD son nueve, en comparación con los ocho del GDPR. Las diferencias prácticas para los operadores de WiFi son dos. Primero, tiene quince días para responder a una solicitud de acceso del titular de los datos, la mitad del plazo de treinta días bajo el GDPR. Si administra una red de un gran establecimiento con miles de conexiones diarias, sus procesos de recuperación de datos y respuesta deben ser operativamente capaces de cumplir con ese plazo más estricto. Segundo, la LGPD incluye un derecho explícito a solicitar la anonimización de los datos, no solo la eliminación. Su plataforma debe admitir ambas respuestas. Entonces, ¿cómo se ve realmente una implementación conforme? Permítame guiarlo a través de los requisitos clave de implementación. Su Captive Portal debe mostrar un aviso de privacidad en portugués — portugués brasileño, no portugués europeo. El aviso debe identificar al controlador de datos, indicar la base legal para el procesamiento, especificar los fines para los que se utilizarán los datos, identificar a los terceros con quienes se compartirán los datos y proporcionar los datos de contacto del DPO. Esto no es negociable. Las casillas de verificación de consentimiento deben estar desmarcadas por defecto. Las casillas previamente marcadas no constituyen un consentimiento válido bajo la LGPD, al igual que no lo hacen bajo el GDPR. El consentimiento de marketing debe ser independiente del consentimiento de conectividad; no puede condicionar el acceso a internet a que el invitado acepte recibir correos electrónicos promocionales. Sobre la minimización de datos: recopile solo lo que realmente necesita. Si está implementando WiFi para invitados puramente para conectividad, no necesita una fecha de nacimiento o una dirección particular. Si está ejecutando un programa de lealtad a través de su plataforma de WiFi, debe justificar cada campo de datos adicional frente al propósito declarado. Para la retención de datos, documente su política explícitamente. Registros de conexión: un año mínimo bajo el Marco Civil. Datos de marketing: consérvelos solo el tiempo necesario para el propósito declarado y elimínelos al retirar el consentimiento. Su plataforma de analíticas de WiFi debe admitir programas de retención automatizados y flujos de trabajo de eliminación. El mayor error que veo en la práctica es el problema del consentimiento empaquetado. Los operadores crean una sola pantalla de consentimiento que cubre la conectividad, las analíticas y el marketing en una sola casilla de verificación. Eso no cumple ni con la LGPD ni con el GDPR. Separe los consentimientos. Sí, agrega fricción. Pero la alternativa es una acción de aplicación que le costará mucho más. El segundo error importante es ignorar el Marco Civil. Los operadores que se enfocan completamente en el cumplimiento de la LGPD y olvidan la obligación de retención de registros de conexión de un año bajo el Marco Civil crean un tipo diferente de exposición legal. Estos son dos instrumentos legales separados y ambos se aplican. Tercer error: no implementar un flujo de trabajo para los derechos de los titulares de datos. No es suficiente tener un aviso de privacidad que diga contáctenos para ejercer sus derechos. Necesita un proceso operativo — una dirección de correo electrónico dedicada o un formulario web, un flujo de trabajo interno documentado y la capacidad técnica para recuperar, corregir, exportar o eliminar los datos de una persona específica dentro de los quince días. Permítame repasar algunas preguntas rápidas que escucho regularmente de los clientes. ¿Necesitamos un DPO si solo tenemos un establecimiento en Brasil? Sí. La LGPD se aplica a todos los controladores de datos que procesan datos personales en Brasil, independientemente de su escala. ¿Podemos usar el interés legítimo como nuestra base para las analíticas de WiFi? Potencialmente, pero necesita una evaluación de intereses legítimos documentada. Para la seguridad básica de la red y las analíticas operativas, es defendible. Para el perfilado de marketing de comportamiento, es mucho más difícil de justificar. ¿Qué pasa con la autenticación biométrica — reconocimiento facial en el portal de WiFi? Esos son datos sensibles bajo la LGPD. Necesita consentimiento explícito y debe ser muy cuidadoso con la forma en que los almacena y procesa. La ANPD tiene esto directamente en la mira para la aplicación de la ley en 2025 y 2026. Cumplimos con el GDPR, ¿eso nos cubre para la LGPD? En gran parte sí, pero no del todo. El plazo más estricto para responder a las solicitudes de acceso de los titulares de datos, el requisito obligatorio de DPO, la obligación de retención del Marco Civil y el requisito de aviso en idioma portugués son áreas donde el cumplimiento del GDPR por sí solo no será suficiente. Para resumir: la LGPD es un marco de protección de datos maduro, inspirado en el GDPR, con algunas características importantes específicas de Brasil. Para los operadores de WiFi de invitados, las acciones clave son estas. Audite su Captive Portal: ¿su aviso de privacidad está en portugués brasileño, indica la base legal, sus casillas de verificación de consentimiento están separadas y desmarcadas por defecto? Designe a un DPO y publique sus datos de contacto. Esto es obligatorio para todos los controladores. Verifique su política de retención de datos frente al requisito de registro de conexión de un año del Marco Civil. Cree un flujo de trabajo para los derechos de los titulares de datos capaz de responder dentro de los quince días. Y si está implementando cualquier forma de autenticación biométrica o analíticas avanzadas, realice una Evaluación de Impacto de Protección de Datos antes de comenzar a operar. La plataforma de WiFi para invitados de Purple está diseñada teniendo en cuenta estos requisitos de cumplimiento: flujos de consentimiento configurables, programas de retención automatizados y herramientas para los derechos de los titulares de datos que funcionan tanto en las jurisdicciones del GDPR como de la LGPD. Si está realizando implementaciones en todo Brasil y desea analizar su arquitectura de cumplimiento específica, póngase en contacto con el equipo de Purple. Eso es todo por el informe de hoy. Gracias por escuchar y nos vemos la próxima vez.