Ley nº 14.534/2023: Reflexiones sobre la nueva Ley CPF y sus implicaciones en la seguridad de los datos personales

Son necesarios varios ajustes para fortalecer los mecanismos de seguridad / Flickr, Stock Catalog
Son necesarios varios ajustes para fortalecer los mecanismos de seguridad / Flickr, Stock Catalog
La Ley aboga por reducir la cantidad de datos compartidos por los interesados ​​y requeridos por entidades públicas y privadas.
Fecha de publicación: 10/04/2024
Etiquetas:

Sancionada en enero de 2023, entró en vigor la Ley nº 14.534/2023, popularmente llamada Ley CPF, que introdujo cambios significativos en la identificación de los ciudadanos brasileños. El objetivo principal de esta legislación es simplificar los trámites burocráticos, reemplazando los distintos números de documentos de identificación por el Registro Individual del Contribuyente (CPF).

Para cumplir con su principal objetivo, además de determinar que los registros y organismos públicos pasen a exigir únicamente el CPF como identificación única y necesaria para sus efectos, la ley establece cambios en la emisión de documentos de identificación, incluidos los expedidos por los consejos profesionales, como es el caso de la Asociación de Abogados de Brasil (OAB) y del Consejo Regional de Medicina. Tras este cambio, los números que previamente identificaban a los profesionales serán sustituidos por el CPF.

De conformidad con los preceptos establecidos en la Ley General de Protección de Datos (LGPD), la Ley CPF busca atender al principio de necesidad, tal como se señala en la fracción III del artículo 6.

Este principio aboga por reducir la cantidad de datos compartidos por los interesados ​​y requeridos por entidades públicas y privadas, con el objetivo de proteger la privacidad y seguridad de la información personal.


Más sobre Brasil: Sector aéreo en Brasil: ¿Cuáles son los impactos de la judicialización por causales de Derecho al Consumidor?


Sin embargo, contrario a lo que propone la ley, es imperativo reconocer que la unificación de los números de identificación, concentrándolos exclusivamente en el CPF, puede resultar en una exposición innecesaria y potencialmente dañina para los titulares de estos datos. 

En un contexto donde la ciberseguridad es una preocupación creciente, la divulgación indiscriminada del CPF puede facilitar la acción de personas malintencionadas que podrían aprovechar esta información para prácticas fraudulentas, como falsificación de documentos, obtención indebida de préstamos ilegales de instituciones bancarias y actos de fraude, entre otras.

Antes de la implementación de la "Ley CPF", la exigencia de diferentes números de identificación, como el Registro General (RG), constituía una barrera adicional a la actividad delictiva, obstaculizando posibles abusos. Con la unificación de registros bajo el CPF, esta barrera se vuelve menos robusta, ampliando las oportunidades para cometer delitos, especialmente ante organismos públicos.


Otras voces: Normas ESG en Brasil: ¿Ante la proliferación regulatoria, qué herramientas garantizan el cumplimiento?


Además, la exposición del número CPF en documentos profesionales, como en el caso de los sellos médicos, puede representar una vulnerabilidad adicional a la privacidad de sus titulares. Anteriormente, el número del Consejo Regional de Medicina (CRM) era suficiente para identificar a un profesional en caso de necesidad. Ahora, con la inclusión del CPF, la información personal sensible se vuelve más accesible y puede ser utilizada indebidamente por terceros.

Aunque la búsqueda de alternativas que simplifiquen la vida de los ciudadanos es encomiable, es fundamental que se tomen las precauciones adecuadas para mitigar los riesgos de fuga de datos y exposición indebida. Especialmente en lo que respecta a las categorías profesionales, es necesario un esfuerzo conjunto para garantizar la protección de la privacidad de las personas, asegurando el pleno ejercicio del derecho fundamental a la privacidad, consagrado en el artículo 5, inciso X, de la Constitución Federal.

En este contexto, es fundamental que las autoridades competentes actúen de forma proactiva, evaluando los impactos de la "Ley CPF" e implementando medidas efectivas para salvaguardar la seguridad de los datos personales de los ciudadanos brasileños.


Sobre propiedad intelectual: ¿Se debe pagar por uso o reproducción de obras situadas en espacios públicos?


Por otro lado, las empresas privadas también deberán adaptarse para cumplir con lo dispuesto en la nueva legislación. El primer paso será la adaptación de los sistemas de información, que ya no deberían exigir otros números de documento, aunque estos serán suprimidos.

También son necesarios otros ajustes para fortalecer los mecanismos de seguridad y brindar protección a sus clientes y socios externos. En este contexto, con vistas a la adecuación, citamos los mecanismos que pueden implementar, principalmente por parte de entidades financieras y emisores de tarjetas de crédito, con el objetivo de prevenir el fraude:

  • Cifrado de datos: la implementación y mejora del cifrado de datos es un recurso extremadamente valioso, cuyo objetivo es proteger la información contenida en las bases de datos que, en caso de acceso inadecuado, la información contenida allí estará protegida e incluso será ilegible para los atacantes.
  • Autenticación multifactor: similar a la función de “confirmación en dos pasos”, la implementación de múltiples factores de autenticación puede dificultar la acción criminal. Además de la contraseña que será solicitada junto con el CPF, la empresa podrá proporcionar un token o incluso una palabra de seguridad, elegida por el usuario.
  • Adecuación de las Políticas Internas de Privacidad y Seguridad: con miras a adaptarlas a la nueva ley CPF, es necesario que las empresas inicien ajustes en sus respectivas políticas de datos, dejando clara la adopción de los mecanismos elegidos para garantizar la privacidad de los datos.
  • Monitoreo constante de actividades y accesos sospechosos: se debe mantener un monitoreo automático, definido con base en lineamientos primarios de seguridad, con respecto al acceso mediante el CPF. Cualquier intento que parezca sospechoso como, por ejemplo, el uso de un número IP ajeno, error de contraseña o intento de cambio, deberá ser bloqueado inmediatamente, con comunicación segura a los titulares.

El cambio legislativo trajo importantes puntos de desburocratización de registros y tratamientos ante organismos públicos. Sin embargo, es necesario establecer un conjunto claro de medidas de seguridad, con el fin de proteger a los ciudadanos de la fuga de datos e información sensible, garantizando así su privacidad.

*Ellerson Martins es abogado de Goulart Penteado Advogados.

Add new comment

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.