Categoría: Notas
Publicado en 10 Sep 2021
13 minutos
Desde la promulgación de la Ley General de Protección de Datos (LGPD) – las dudas y preocupaciones han aumento en el ámbito empresarial en todo mundo. Este escenario no es menos relevante para las empresas de los sectores de logística y la movilidad urbana, considerando la magnitud de la demanda de procesamiento de datos personales en la rutina de estas actividades. En particular, en el ámbito de la movilidad, la relación de modernización de los servicios de movilidad según las preferencias de los usuarios ha sido cada vez más intensa, tendencia que se sustenta en el concepto de Movilidad como Servicio (MaaS).
En este artículo pretendemos señalar algunas de estas preocupaciones, que son la superposición de órganos de control y la inadecuación de algunas de las sanciones con las actividades que se realizan en el sector. También pretendemos exponer, al final, algunos casos prácticos sobre la aplicación de los preceptos de la LGPD en movilidad urbana, que ya muestran las dificultades que se discutirán en el sector.En Brasil la referida Ley fue publicada en 2018, pero entró en vigor solo en septiembre de 2020, lo cierto es que la LGPD no recibió la debida atención en ese momento. Los datos aportados por consultorías especializadas, indican que solo el 38% de las empresas se consideran preparadas para cumplir con todos los requisitos de la ley[1], y el escenario se ha tornado más turbulento con la entrada en vigor de las sanciones administrativas, desde 01/08/2021, que será supervisada por la ANPD – Autoridad Nacional de Protección de Datos – entidad competente para garantizar la protección de los datos personales en los términos de la legislació
En Brasil la referida Ley fue publicada en 2018, pero entró en vigor solo en septiembre de 2020, lo cierto es que la LGPD no recibió la debida atención en ese momento. Los datos aportados por consultorías especializadas, indican que solo el 38% de las empresas se consideran preparadas para cumplir con todos los requisitos de la ley[1], y el escenario se ha tornado más turbulento con la entrada en vigor de las sanciones administrativas, desde 01/08/2021, que será supervisada por la ANPD – Autoridad Nacional de Protección de Datos – entidad competente para garantizar la protección de los datos personales en los términos de la legislación.
Las sanciones previstas por la LGPD en Brasil son estrictas y van desde una advertencia, con indicación, por parte de la Autoridad Nacional de Protección de Datos (“ANPD”), del plazo para tomar las medidas correctoras, a multa de hasta el 2% de los ingresos de la persona jurídica o su grupo económico, en el año anterior, limitado a R $ 50.000.000,00 por infracción (U$ 10.000.000,00), e incluso la suspensión de las actividades de tratamiento de datos personales y la publicación de la infracción, que tiene el potencial de causar daños reputacionales superiores a la cuantía de la multa establecida por ley.
Si bien que el sistema sancionador resultante de la LGPD solo ha entrado en vigencia ahora, y depende de la aprobación del Reglamento ANPD para la Inspección y Aplicación de Sanciones Administrativas para su efectividad -que probablemente debería tener lugar en las próximas semanas – ya existen numerosos juicios presentado con base en las determinaciones de la legislación, con el potencial de ser considerado responsable por infracciones de la ley. Es de destacar que en estos casos las solicitudes van desde el daño moral por supuestos incidentes de fuga de datos hasta la solicitud de información prevista en el artículo 18 de la Ley, como ejercicio del derecho de los titulares.
Por otro lado, además de las exigencias legales, persiste la cuestión de la superposición de competencias en materia de fiscalización y aplicación de sanciones por incumplimiento de la Ley. Esto es lo que se verifica en los artículos 18 y 45, que evidencian que no existe exclusividad de la ANPD para la sanción,dado que las violaciones de los derechos de los interesados en las relaciones con los consumidores todavía están sujetas a la legislación pertinente y el interesado puede ejercer sus derechos en los organismos de protección del consumidor.
Así, además de la ANPD como agente de inspección, en Brasil también son competentes la Secretaría de Estado de Defensa y Protección al Consumidor (Procon), la Secretaría Nacional del Consumidor (Senacon) y el Ministerio Público para supervisar la relación entre el interesado y los agentes del tratamiento. En los sectores regulados, típicamente el caso de los servicios de transporte, aún puede haber una eventual inspección realizada por la Autoridad Concesionante y/o por la agencia reguladora sectorial (como ANTT o ARTESP).
