La Ley General de Protección de Datos Personales - Ley nº 13.709/18 (LGPD) se publicó en 2018 y entró en vigor en 2020. Este plazo se dio a las personas jurídicas públicas y privadas (agentes de tratamiento) que recogen, almacenan o procesan los datos personales de los individuos, en Brasil o en el extranjero, para adaptarse a la nueva normativa.

Inicialmente, las sanciones y multas administrativas fueron impuestas por organismos de protección al consumidor (PROCON), el Ministerio Público, así como demandas laborales y civiles, hasta que la Autoridad Nacional de Protección de Datos (ANPD) comenzó sus actividades de inspección en 2021.

En un principio, la ANPD trabajó para concienciar y educar a los procesadores de datos sobre la importancia de aplicar buenas prácticas en el tratamiento de datos personales, en la búsqueda de la realización del derecho fundamental a la autodeterminación informativa (CE nº 115/22).

El sistema de protección de datos personales entró en vigor cuando la agencia reguladora aplicó las primeras sanciones administrativas.

La primera empresa multada es un proveedor de servicios de telefonía, como telemarketing y autoservicio a través del servicio de mensajería WhatsApp. Al tratarse de una microempresa, el importe por cada infracción se limitó al 2% de su facturación bruta, lo que supone un total de 7.200,00 reales por infracción.

La empresa fue multada por no designar al responsable del tratamiento de datos personales, como exige el art. 41 de la LGPD, y por tratar datos personales sin base legal: la empresa trató datos personales de votantes para una campaña electoral, sin el consentimiento expreso de los interesados, como exige el art. 7, II, de la LGPD.

El Departamento de Salud del Estado de Santa Catarina (SES-SC) fue la segunda empresa pública en recibir sanciones de la ANPD. Se impusieron cuatro sanciones de advertencia por filtrar datos personales.

SES-SC violó el artículo 49 de la Ley General de Protección de Datos Personales (LGPD) al descuidar la seguridad de los sistemas de almacenamiento y tratamiento de datos personales, así como por la falta de claridad, insuficiencia y oportunidad del aviso a los titulares de los datos, lo que se consideró una violación al artículo 48 de la LGPD. Además, la organización no presentó el Informe de Impacto en la Protección de Datos Personales (RIPD) solicitado por la Autoridad.

Cumpre observar que as sanções aplicadas às empresas são atribuídas à ausência de documentos e procedimentos adequados.

Así pues, el cumplimiento contractual y la creación de documentos normalizados, sin la aplicación de prácticas eficaces, no bastan para garantizar el cumplimiento de la legislación y evitar sanciones.

La aplicación de sanciones por parte de la ANPD es un instrumento importante para la protección de datos personales en Brasil. Las empresas deben estar atentas al cumplimiento de la legislación para evitar el riesgo de sufrir sanciones administrativas.

Por: Juliana Bloise

Derecho Civil | Equipo CPDMA