Hoy fue publicada la Resolución CD/ANPD n. 4, aprobada en 24 de Febrero de 2023 (“Reglamento”), disponiendo reglas adicionales acerca de la dosimetría y la aplicación de las sanciones administrativas en los procedimientos administrativos de la Autoridad Nacional de Protección de Datos Personales brasileña (“ANPD” o “Autoridad”). El Reglamento estaba siendo aguardado para traer mayor claridad cuanto a la actividad sancionadora de la Autoridad, especialmente sobre la definición de los criterios y parámetros para la aplicación de las sanciones.
El Reglamento estableció la posibilidad de la adopción de medidas preventivas aparte de aquellas dispuestas en la Resolución CD/ANPD n. 01/2021, con la previsión de que el incumplimiento de estas medidas va a ser un agravante en caso de sanción.
Además, dispone también que va a ser considerado como reincidente el agente que, dentro de 5 años después de la cosa juzgada en que ha sido condenado, no cumpla con un dispositivo de la legislación o la regulación de protección de datos personales. Esa reincidencia puede ser especifica, cuando la infracción esté relacionada al mismo dispositivo legal de la cosa juzgada, o genérica, en los otros casos.
Otra novedad relevante de lo Reglamento es la determinación de que, para la aplicación de las sanciones de prohibición o suspensión de la actividad, cuando el infractor esté en sector regulado, la ANPD informará a la entidad sectorial al respeto de lo procedimiento administrativo, para que se manifieste acerca de las posibles consecuencias de la interrupción de los servicios, especialmente cuando fueren servicios públicos.
Sin embargo, las principales disposiciones de lo Reglamento son sobre la dosimetría de las sanciones, con la creación de una clasificación de acuerdo con la gravedad del daño causado, en los siguientes termos:
(i) Daño Pequeño: todas las infracciones que no sean consideradas como de daño medio o grave;
(ii) Daño Medio: cuando el daño impedir o limitar el ejercicio de derechos o el uso de un servicio, afectando significativamente intereses y derechos fundamentales de los titulares de datos, siempre que no sean considerados como un daño grave; o
(iii) Daño Grave: cuando la infracción, además de cumplir los requerimientos para que sea considerada como de daño medio, también englobe procesamiento de datos personales: (i) en larga escala; (ii) con beneficio económico pretendido o obtenido por el infractor; (iii) con peligro de vida a los titulares; (iv) de datos sensibles, de ancianos o niños y adolescentes; (v) sin al menos una base legal dispuesta en la LGPD; (vi) con discriminación ilícita o abusiva; o (vii) con adopción sistemática de prácticas irregulares. Además, también va a ser considerada grave la infracción que tiene el objetivo de obstruir la fiscalización de la ANPD.
Cuanto a la aplicación de las sanciones, el Reglamento dispone que va a ser emitida una advertencia por la ANPD cuando el daño sea pequeño o medio y no eres una reincidencia específica o cuando sea necesario una medida correctiva. Ya la multa simple va a ser aplicada a infracciones graves, cuando el infractor no tiene atendido las medidas correctivas o preventivas impuestas o cuando la Autoridad creer que el uso de otra sanción es inadecuado.
Con relación a las sanciones pecuniarias, para el calculo de lo valor de la multa simple, el Reglamento estableció una formula matemática, que va a utilizar un valor-base, considerando la naturaleza de la infracción, la facturación de lo infractor en el año anterior y la gravedad de lo daño, así como las circunstancias agravantes o atenuantes. Cabe destacar que, en ciertos casos, la facturación podrá ser determinada pela propia ANPD.
De acuerdo con la norma, van a ser agravantes para el calculo de la multa simple la reincidencia genérica o especifica, así como el incumplimiento de medida de orientación, correctiva o preventiva proferida por la ANPD, con porcentuales específicos para cada uno.
Ya cuanto a las circunstancias atenuantes, podrán ser la cesación de la infracción antes de la primera decisión condenatoria proferida por la Autoridad, la existencia de políticas de gobernanza y buenas prácticas y la implementación de medidas que tengan revertido o reducido los efectos dañosos de la infracción.
Cumple señalar que, caso existan múltiplos factores agravantes, los respectivos porcentuales van a ser sumados. El mismo ocurrirá en la hipótesis de diversos factores atenuantes.
En que se refiere a la multa diaria, el Reglamento dispone que ella va a seguir los mismos criterios que la multa simple, siendo aplicable cuando hay una infracción permanente, obstrucción a la fiscalización o incumplimiento de obligación de curar irregularidad que se esté siendo cometida.
El plazo para pago de las multas, sean ellas diarias o simple, va a ser de20 días laborables, con excepción de los agentes de porte pequeño, conforme la Resolución CD/ANPD n. 02/2022, que van a tener 40 días laborables. Además, la renuncia del derecho de apelar de la decisión de primera instancia va a reducir en 25% el valor de la multa aplicada.
Cuanto a las sanciones no monetarias, el Reglamento dispone detalles adicionales acerca de la publicitación de la infracción, de lo bloqueo o eliminación de los datos personales, de la suspensión parcial de lo funcionamiento de lo banco de datos de lo infractor y de la prohibición parcial o total de la actividad de procesamiento de datos personal en que la infracción ocurrió.
Así, merece destaque la previsión de que tanto la suspensión de lo funcionamiento de lo banco de datos de lo controlador, cuanto la prohibición parcial de la actividad de procesamiento podrán ocurrir por un plazo de hasta 6 meses, renovables una vez por el mismo período. En otro sentido, la prohibición total de la actividad de tratamiento va a ser aplicable en casos en que una de las medidas anteriores ha sido impuesta o el tratamiento ocurre sin base legal, para fines ilícitos o sin condiciones técnicas o operacionales adecuadas.
Nuestro equipo está a disposición para cualquier aclaración adicional, así como para ayudar con los procedimientos de cumplimiento de las obligaciones reglamentarias de la LGPD ante la ANPD.