Privacidad de datos en Brasil

Información general

La Ley General de Protección de Datos (LGPD) de Brasil es la principal ley de Brasil dedicada a la protección de datos personales. La LGPD se aplica al procesamiento de datos personales (definidos como la información que concierne a una persona natural identificable o identificada) realizado por individuos o entidades legales del sector público o privado, independientemente de los medios utilizados para ejecutar dicho procesamiento o del país en el que el controlador o los datos estén ubicados, siempre que 1) el procesamiento se lleve a cabo en Brasil; 2) el procesamiento tenga como fin ofrecer o proveer bienes o servicios o procesar los datos de individuos ubicados en Brasil; o que 3) los datos personales se hayan obtenido en Brasil.

La LGPD establece principios y reglas concernientes al procesamiento de datos personales. Las organizaciones deben ser capaces de demostrar la adopción de medidas que garanticen la conformidad con las reglas de protección de datos personales, (además de la eficacia de dichas medidas) lo que exige el establecimiento y aplicación de políticas de conformidad aplicables al procesamiento de datos personales.

De acuerdo con la LGPD, los controladores y procesadores (tal y como se definen en virtud de la LGPD) están obligados a adoptar medidas administrativas y técnicas para proteger los datos personales del acceso no autorizado y accidental o de situaciones ilícitas que impliquen destrucción, pérdida, alteración, comunicación, o cualquier tipo de procesamiento ilegal o inadecuado. De forma adicional, la LGPD concede a la Autoridad Nacional de Protección de Datos de Brasil (ANPD) la autorizad para establecer unos estándares técnicos mínimos para su implementación por parte de controladores y procesadores.

AWS vela por la privacidad y por la seguridad de los datos. En AWS, la seguridad empieza en nuestra infraestructura central. Diseñada específicamente para la nube y para cumplir los requisitos de seguridad más exigentes del mundo, nuestra infraestructura se supervisa ininterrumpidamente para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de talla mundial que supervisan esta infraestructura crearon y mantuvieron nuestra amplia selección de servicios de seguridad innovadores, que pueden ayudarle a satisfacer sus propias exigencias normativas y de seguridad. Como cliente de AWS, independientemente de su tamaño o ubicación, hereda todos los beneficios de nuestra experiencia, probados por los más estrictos marcos de garantía de terceros.

AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de infraestructura en la nube de AWS bajo marcos y certificaciones de garantía de seguridad reconocidos a nivel mundial, que incluyen ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y de organización están validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.

Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información de la ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a información de identificación personal (PII) procesada por proveedores de servicios de nube públicos. Esto demuestra a los clientes que AWS dispone de un sistema de controles que se ocupa específicamente de la protección de la confidencialidad de su contenido.

Estas completas medidas técnicas y organizativas de AWS son coherentes con los objetivos de la LGPD para proteger los datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales en función de sus necesidades específicas, incluyendo la clasificación de contenido, el cifrado, la administración del acceso y las credenciales de seguridad.

Los clientes son responsables de su propio cumplimiento de la LGPD y las normativas asociadas, dado que AWS no puede ver ni saber lo que estos suben a su red, ni tampoco si dichos datos están sujetos o no a las regulaciones de la LGPD. El contenido de esta página complementa los recursos de privacidad de datos existentes para ayudarlo a alinear sus requisitos con el modelo de responsabilidad compartida de AWSa la hora de procesar datos personales utilizando servicios de AWS.

• ¿Qué es la LGPD?

  La Ley General de Protección de Datos (LGPD) de Brasil es la principal ley de Brasil dedicada a la protección de datos personales, vigente desde el 18 de septiembre de 2020.

• ¿A quiénes se aplica la LGPD?

  La LGPD se aplica a todas las organizaciones, sin importar si se ubican o no en Brasil, que procesen datos personales para ofrecer o suministrar bienes o servicios a personas en Brasil. La ley también se aplica a organizaciones que recopilan o procesan datos personales en Brasil. Los datos personales son cualquier información relacionada con una persona natural identificable o identificada.
  

• ¿Los servicios de AWS cumplen con la LGPD?

  Podemos confirmar que todos los servicios de AWS se pueden usar en conformidad con la LGPD. Esto significa que, además de beneficiarse con todas las medidas que AWS ya toma para mantener la seguridad de los servicios, los clientes pueden implementar los servicios de AWS como un componente clave de sus planes de conformidad con la LGPD. Para obtener más información, consulte nuestro documento técnico, Análisis de conformidad con la LGPD en AWS.
  

