La Ley General de Protección de Datos Personales (LGPD, por sus siglas) — también conocida como la Ley 13.709/2018—entró en vigor en Brasil el 18 de septiembre de 2020. Sin embargo, aún no se han aplicado sanciones por incumplimiento de la legislación.
Es importante señalar que las sanciones estaban sujetas a la publicación de un reglamento detallando las reglas acerca para su aplicación.
Tras haber sido sometido a consulta pública por la Autoridad de Protección de Datos de Brasil en agosto del año pasado y de haber recibido más de 2.500 contribuciones de entidades y miembros de la sociedad civil, empresas y expertos en la materia, el 27 de febrero de 2023, la Autoridad publicó el Reglamento de dosimetría y aplicación de sanciones administrativas.
Dicha resolución establece parámetros y criterios que guiarán a la ANPD en la aplicación de las sanciones previstas en la LGPD para asegurar un enfoque proporcional, tomando en cuenta la gravedad de la conducta y de la sanción, así como la dosimetría (proporcionalidad) para el cálculo del monto base de las multas.
Inicialmente, señalamos que la resolución definió que el concepto de infracciones involucra tanto las violaciones a la LGPD como las infracciones a los guías y normativos publicados por la Autoridad Nacional de Protección de Datos.
Igualmente, sus disposiciones se aplican a los procedimientos administrativos en curso al momento de su entrada en vigor. Es decir, el Reglamento tiene efectos retroactivos, por lo que, a partir de este momento, los procesos administrativos que se encontraban a la espera de la edición de dicha normativa deberán tramitarse de forma inmediata, garantizando siempre el derecho de defensa al encargado del tratamiento.
Entre los mencionados criterios y parámetros que serán utilizados por la ANPD para determinar la sanción se encuentran:
- Gravedad y naturaleza de la infracción;
- Extensión del daño;
- Ventaja económica y condición económica de los responsables y encargados del tratamiento;
- Reincidencia de los responsables y encargados del tratamiento;
- La cooperación, la buena fe y la adopción de medidas de buenas prácticas y gobernanza por parte del encargado del tratamiento;
- La proporcionalidad entre la gravedad de la falta y la intensidad de la sanción.
De manera similar al Reglamento General de Protección de Datos (RGPD), las sanciones previstas en la LGPD no se limitan a multas monetarias e incluyen hacer pública la infracción, además del bloqueo y eliminación de datos. Así, para que la ANPD determine qué sanción se impondrá, la resolución indica que las infracciones deben clasificarse en tres niveles: leves, medias y graves.
Las infracciones leves se definen por exclusión; es decir, siempre que no sea posible verificar la incidencia de los requisitos para la clasificación de las infracciones como medias o graves. Por su parte, las infracciones medias son aquellas capaces de afectar significativamente al ejercicio de los derechos o a la utilización de un servicio por parte de sus titulares, así como de causar daños materiales o morales a los mismos. Las infracciones graves combinan el requisito de las infracciones medias con un «elemento de criticidad», por ejemplo: el tratamiento de datos personales sensibles, o de datos personales de niños, adolescentes o adultos mayores o el tratamiento de datos a gran escala.
Por otra parte, en cuanto a las multas, para la aplicación de la multa simple (hasta el 2% del volumen de negocios de la persona jurídica, grupo o conglomerado en Brasil, con un límite de 50 millones de reales por infracción), los requisitos para su aplicación incluyen el incumplimiento de las medidas preventivas o correctivas impuestas por la ANPD, además de la calificación de la infracción como grave. El Reglamento también establece circunstancias agravantes y atenuantes aplicables al cálculo del importe de las multas simples.
Se destaca que el reglamento define algunos parámetros y criterios que deben ser observados por la Autoridad en la aplicación de sanciones, incluyendo, por ejemplo, la buena fe y cooperación del infractor, la adopción de prácticas de buena gobernanza, la pronta adopción de medidas correctivas, entre otros. En el apartado de multas simples, por ejemplo, algunos de estos criterios se consideran atenuantes e importantes, pudiendo reducir una multa hasta en un 50% de su valor.
Por lo tanto, es incuestionable la importancia de que los responsables y encargados de tratamiento construyan y fortalezcan un programa estructurado de gobernanza de privacidad y protección de datos con la adopción de medidas de seguridad adecuadas, ya que pueden reducir considerablemente las sanciones aplicadas por la ANPD.
Por otro lado, la ANPD podrá rechazar, de forma motivada, la metodología dosimétrica en los casos en que se constate un perjuicio a la proporcionalidad entre la gravedad de la infracción y la intensidad de la sanción.
La publicación del reglamento de dosimetría (proporcionalidad) es una herramienta importante para garantizar la eficacia de la LGPD. La aplicación de sanciones proporcionales y adecuadas es crucial para desincentivar las infracciones y animar a los responsables del tratamiento a adoptar medidas de seguridad y diseñar programas sólidos en la materia. De esta forma, se mitigaría la comisión de infracciones y, aún en el caso de que ocurran, el hecho de que ya se hayan adoptado y demostrado como mecanismos capaces de minimizar el riesgo de tratamiento ilícito, podrá reducir los montos aplicados como multas, ya que el agente del tratamiento podrá demostrar que se ajusta a los beneficios señalados por las atenuantes previstas en la Resolución.