En resumen, hay muchos jefes para una vasta tribu, que todavía está luchando por cumplir con los términos de la legislación. Lo que no se niega es que esta pluralidad de órganos de control proporciona en cierta medida una inseguridad, alimentada por la necesidad de que las empresas se adapten a los estándares normativos y la adopción de complianceaún más estricto, que ahora engloba todas las actividades relacionadas con el tratamiento de datos personales. Y en el transporte público no es diferente, considerando, como se mencionó al principio, la dimensión de los datos personales vinculados a la prestación de servicios.
Una segunda preocupación que ha ido ganando eco en el sector se refiere a la incompatibilidad de algunas de las sanciones administrativas con la propia naturaleza de los servicios. Este es el caso, por ejemplo, de la implementación y gestión de sistemas de prepago o billetaje electrónica, actividad que requiere datos específicos del usuario, desde los más simples (como nombre, registro general, dirección) hasta datos más complejos (ya que involucra alguna tarifa beneficio, o registro de una deficiencia física). Y las actividades de tratamiento de datos personales y sensibles que lleva a cabo el sector empresarial surgen como una obligación legal o contractual y son imprescindibles para la prestación del servicio público.
De ahí que surjan cuestiones triviales de compatibilidad de sanciones previstas en la LGPD, como la que determina la suspensión de las actividades de tratamiento o el funcionamiento de la base de datos, la supresión de datos, o incluso, en los casos más graves, la parcial o prohibición total del ejercicio de actividades de tratamiento. Por supuesto, las sanciones de esta naturaleza deben conciliarse con el régimen legal en el que se insertan las actividades de transporte público, bajo pena de solución para la continuidad de la propia operación de transporte. De este aspecto surge la relevancia de que las entidades representativas asuman el liderazgo en proponer medidas regulatorias adecuadas al sector representado, tal y como lo autoriza la propia LGPD (art. 50, §3), solución que también ha ido ganando terreno en la movilidad urbana.
Destaca el GEAPRODAM – Grupo de Estudio y Soporte para la Protección de Datos en Movilidad, que coordina Cordeiro, Lima e Advogados, junto a UITP Latín América, cuyo objetivo es estudiar los impactos de la legislación nacional e internacional en materia de protección de datos y su aplicación en el sector de la movilidad urbana. Se proponen reuniones mensuales para discutir temas legales y regulatorios, que priorizan el entendimiento de los arreglos de gobernanza existentes para la protección de los datos generados en el sector, especificados para la elaboración de un Manual de Buenas Prácticas y Gobernanza para la Protección de Datos en Movilidad.
Colocadas las dos inquietudes iniciales, la superposición de competencias y la inadecuación de las sanciones en relación con algunas actividades realizadas en el sector, aún cabe destacar algunos casos prácticos vinculados al sector, que hoy ya materializan aspectos que conviene tener en cuenta a la hora de implementar un programa de cumplimiento de la LGPD adecuado para los operadores de transporte.
En Brasil, poco menos de 1 año después de la vigencia de la LGPD, se han identificado al menos 600 decisiones que involucran el tema[2], tanto en el área civil como laboral, además de ampliar la discusión al área tributaria para el cálculo del créditos de PIS y Cofins sobre gastos de implementación y mantenimiento de programas[3].
Por esta razón, las empresas de transporte necesitan evaluar el aliñamiento de sus rutinas con los requisitos de la ley, como la inclusión de datos de usuarios, tratamiento, estudio y conferencia de datos biométricos y compartir con el Poder Público, así como un medio para reforzar sus habilidades, reformar la cultura corporativa para adecuarla al nuevo modelo de protección de datos. Es fundamental analizar en profundidad los requisitos y necesidades para el uso de todos los datos a los que se accede desde el servicio prestado, la forma en que se almacenan estos datos y especialmente el intercambio de esta información.
Para que la empresa cumpla con la LGPD, es muy importante evaluar y revisar los estándares de seguridad de la información y protección de datos de la empresa, además de buscar los requisitos de seguridad necesarios para asegurar la confidencialidad de los datos de la empresa, ayudando en el almacenamiento seguro de la información. A pesar de que las sanciones tienen una vigencia breve, como se destaca, no se pueden dejar de considerar los precedentes vinculados a la fiscalización de los nuevos derechos y garantías otorgados a los interesados, y los deberes impuestos a los operadores. En este sentido, el Poder Judicial ha aplicado la norma exigiendo el cumplimiento de sus obligaciones, imponiendo a menudo multas a las empresas infractoras.