• ¿Dónde puede un sujeto de datos individual encontrar información sobre el ejercicio de los derechos de la LGPD?

  El 14 de agosto de 2020 actualizamos nuestro aviso de privacidad para explicar nuestras políticas como controlador de datos en virtud de los requisitos de la LGPD, incluida la manera en la que los sujetos de datos pueden ejercer sus derechos de acuerdo con la ley.
  

• ¿AWS cuenta con algún centro de privacidad que brinde una descripción exhaustiva de las posiciones de privacidad de AWS y los derechos que ofrece a sus clientes?

  Sí. Nuestra página sobre privacidad de los datos brinda información sobre nuestras prácticas y políticas de privacidad. También hemos actualizado nuestro aviso de privacidad para incorporar todas las comunicaciones que requiere la LGPD, incluida información sobre la manera en que los clientes pueden ejercer sus derechos en virtud de esta ley.
  

• ¿AWS cumple los requisitos de protección de datos en otros países de América Latina?

  AWS conserva de manera permanente un alto estándar de seguridad y conformidad en todas sus operaciones globales. Las protecciones que ofrecemos en virtud del RGPD y la LGPD están disponibles para clientes de todo el mundo, y nuestros clientes pueden utilizar estas protecciones para garantizar la conformidad con sus leyes de protección de datos locales.
  

• ¿Cuál es el papel del cliente en asegurar su contenido?

  Mediante el modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en las instalaciones. La LGPD no cambia el modelo de responsabilidad compartida de AWS, que continúa aplicándose a los clientes y socios de APN centrados en el uso de los servicios de informática en la nube. El modelo de responsabilidad compartida es un útil método para ilustrar las diferentes responsabilidades de AWS (como subprocesador o procesador de datos) y de los clientes o socios de APN (como controladores de datos o procesadores de datos) según la LGPD. De acuerdo con el modelo de responsabilidad compartida, AWS es responsable de proteger la infraestructura subyacente de la nube, y los clientes y socios de APN, en calidad de controladores de datos o procesadores de datos, son responsables de la información personal que incluyen en la nube. Los clientes pueden aprovechar las medidas y los controles de seguridad técnicos y organizativos ofrecidos por AWS para gestionar sus propios requisitos de cumplimiento. Los clientes pueden utilizar medidas conocidas para proteger sus datos, como el cifrado y la autenticación multifactor, además de las características de seguridad de AWS como AWS Identity and Access Management.

  Al evaluar la seguridad de una solución en la nube, es importante que los clientes comprendan y distingan entre:

  • Medidas de seguridad que implementa y opera AWS: “seguridad de la nube”, y
  • Medidas de seguridad que los clientes implementan y operan, relacionadas con la seguridad del contenido y las aplicaciones de sus clientes que hacen uso de los servicios de AWS: “seguridad en la nube”
    

   

  Para obtener más información sobre las medidas adicionales que pueden tomar los clientes, y las soluciones que ofrece AWS, consulte la página web sobre aprendizaje de seguridad de AWS.

  

• ¿Quién puede acceder al contenido de los clientes?

  Los clientes mantienen la propiedad y el control de su contenido y seleccionan qué servicios de AWS procesan, almacenan y albergan su contenido. AWS no puede ver el contenido del cliente y no lo usa ni accede a él salvo para proporcionar los servicios de AWS que el cliente seleccionó, o bien cuando sea necesario para cumplir con la ley o una orden legal vinculante.

  Los clientes que utilizan servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Pueden:

  • Determinar dónde se ubicará, por ejemplo, el tipo de entorno de almacenamiento y la ubicación geográfica de ese almacenamiento.
  • Controlar el formato del contenido, como por ejemplo texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado de un tercero que el cliente elija.
  • Administrar otros controles de acceso, como la administración de acceso de identidad y las credenciales de seguridad.
  • Controlar si usar SSL, nube privada virtual y otras medidas de seguridad de la red para impedir el acceso no autorizado.

  Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrar su contenido de acuerdo con sus propias necesidades específicas, incluida la clasificación de contenido, el control de acceso, la retención y la eliminación.
  

• ¿Dónde se almacenará el contenido del cliente?

  Los centros de datos de AWS se encuentran repartidos en clústeres en varias ubicaciones de todo el mundo. Cada uno de nuestros clústeres de centros de datos de una ubicación determinada se conoce como “región”.

  Los clientes de AWS eligen la región (o regiones) de AWS en la que se almacenará su contenido. Esto permite a los clientes con requisitos geográficos específicos establecer entornos en las ubicaciones de su elección.

