Después de publicar la Norma de Dosimetría, que define los criterios para la aplicación de sanciones administrativas previstas en la Ley General de Protección de Datos Personales (LGPD), la Autoridad Nacional de Protección de Datos (ANPD) publicó, el 23 de marzo, la lista de los primeros procesos administrativos sancionatorios iniciados por su Coordinación General de Fiscalización (CGF).
Todos los procesos administrativos iniciados por la Autoridad se encuentran en fase inicial de instrucción para recopilación de pruebas.
La lista divulgada por la ANPD contiene procesos iniciados de marzo a septiembre de 2022 e indica el nombre del investigado, sus supuestas conductas infractoras y el número del proceso abierto en la ANPD, como se detalla abajo:
- Ministerio de Salud (entidad pública—órgano del Gobierno Federal): Proceso Nº 00261.000456/2022–12 con el objetivo de investigar las conductas de no atender a la solicitud de la ANPD; falta de designación de un responsable de datos personales; falta de comunicación de incidentes de seguridad.
- Telekall (entidad privada): Proceso Nº 261.000489/2022–62 con el objetivo de investigar las conductas: falta de indicación de una base legal; falta de registro de operaciones de tratamiento; no envío de la Evaluación de Impacto en la Protección de Datos; falta de designación de un responsable de datos personales; no atender a la solicitud de la ANPD.
- Instituto de Investigaciones Jardín Botánico de Río de Janeiro (entidad pública—autarquía vinculada al Ministerio del Medioambiente): Proceso Nº 00261.000574/2022–21 con el objetivo de investigar las conductas: no comunicación de incidentes de seguridad; no atender a la solicitud de la ANPD.
- Secretaría de Educación del Distrito Federal (entidad pública—vinculada al Gobierno del Distrito Federal): Proceso Nº 00261.001192/2022–14 con el objetivo de investigar las conductas: no atender a la solicitud de la ANPD.
- Ministerio de Salud (entidad pública—órgano del Gobierno Federal): Proceso Nº 00261.001882/2022–73 con el objetivo de investigar las conductas: falta de comunicación de incidentes de seguridad a los titulares; falta de medidas de seguridad.
- Secretaría de Estado de Salud de Santa Catarina (entidad pública—vinculada al Gobierno del Estado de Santa Catarina): Proceso Nº 00261.001886/2022–51 con el objetivo de investigar las conductas: falta de comunicación de incidentes de seguridad a los titulares; falta de medidas de seguridad; no atender a las determinaciones de la ANPD.
- Instituto de Asistencia Médica al Servidor Público Estatal de São Paulo—IAMSPE (entidad pública—autarquía vinculada al Gobierno del Estado de São Paulo): Proceso Nº 00261.001969/2022–41 con el objetivo de investigar las conductas: falta de comunicación de incidentes de seguridad a los titulares; falta de medidas de seguridad.
- Secretaría de Desarrollo Social, Niño y Juventud—PE (entidad pública—vinculada al Gobierno del Estado de Pernambuco): Proceso Nº 00261.001963/2022–73 con el fin de investigar las conductas: ausencia de comunicación a titulares de incidente de seguridad; ausencia de medidas de seguridad.
Es importante notar que, de los ocho procesos enumerados por la Autoridad, siete fueron iniciados contra organismos públicos, con excepción de la empresa de telefonía Telekall.
Además, los procesos tratan sobre las mismas categorías de infracciones, como la falta de nombramiento de un responsable de protección de datos personales (data protection officer o DPO, por sus siglas); la falta de comunicación de incidentes a los titulares; incumplimiento a las solicitudes de la ANPD; la falta de medidas de seguridad adecuadas; y la falta de documentos de rendición de cuentas.
Por lo tanto, se observa que la atención de la Autoridad, en este primer momento, se ha centrado en los programas de gobernanza en protección de datos de las entidades investigadas, verificando violaciones no solo a los mandamientos de la LGPD sino también a las demás regulaciones emitidas por la ANPD.
Sin embargo, los procesos e información sobre las sanciones que se aplicarán en cada caso solo se harán públicos después de la conclusión de la investigación, respetando los derechos de amplia defensa y del contradictorio de las entidades investigadas.
Otro punto destacado es que, según la orientación de la procuraduría de la ANPD, la sanción de publicidad, prevista en la Ley General de Protección de Datos Personales, no impide, ni se confunde con la divulgación de los datos e información referentes a los procesos administrativos sancionadores en curso.
De esta manera, la CGF y la Asesoría de Comunicación de la ANPD afirmaron que crearán una página en el sitio web de la Autoridad para poner a disposición del público la información de estos procesos. Sin embargo, a pesar de que esta divulgación está prevista en la ley brasileña, es posible que los agentes de tratamiento o la propia Autoridad soliciten, de forma fundamentada, el secreto de las investigaciones a la comisión de investigación.
Por último, después de la instrucción procesal—fase en la que se encuentran los ocho procesos—habrá la manifestación de la ANPD, entidad reguladora sectorial (si corresponde) y acusado seguida de la decisión de primera instancia que podrá ser apelada a través de recurso administrativo ante el Consejo Directivo.
La publicación de esta primera lista de procesos es un hito en el escenario de protección de datos en Brasil, ya que muestra claramente que la ANPD está investigando las violaciones a la LGPD y que comenzará, en breve, a sancionar las empresas infractoras.
Por lo tanto, es importante seguir el desarrollo de estos procesos para ver cómo, en la práctica, la Autoridad brasileña aplicará las penalidades, incluyendo la definición del tipo de sanción y la dosimetría, especialmente cuando el proceso resulte en algún tipo de condena financiera.