La importancia del Principio de Responsabilidad y Rendición de Cuentas en los procesos de inspección y sanción de la ANPD con base en la LGPD
por Carolina Teófilo, socio de Peck Abogados.
El 18 de octubre, la Autoridad Nacional de Protección de Datos (ANPD) publicó una sanción aplicada al Departamento de Salud del Estado de Santa Catarina (SESC-SC) por violación a la Ley General de Protección de Datos Personales (LGPD), ya que ocurrió un incidente de seguridad. en los sistemas que resultaron en la disponibilidad de registros personales y datos médicos.
Según el Informe no. 4/2023, el Responsable, a pesar de haber comunicado el incidente a la ANPD, previa solicitud, no hubo presentación de (i) informe técnico sobre el manejo del incidente, (ii) ni prueba de comunicación a los titulares y (iii) tampoco hubo entrega del Informe de Impacto en Protección de Datos Personales (RIPD).
La no presentación de la RIPD resultó en el incumplimiento del artículo 38 de la LGPD. El artículo 48 trata de la obligación del Responsable de comunicar la ocurrencia de incidentes que puedan causar riesgos o daños significativos a los interesados. Si bien hubo comunicación general en la página web del Responsable, incluso después de varias solicitudes de la ANPD y transcurrido un plazo prudencial, no hubo comunicación individualizada a los titulares de los datos afectados.
La última violación estuvo relacionada con el incumplimiento del Art. 49, que determina que los sistemas utilizados en el tratamiento de datos personales deben cumplir requisitos de seguridad, estándares de buenas prácticas y gobernanza, además de los principios generales de la LGPD.
Todos los agentes de procesamiento deben implementar Programas de Gobernanza de la Privacidad que permitan:
- Definición e implementación de un Plan de Respuesta a Incidentes efectivo, con simulaciones;
- Mantenimiento de evidencias en el proceso de atención a los titulares y acciones tomadas ante incidentes;
- Definición de responsables y formas de responder a las solicitudes de la ANPD en caso de incidentes;
- Implementación de controles de seguridad en el desarrollo de sistemas que permitan el mantenimiento de la confidencialidad, integridad y disponibilidad de los datos personales.
Sin embargo, quedó latente en la decisión de la ANPD que el Contralor no pudo demostrar el RIPD, las comunicaciones realizadas y los controles de seguridad implementados en sus sistemas. Por lo tanto, es esencial que los Programas de Gobernanza de la Privacidad puedan cumplir con las principales leyes de protección de datos.
fuente: SocioVentas