  Los clientes pueden replicar y realizar copias de seguridad del contenido en más de una Región, pero AWS no mueve el contenido del cliente fuera de la Región o regiones elegidas por el cliente, excepto para proporcionar los servicios solicitados por los clientes o cumplir con la ley aplicable.
  
  

• ¿Cómo garantiza AWS la seguridad de sus centros de datos?

  La estrategia de seguridad del centro de datos de AWS se ensambla con controles de seguridad escalables y múltiples capas de defensa que ayudan a proteger su información. Por ejemplo, AWS maneja cuidadosamente los riesgos potenciales de inundación y actividad sísmica. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de detección en profundidad para limitar el acceso a los centros de datos. Realizamos copias de seguridad de nuestros sistemas, probamos regularmente equipos y procesos, y capacitamos continuamente a los empleados de AWS para que estén listos para lo inesperado.

  Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas en más de 2.600 estándares y requisitos durante todo el año. Tal examen independiente ayuda a garantizar que los estándares de seguridad se cumplan o superen de manera consistente. Como resultado, las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.

  Obtenga más información sobre cómo protegemos los centros de datos de AWS por diseño realizando un recorrido virtual.

• ¿Qué regiones de AWS puedo usar?

  Los clientes pueden usar una región, todas las regiones o una combinación de varias. Visite la página de Infraestructura global de AWS para obtener una lista completa de las regiones de AWS.
  

• ¿Qué medidas de seguridad tiene AWS para proteger los sistemas?

  La infraestructura de la nube de AWS está diseñada para ser uno de los entornos de informática en la nube más flexibles y seguros que están disponibles en la actualidad. La escala de Amazon permite realizar una inversión considerablemente mayor en medidas correctivas y políticas de seguridad que la que casi cualquier empresa grande podría permitirse por sí sola. Esta infraestructura se compone del hardware, el software, las redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda potentes controles a los clientes y a los socios de APN, incluidos los controles de la configuración de seguridad, para el tratamiento de los datos personales. Para obtener más información sobre las medidas de AWS destinadas a mantener en todo momento niveles de seguridad elevados, consulte eldocumento técnico con información general sobre los procesos de seguridad de AWS.

  AWS también proporciona varios informes de conformidad de auditores externos que han comprobado y verificado que cumplimos con distintos estándares y reglamentos de seguridad, incluidas las normas ISO 27001, ISO 27017 e ISO 27018. A los fines de ofrecer transparencia en relación con la eficacia de estas medidas, proveemos acceso a los informes de auditoría externos en AWS Artifact. En estos informes, los clientes y los socios de APN (que pueden actuar como controladores de datos o procesadores de datos) pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Para obtener más información, visite la página sobre nuestros recursos de conformidad.
  

• ¿Cómo se ha preparado AWS para la LGPD?

  Los expertos en seguridad, protección de datos y conformidad de AWS han estado trabajando con clientes para responder sus preguntas y ayudarlos a prepararse para la ejecución de cargas de trabajo en la nube de AWS. Estos equipos también han revisado la preparación de los servicios de AWS para cumplir los requisitos de la LGPD. Además, ofrecemos a los clientes un acuerdo de procesamiento de datos que cumple los requisitos de la LGPD.

  AWS conserva de manera permanente un alto estándar de seguridad y conformidad en todas sus operaciones globales. La seguridad siempre ha sido nuestra prioridad. Nuestra seguridad líder en la industria ofrece las bases para nuestra extensa lista de acreditaciones y certificaciones de reconocimiento internacional, lo que demuestra conformidad con estándares internacionales estrictos, como ISO 27017 para seguridad en la nube, ISO 27018 para privacidad en la nube, SOC 1, SOC 2 y SOC 3, PCI DSS nivel 1, NIST FIPS 140-2, C5 y otros. Para dar transparencia a la eficacia de estas medidas, nuestros clientes y socios de APN pueden acceder a los informes de auditores externos a través de la consola de administración de AWS. En estos informes, los clientes y los socios de APN (que pueden actuar como controladores de datos o procesadores de datos) pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Si desea obtener más información, visite las páginas sobre temas de conformidad.
  
  

• ¿Qué servicios ofrece AWS a los clientes para ayudarlos a cumplir con la LGPD?

  AWS ya suministra características y servicios específicos que ayudan a los clientes a cumplir requisitos de la LGPD:

  Control de acceso a los datos: permita el acceso a los recursos de AWS únicamente a administradores, usuarios y aplicaciones autorizados.

