LGPD — Gestión de su viaje de cumplimiento de puntuación de CleanCloud

Por Henrique Vaz, CEO de CleanCloud
Bruno Silveira, Arquitecto de Soluciones para Socios ISV, Sector Público de AWS Brasil
Thiago Padua, Arquitecto de Soluciones Socio, Socios Consultores, Sector Público de AWS Brasil

Con el fin de proporcionar un mayor control al ciudadano sobre la forma en que sus datos personales son recogidos, almacenados, utilizados y eliminados, Brasil ha llegado a confiar en la legislación específica para regular estas actividades, la Ley General de Protección de Datos Personales (LGPD). Entre los principales motivadores de esta regulación se encuentra el uso indiscriminado de estos datos mediante el intercambio y la venta inadecuados de los mismos.

Resumen

El LGPD es el primer reglamento integral de protección de datos en Brasil, y está ampliamente alineado con el Reglamento General de Protección de Datos (RGPD) adoptado en Europa. Aplicable a cualquier individuo, ya sea de naturaleza física o jurídica, del sector público o privado que recopile o procese datos personales, como por ejemplo información relacionada con una persona física identificada o identificable.

El desafío a las organizaciones brasileñas

El conjunto de normas establecidas por la LGPD transformó significativamente el sistema de protección de datos en Brasil. Las organizaciones tienen la obligación de garantizar la seguridad de los datos para cumplir con la ley, requiriendo la aplicación frecuente de medidas técnicas y organizativas. Además, también requiere la definición y aplicación de políticas compatibles para el tratamiento de datos personales.

Bajo la LGPD, los responsables y procesadores (tal como se define en la LGPD) deben adoptar medidas de seguridad, tanto técnicas como administrativas, para proteger los datos personales contra accesos no autorizados, situaciones accidentales o ilegales de destrucción, pérdida, alteración, comunicación o cualquier tipo de tratamiento inadecuado o ilegal.

En caso de violación, la ley prevé varias sanciones, incluyendo: avisos, suspensión o bloqueo de actividades de procesamiento que violen la ley, así como multas de de alto valor que pueden ir hasta 2% del monto anual de ingresos brutos.

AWS y LGPD

AWS ha desarrollado un documento técnico (en portugués) para ayudar a sus clientes en lo que respecta a cumpimiento en sus respectivos entornos, presentando las prácticas, funciones y servicios que componen este desafiante proceso.

Los expertos de AWS en cumplimiento de normas, protección de datos y seguridad están revisando las operaciones y responsabilidades de AWS en relación con los requisitos de LGPD para garantizar que los servicios de AWS se puedan utilizar de conformidad con la ley tan pronto como se haga efectivo.

Función de AWS según LGPD

Según la normativa, AWS puede actuar como controlador de datos y procesador de datos. En la LGPD, un controlador de datos se define como la persona física o jurídica, pública o privada, responsable de las decisiones relacionadas con el tratamiento de datos personales. Asimismo un procesador de datos se define como la persona física o jurídica, pública o privada, que realiza el tratamiento de datos personales en nombre del responsable del tratamiento.

AWS como controlador de datos

Cuando AWS recopila datos personales y determina los fines y medios de procesamiento de éstos, AWS actúa como controlador de datos. Por ejemplo, cuando se recopila y almacena la información directa del cliente para el registro de la cuenta, la administración, el acceso al servicio, los atributos del servicio o la información de contacto de su cuenta de AWS con el fin de proporcionar asistencia a través de las actividades de soporte al cliente.

AWS como motor de datos

Cuando los clientes y los proveedores de soluciones de AWS utilizan sus servicios para procesar los datos de sus respectivos clientes, actúa como procesador de datos. En este escenario pueden, por ejemplo, utilizar controles de configuración de seguridad para procesar y almacenar datos personales. Por lo tanto, el cliente o el socio de AWS Partner Network (APN) pueden actuar como controlador de datos o procesador de datos, y AWS actuar como procesador o subprocesador de datos.

