Inicio de las sanciones de privacidad en Brasil: la Autoridad de Protección de Datos publica una resolución de dosimetría y aplicación

La Ley General de Protección de Datos brasileña, en vigor desde agosto de 2020, establece el sistema de protección a la privacidad en todo el territorio a la medida en que fija límites, obligaciones y prestación de cuentas de agentes de tratamiento de datos en Brasil o a las operaciones que tengan como objeto personas que estén ubicadas en el país.

En aspectos estructurales, la ley brasileña se asemeja al RGPD, especialmente en lo que se refiere a la existencia del principio de la responsabilidad proactiva de los agentes de tratamiento, la constitución de una autoridad de control (la Autoridad Nacional de Protección de Datos, en adelante, “ANPD”) y la responsabilidad administrativa por procesos que no cumplan con el reglamento. 

Como consecuencia, la ANPD ha publicado el pasado 27 de febrero la Resolución 04/2023 de dosimetría y aplicación de sanciones administrativas, resultado de un proceso de consulta con la publicación de borrador y participación popular. Son sus objetivos la disposición de parámetros y criterios de la responsabilización, además de una metodología para el cálculo de las condenas de naturaleza financiera.

El reglamento brasileño de protección de datos dispone de las siguientes sanciones administrativas:

-Advertencia, en casos de sanciones no graves y sin reincidencias;

-Multa simple, hasta el 2% de facturación de la persona jurídica, hasta el importe de 50 millones de reales, por infracción,

-Multa diaria, para asegurar el cumplimiento de una sanción no financiera; 

-Publicidad de la infracción, realizada por el infractor considerando el interés público;

-Bloqueo de datos personales hasta la regularización de la actividad;

-Eliminación de datos personales;

-Suspensión parcial del funcionamiento de banco de datos;

-Suspensión de la actividad de tratamiento; y

-Prohibición total o parcial de la actividad de tratamiento, una vez identificadas circunstancias de reincidencia, ilicitud o inexistencia de condiciones para el tratamiento adecuado.

Es importante aclarar que, según la resolución, la autoridad puede, al identificar la responsabilidad de distintos agentes, aplicar sanciones de forma individualizada a todos los que integran la cadena de tratamiento de datos personales. 

Además de los criterios legales considerados para la imposición de sanciones, por ejemplo, la gravedad y naturaleza de la infracción, la reincidencia, la buena fe del infractor y su cooperación, la adopción de políticas internas y medidas correctivas, serán consideradas también algunas circunstancias atenuantes y agravantes de la infracción para el cálculo de las multas.

Son medidas que agravan la condena pecuniaria y que pueden ser aplicadas cumulativamente:

-Aumento de hasta 40% por reincidencias;

-Aumento de hasta 80% por descomprimiendo de medidas de prevención u orientación durante el proceso de fiscalización o preparatorio; 

-Aumento de hasta 90% por descomprimiendo de medidas correctivas durante el proceso sancionador. 

De otra forma, la ANPD ofrece la oportunidad de atenuación de las infracciones, con aplicación también cumulativa: 

-Reducción de hasta 75% en el caso de cesación de la infracción previa a la instauración de proceso preparatorio (en casos de respuesta tras la recepción de reclamación directa del titular o por medios distintos, como órganos de protección al consumo);

-Reducción de hasta 20% en el caso de que el agente demuestre la implementación de políticas o adopción reiterada de mecanismos internos para la adecuación al reglamento;

-Reducción de hasta 20% en el caso de presentación de medidas capaces de revertir o mitigar los efectos de la infracción a los titulares.

Resulta evidente, tras la evaluación de los criterios presentados, que la ANPD valora la capacidad de los agentes de tratamiento de dar respuesta a las reclamaciones recibidas con la implementación de correcciones, además de su proactividad con respecto a la implementación previa de medidas de adecuación.

Como punto de observación, considerando la inexistencia de consenso en la comunidad brasileña, figura la posibilidad de que la autoridad, motivada por el objetivo de garantizar la proporcionalidad en la aplicación de sanciones y bajo la demostración de circunstancias objetivas, no aplique la metodología de forma excepcional. 

Finalmente, dicha resolución tiene aplicación inmediata, y será utilizada en los procesos administrativos actualmente en curso. Según el informe de actividades referente a 2021 publicado por la ANPD, en el primer año de constitución de la autoridad fueron registrados 756 casos para apreciación del órgano de fiscalización, contemplando reclamaciones por irregularidades de tratamiento, faltas de atención a los derechos de los titulares y brechas de seguridad notificadas.  

Guilherme H. Sicuto, Senior Privacy Counsel, Legal Army