  • Autenticación multifactor (MFA)
  • Acceso detallado a objetos en buckets de Amazon S3/Amazon SQS/Amazon SNS y otros
  • Autenticación de solicitudes a la API
  • Restricciones geográficas
  • Tokens de acceso temporal mediante AWS Security Token Service

  Monitoreo y registro: obtenga un resumen de las actividades en sus recursos de AWS.

  • Administración y configuración de recursos con AWS Config
  • Auditoría de conformidad y análisis de seguridad con AWS CloudTrail
  • Identificación de desafíos de configuración mediante AWS Trusted Advisor
  • Registro detallado de acceso a objetos de Amazon S3
  • Información detallada sobre flujos en la red mediante Amazon VPC-FlowLogs
  • Acciones y verificaciones de configuración basadas en reglas con AWS Config Rules
  • Filtro y monitoreo de acceso HTTP a aplicaciones con funciones WAF en AWS CloudFront

  Cifrado: cifre datos en AWS.

  • Cifrado de sus datos en reposo con AES256 (EBS/S3/Glacier/RDS)
  • Administración de claves administrada de manera centralizada (por región de AWS)
  • Túneles IPsec hacia AWS con las gateways de VPN
  • Módulos HSM dedicados en la nube con AWS CloudHSM
    

• ¿Cómo puede AWS ayudar a los controladores de datos a cumplir con sus obligaciones de notificación de infracción de acuerdo con la LGPD?

  AWS pone a disposición de los clientes y los socios de APN una serie de herramientas para saber quién tiene acceso a sus recursos, cuándo y desde dónde. Una de estas herramientas es AWS CloudTrail, que permite auditar la gobernanza, la conformidad, las operaciones y los riesgos de una cuenta de AWS. Con AWS CloudTrail, el cliente puede registrar, monitorear de manera continua y retener la información relativa a la actividad de las cuentas relacionada con acciones en toda su infraestructura de AWS. De este modo, las organizaciones saben lo que sucede con su infraestructura de AWS y pueden tomar medidas de inmediato ante una actividad inusual. Para obtener más información sobre AWS CloudTrail y las demás herramientas de seguridad que AWS pone a disposición de los clientes para ayudarlos a cumplir sus obligaciones como controladores de datos según la LGPD, visite página web sobre seguridad.
  

• ¿Cómo me ayuda AWS a proteger mis datos frente a los ciberataques?

  AWS brinda a los clientes y socios de APN una serie de herramientas para proteger sus datos y evitar los ciberataques. Una de estas herramientas es AWS Shield. Se trata de un servicio administrado de protección frente a ataques de denegación de servicio distribuido (DDoS) para salvaguardar los sitios web y las aplicaciones que se ejecutan en AWS. AWS Shield Standard está disponible sin costes adicionales y proporciona detección permanente y mitigaciones automáticas en línea que pueden minimizar el tiempo de inactividad y la latencia de las aplicaciones. Para obtener niveles más altos de protección contra ataques dirigidos a aplicaciones web que se ejecutan en AWS y utilizan recursos de ELB, Amazon CloudFront y Amazon Route 53, los clientes y los socios de APN pueden suscribirse a AWS Shield Advanced.
  

• ¿Cómo gestiona AWS las solicitudes de eliminación de los clientes?

  Los servicios de AWS permiten a los clientes eliminar su contenido bajo demanda. Para ello, pueden utilizar la consola de administración de AWS, API y otros métodos. Para obtener más información sobre alguna funcionalidad específica de los servicios, consulte nuestra documentación.
  

• ¿Con quién debería contactar si tengo alguna duda sobre la LGPD y AWS?

  Además de nuestra página sobre privacidad de los datos y nuestro aviso de privacidad, se recomienda que los clientes y socios de APN que tengan dudas relativas a la protección de los datos o a AWS y la LGPD contacten con el gestor de cuentas de AWS en primer lugar. Si los clientes se han inscrito en el soporte empresarial, también pueden contactar con el director técnico de cuenta (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades.

  AWS también cuenta con equipos de representantes de Soporte empresarial, consultores de Servicios profesionales y otro personal para brindar asistencia en caso de que los usuarios tengan alguna pregunta sobre la LGPD. Para que los clientes y los socios de APN obtengan más información al respecto, AWS también realizará una serie de charlas, seminarios web y talleres en las cumbres de AWS con el fin de ayudar a comprender la LGPD e implementar soluciones mediante las herramientas de AWS.