Durante el mes de agosto de 2021 se produjeron hechos importantes en el ámbito de la Autoridad Nacional de Protección de Datos Personales (ANPD, por sus siglas).

El primero se refiere a la designación, por parte del presidente de la república, de los miembros del Consejo Nacional de Protección de Datos Personales (CNPD). El segundo hecho se refiere a la publicación de una consulta pública que tiene como objetivo analizar el esbozo de la norma elaborada por la ANPD, que busca «flexibilizar» la LGPD para agentes de tratamiento de pequeña escala.

Por lo tanto, el propósito de este artículo es explorar brevemente ambos eventos, aclarando su respectiva relevancia para el avance de la cultura de privacidad y protección de datos personales en Brasil.

Designación de miembros del CNPD

Inicialmente, es necesario revisar la definición y atribuciones legales del Consejo Nacional de Protección de Datos Personales y Privacidad (CNPD). El artículo 55-C de la LGPD indica los órganos que deben constituir la estructura de la ANPD, entre los cuales se encuentra la CNPD. Por lo tanto, parece que la CNPD es parte integrante de la ANPD y sus atribuciones están todas dentro del ámbito consultivo de esta autoridad.

Para comprender mejor cuál será realmente el papel del CNPD, basta consultar el artículo 58-B de la LGPD, que establece las siguientes atribuciones para este órgano:

  • Proponer lineamientos estratégicos y otorgar subsidios para la elaboración de la política nacional de protección de datos personales y privacidad y para el desempeño de la ANPD;
  • Elaborar informes anuales de evaluación sobre la implementación de las acciones de la política nacional de protección de datos personales y privacidad;
  • Sugerir acciones a ser tomadas por ANPD;
  • Preparar estudios y realizar debates y audiencias públicas sobre la protección de los datos personales y la privacidad; y
  • Difundir el conocimiento sobre la protección de los datos personales y la privacidad a la población.

Además, es importante señalar que el CNPD está integrado por veintitrés miembros titulares y suplentes, con un mandato de dos años, designados por el presidente de la república. La participación en el CNPD se considera una prestación de un servicio público relevante y no remunerado, debiendo reunirse el directorio de manera ordinaria tres veces al año y de manera extraordinaria cuando sea convocado por su presidente.

El Decreto 10.474/2020 estableció una división de representación entre los consejeros y, por lo tanto, debe haber, entre ellos(as), representantes de (i) el poder público; (ii) organizaciones de la sociedad civil con desempeño comprobado en protección de datos personales; (iii) instituciones científicas, tecnológicas y de innovación; (iv) confederaciones sindicales representativas de las categorías económicas del sector productivo; (v) entidades representativas del sector empresarial relacionadas con el área de tratamiento de datos personales; y (vi) entidades representativas del sector laboral.                

Según la declaración de algunos de los consejeros designados, parece que el objetivo inicial del organismo es regular la LGPD con el fin de aclarar las "reglas del juego" en lo que respecta al procesamiento de datos personales, con el fin de proteger los derechos de los titulares y adaptar la práctica del mercado – siempre buscando hacerlo viable. Por lo tanto, la idea es promover la seguridad jurídica para el mercado, para el titular y para otras autoridades.

Consulta pública: agentes de tratamiento de pequeña escala

La Autoridad Nacional de Protección de Datos (ANPD) publicó el 30 de agosto de 2021 la Consulta Pública sobre el proyecto de resolución que regula la aplicación de la LGPD para los «agentes de tratamiento de pequeña escala», expresión que debe englobar a las microempresas, pequeñas empresas, así como iniciativas de negocio incrementales o disruptivas que se declaran start-ups o empresas de innovación.

El citado proyecto de resolución, elaborado por la propia ANPD, es breve y busca facilitar la adecuación jurídica de estos agentes a las obligaciones relativas a la privacidad y protección de datos personales. Por lo tanto, parece que el texto del proyecto renuncia o facilita algunas obligaciones materiales y formales previstas en la LGPD. Como ejemplo, verificamos los siguientes cambios propuestos:

  • Exención de la designación de un encargado de datos personales en los términos exigidos por el artículo 41 de la LGPD;
  • Exención de la obligación de mantener registros de las operaciones de tratamiento de datos personales contenidas en el artículo 37 de la LGPD;
  • Simplificación del informe de impacto de la protección de datos personales, previsto en el artículo X de la LGPD, en cumplimiento de la resolución específica (a ser desarrollada y publicada);
  • Renuncia, flexibilización o simplificación de la obligación de reportar cualquier incidente de seguridad, en los términos de la resolución específica;
  • Doble plazo para atender las solicitudes de los titulares o comunicaciones con la ANPD; entre otros.

La adecuación de la LGPD a los pequeños players del mercado ha sido un tema que se ha debatido desde que se aprobó la ley en 2018. No hay duda de que el tamaño y la estructura de un agente de tratamiento impactan significativamente en su capacidad para invertir en un sólido programa de gobernanza de la privacidad y, en este sentido, tener una regla específica es fundamental para aclarar las obligaciones de los agentes de tratamiento de pequeña escala.