La Autoridad Nacional de Protección de Datos (ANPD) aprobó, el 16 de julio de 2024, la Resolución CD/ANPD N° 18, que regula la actuación de los responsables del tratamiento de datos personales. Esta norma complementa lo establecido en la Ley General de Protección de Datos (LGPD), detallando el rol y responsabilidades del responsable y ofreciendo orientación a los agentes del tratamiento.
La LGPD define “responsable” como la persona designada para actuar como canal de comunicación entre el responsable del tratamiento, los interesados y la ANPD. La LGPD establece que entre las actividades a realizar por el responsable se incluyen: aceptar quejas y comunicaciones de los interesados, facilitar aclaraciones y adoptar medidas, recibir comunicaciones de la ANPD y adoptar medidas, orientar a los empleados sobre prácticas de protección de datos personales y realizar otras funciones que determine el agente procesador. Adicionalmente, establece que la ANPD podrá establecer normas complementarias sobre los deberes del responsable, incluidos los supuestos de exención de nombramiento.
La ANPD ya había emitido dos lineamientos sobre el rol del responsable: la Guía Orientadora (de mayo de 2021) y una nota aclaratoria que resolvió dudas puntuales sobre el tema, publicada en marzo de 2023. La Resolución N° 18 trajo importantes complementos y cambios con relación a lineamientos anteriores de la ANPD sobre el tema, entre los que destacan los siguientes:
De interés: Inteligencia artificial: ¿quién será responsable de supervisar las reglas de creación y uso?
El nombramiento del responsable deberá realizarse mediante acto formal, detallando que en este acto se deberán establecer las formas de actuación y actividades a realizar por el responsable, además de ser un documento escrito, fechado y firmado. La ANPD no proporcionó un modelo de nominación estándar, que permita a las organizaciones cierta flexibilidad para seguir sus propias prácticas internas y actos corporativos al nombrar a la persona a cargo. Cuando se solicite, el acta de nombramiento deberá presentarse ante la ANPD.
Como norma general, la identidad y datos de contacto del responsable deberán divulgarse, de forma clara y objetiva, en un lugar destacado y de fácil acceso de la página web de la organización. La identidad del responsable deberá incluir, como mínimo, el nombre completo del responsable. La divulgación de datos de contacto deberá abarcar, como mínimo, datos de los medios que permitan el ejercicio de los derechos de los titulares ante la organización y la recepción de comunicaciones de la ANPD. La exigencia de mayor transparencia es positiva, pero hay que proteger la privacidad del responsable.
- En la resolución se ampliaron las funciones del responsable, incluyendo ahora actividades de asistencia y orientación a la organización en la elaboración de registros, reporte de incidentes de seguridad, informes de impacto, implementación de medidas de seguridad, etc. La resolución innova al establecer que el responsable debe poder comunicarse en portugués, lo que se considera esencial para la eficacia del rol y función del responsable.
No te pierdas: ¿Cómo está dando forma la IA a las agencias de publicidad y a los creadores de contenidos?
- La nueva resolución refuerza los deberes de la organización al proporcionar los medios necesarios para el desempeño de las funciones del responsable y garantizar la autonomía técnica. Esta autonomía asegura la independencia y eficacia del responsable, aunque se espera que la ANPD establezca directrices claras sobre su implementación práctica.
- La resolución aborda el tema del conflicto de intereses, definido como cualquier situación que pueda comprometer, influir o afectar indebidamente la objetividad y criterio técnico del responsable en el desempeño de sus funciones. Se determinó que es responsabilidad de la organización garantizar que el responsable no tenga conflictos en sus actividades.
- La resolución permite al responsable acumular funciones y actuar para más de una organización, siempre que sea posible cumplir plenamente con sus funciones y no exista conflicto de intereses. Esta posibilidad proporciona a las organizaciones más ágiles una mayor flexibilidad, pero requiere una gestión cuidadosa para evitar la sobrecarga de trabajo y los conflictos de intereses.
Propiedad Intelectual: Registrar una marca 3D en Chile; errores comunes y desafíos de la Ley Corta de Propiedad Intelectual
A pesar de las nuevas disposiciones, la ANPD mantuvo entendimientos ya presentes en directrices anteriores, tales como:
- La exigencia de un acto formal para el nombramiento del responsable.
- La posibilidad de que el responsable sea una persona natural o jurídica, interna o externa a la organización.
- El ejercicio de la actividad de supervisor no presupone la inscripción en ninguna entidad ni ninguna certificación o formación profesional específica.
- La organización sigue siendo responsable de asegurar los recursos necesarios para que el responsable pueda desempeñar sus funciones.
- Corresponde a la organización establecer las cualificaciones profesionales necesarias para el desempeño de las funciones del responsable, considerando aspectos tales como conocimiento de la legislación en materia de protección de datos personales, así como el contexto, volumen y riesgo de las operaciones de tratamiento realizadas.
En Brasil: El papel de los estándares celulares (2G-5G) y las patentes en la innovación brasileña
- La responsabilidad del cumplimiento de la LGPD es de la organización, no del responsable.
La nueva resolución representa un avance significativo en la regulación del rol del responsable en Brasil. Las nuevas normas aportan mayor claridad y seguridad jurídica a los agentes encargados del tratamiento y a los responsables, detallando con mayor precisión los procedimientos y responsabilidades.
Sin embargo, su implementación requiere un compromiso serio y diligente por parte de la ANPD, que seguirá desempeñando un papel crucial a la hora de proporcionar orientaciones y ejemplos prácticos para el cumplimiento de las normas, y por parte de las organizaciones, que deberán revisar sus políticas y prácticas de privacidad a la luz de las nuevas disposiciones, para asegurar el cumplimiento y efectividad en la protección de datos personales.
*Socio y abogada de Mattos Filho Advogados.
Add new comment