Puntuación de CleanCloud: Gestión del cumplimiento de LGPD

Arquitectura de partituras

CleanCloud, socio tecnológico avanzado de AWS, ofrece un producto denominado Score que realiza más de 100 comprobaciones de conformidad para validar que el entorno del cliente en AWS se ajusta a los requisitos de las normativas clave del mercado, entre las que destaca la LGPD.

Para que Score realice la evaluación en el entorno del cliente, se requiere un rol de IAM con acceso de lectura a la cuenta de AWS. Score se desarrolla utilizando servicios con arquitectura sin servidor y se entrega en el modelo SaaS, ofreciendo así una solución escalable y evitando la necesidad de recursos adicionales en el entorno del cliente.

La experiencia del usuario

El usuario puede elegir la fecha y hora de la comprobación, y la herramienta mostrará la puntuación desde un punto de vista de cumplimiento para el entorno en ese momento. Además de la puntuación, también mostrará las vulnerabilidades identificadas (clasificadas por grado de criticidad), la evolución de la conformidad a través del historial de análisis y un mapa de riesgos para cada región de AWS, como se muestra en la siguiente figura.

El usuario también puede ver los detalles de cada vulnerabilidad, incluyendo el artículo de la ley al que se refiere, el nombre del recurso e información paso a paso para remediar. De esta manera, el usuario puede monitorear constantemente temas de cumplimiento y crear políticas para evolucionar continuamente, imprimiendo políticas de gobierno según lo requiera la ley.

El cliente de AWS se beneficia de la puntuación

Cogna Education ha sido líder de su mercado y cliente de AWS durante años. A principios de 2020 comenzó a utilizar CleanCloud Score para evolucionar los procesos LGPD y el cumplimiento.

Como Alex Amorim, CISO y DPO (Data Protection Officer) de Cogna Group, la experiencia ha sido muy positiva:

Hoy en día, CleanCloud Score contribuye de manera muy práctica con la supervisión de controles eficaces para proteger el entorno de nube de AWS, ya que aporta un enfoque sencillo y preciso al nivel de madurez del entorno.
Con este producto hemos podido tener visibilidad, por ejemplo, con acceso de usuario al entorno, cifrado de datos y gestión de puertos.
Con el advenimiento de la LGPD es esencial ser enérgico en el control del entorno de la nube para mostrar diligencia y responsabilidad frente a la nueva ley, y con CleanCloud Score evolucionamos en esta dirección todos los días.

Conclusiones y próximos pasos

En esta entrada de blog mostramos cómo la solución de un socio de AWS puede ayudar a adaptarse a los nuevos desafíos que la Ley General de Protección de Datos de Brasil impone a las empresas públicas y privadas. Además, le mostramos cómo encaja AWS en este proceso, detallando sus funciones y recursos disponibles para ayudar a nuestros clientes en estas tareas.

Este artículo fue traducido del Blog de AWS en Portugués.

Sobre los autores

Henry Vaz es co-fundador y CEO de CleanCloud, licenciado en Derecho por PUC-SP, con postgrado y finanzas corporativas en el USP y MBA en Insper, dejó la vida corporativa para emprender en 2012, habiendo fundado otras tres empresas antes de CleanCloud.

Bruno Silveira es arquitecto de soluciones de AWS en el equipo del sector público centrado en los socios ISV. Con una trayectoria previa en instituciones como Hepta Tecnologia, Caixa, Itaipú Binacional, Parque Tecnológico Itaipú, Ministerio de Minas y Energía y Ministerio de Cultura, Bruno está entusiasmado con prácticas ágiles como Lean y Scrum y disfruta del rock’n roll acompañado con una buena cerveza.

Thiago Padua es AWS Solutions Architect, trabaja con el desarrollo y la asistencia de socios del sector público. Anteriormente trabajó en el desarrollo de software e integración de sistemas, principalmente en la industria de las telecomunicaciones. Tiene un interés especial en la arquitectura de microservicios, serverless y contenedores.