Como ejemplo, la multa impuesta a ViaQuatro, la concesionaria de la línea 4 – Amarilla del Metro de São Paulo, fue sentenciada recientemente (mayo / 2021). La decisión insurgió contra el sistema de reconocimiento facial implementado en 2018 para recolectar registros biométricos de pasajeros, sin consentimiento previo. La multa, de R $ 100.000,00 (cien mil reales) fue aplicada por la jueza Patrícia Martins Conceição, del 37º Juzgado Civil del Foro Centra del Distrito de São Paulo – Tribunal de Justicia del Estado de São Paulo. En la decisión, el magistrado señaló que ViaQuatro debería haber solicitado el consentimiento previo de los pasajeros para obtener sus datos biométricos. En un comunicado del Ministerio Público, este último consideró que al otorgar alivio urgente con el fin de determinar que el imputado cesaría la captura de datos por cámaras instaladas junto al sistema de puerta digital, bajo pena de multa diaria, hasta que se compruebe el empleo de información previa y adecuada al consumidor, así como obtener el consentimiento expreso de cada usuario que pudiera ser objeto de captura de imagen[4].
En este caso, la Concesionaria de la Línea 4, el IDEC (Instituto Brasileño de Defensa del Consumidor) y la Defensoría Pública del Estado de São Paulo recurrieron ante la Corte de Justicia.
También es necesario señalar que hace más de un año, cuando aún no estaban vigentes las sanciones, un estudiante presentó acción[5]en juicio contra el Sindicato de Empresas de Transporte de Pasajeros del Estado de Pernambuco y el Consorcio de Transporte del Metropolitano de la Región de Recife, para cuestionar sobre el uso e implementación de biometría facial en autobuses de la Región Metropolitana de Recife.
Los casos solo ilustran dos entre innumerables frentes que seguramente enfrentará el operador de transporte en los próximos días, especialmente con el inicio del sistema sancionador de la LGPD. Por esto, es urgente e imprescindible que el sector empresarial busque conocimiento sobre el tema, ya que el asesoramiento legal es una inversión necesaria para aclarar cualquier duda que pueda surgir y ayudar a adecuar la empresa al cumplimiento de la Ley General de Protección de Datos.
La directora de la ANPD, Miriam Wimmer, ha aclarado que el carácter de la autoridad no debe ser primordialmente sancionador[6], es necesario el compromiso de todos los agentes de tratamiento para seguir desarrollando una cultura protectora hacia sus actividades. La Protección de Datos es ya un diferencial clasificatorio y la competencia será cada vez más feroz. Y en el transporte, un sector que ya vive una de las mayores crisis por la pandemia, se tardaren más en conocer y aplicar el tema, podrán pagar un precio muy elevado.
[1] Disponível em <https://www2.deloitte.com/br/pt/footerlinks/pressreleasespage/agenda-2021.html>. Acesso em 15 de julho de 2021.
[2] Justiça já tem 600 decisões envolvendo lei de proteção de dados. Disponível em https://www1.folha.uol.com.br/mercado/2021/07/justica-ja-tem-600-decisoes-envolvendo-lei-de-protecao-de-dados.shtml. Acesso em 14 de julho de 2021.
[3] TNG pode apurar créditos de PIS/Cofins sobre gastos com proteção de dados. Disponível em https://www.conjur.com.br/2021-jul-14/tng-apurar-creditos-piscofins-gastos-protecao-dados. Acesso em 14 de julho de 2021.
[4]No caso, a Concessionaria da Linha 4, o IDEC (Instituto Brasileiro de Defesa do Consumidor) e a Defensoria Pública do Estado de São Paulo recorreram ao Tribunal de Justiça. O feito tramita sob o nº 1090663-42.2018.8.26.0100.
[5] Processo nº 0060336-35.2020.8.17.2001, em trâmite na Seção B da 18ª Vara Cível da Capital de Recife.
[6]Disponível em <https://www.jota.info/casa-jota/multas-lgpd-adaptacao-empresas-02082021>. Acesso em 12 de agosto de 2021.
Suen Ribeiro Chamat, Coordinadora del área de Derecho Civil de Cordeiro,
Lima e Advogados, postgrado en Derecho Civil y Derecho del Consumidor por la Escola Paulista de Direito – EPD. Licenciada en Derecho por la Universidad de Guarulhos. Especialista en Responsabilidad Civil con énfasis en litigios relacionados con el transporte de pasajeros por vía terrestre.
Caio Figueiroa, coordinador del área de Infraestructuras y Nuevos Negocios de Cordeiro,Lima e Advogados, Magíster en Derecho Público y Especialista en Derecho Administrativo de la Facultad de Derecho de la Fundación Getúlio Vargas de São Paulo (EDSP-FGV).
Categoría: Notas
Categoría: Notas