Infracciones y sanciones en el Reglamento europeo de Protección de Datos

1803
sanciones reglamento europeo proteccion de datos

La entrada en vigor del Reglamento europeo de Protección de Datos va a suponer que las empresas y entidades tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.

Por otro lado, es de esperar que las medianas empresas, entidades y profesionales liberales que están obligados a cumplir con esta normativa, puedan obtener el soporte y las recomendaciones que faciliten los distintos organismos y la Autoridad de Control en la materia.

Y, es necesario dedicar unas reflexiones a la nueva regulación en materia sancionadora prevista en el nuevo texto europeo.

Regulación de las infracciones y sanciones en el RGPD

En su artículo 83 el Reglamento europeo de Protección de Datos parte del establecimiento de las condiciones generales para la imposición de multas de carácter administrativo. El legislador no ha dudado en indicar que estas deben corresponderse, básicamente, con una serie de características en su imposición. Así, las mismas han de ser:

  • Individuales.
  • Efectivas.
  • Proporcionadas
  • Disuasorias.

La responsabilidad de dicha actuación sancionadora, y que la misma se ajuste a estas características señaladas, es evidente que corresponde a cada autoridad de control. La nueva normativa establece una serie de circunstancias concurrentes en el ejercicio de esta función sancionadora, que deben ser tenidas en cuenta por cada regulador, a la hora de establecer la sanción correspondiente a cada caso concreto y determinado, así como con relación al hecho material de fijar de manera pormenorizada la cuantía de multa que se ha imponer.

Agravantes de las infracciones

Estas circunstancias agravatorias o limitativas de la responsabilidad administrativa del infractor son las que se citan a continuación:

  1. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta el alcance o finalidad de la operación de tratamiento de que se trate así como la cantidad de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
  2. La intencionalidad o negligencia en la infracción;
  3. Cualquier medida adoptada por el responsable o encargado del tratamiento para disminuir los daños y perjuicios ocasionados a los interesados;
  4. El grado de responsabilidad del responsable o del encargado del tratamiento, según las medidas técnicas u organizativas que hayan aplicado.
  5. En estos preceptos se regula la protección de datos desde el diseño, y por defecto, lo que implica que para la realización de un tratamiento que pueda considerarse conforme a derecho se deben tener en cuenta aspectos como: el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, entorno y finalidad del tratamiento, los riesgos de distinta probabilidad y gravedad que ocasiona el tratamiento para los derechos y libertades de las personas físicas, y la obligación del responsable del tratamiento de implantar, tanto en el momento de establecer los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas adecuadas, concebidas para aplicar de forma efectiva los principios de protección de datos, como la anonimización de datos, e incorporar las garantías necesarias en el tratamiento, para satisfacer los requisitos del presente Reglamento y proteger los derechos de los interesados. Asimismo, esto implica, la obligación del responsable del tratamiento de emplear las medidas técnicas y organizativas apropiadas con el fin de garantizar que, por defecto, solo sean objeto de tratamiento los datos personales imprescindibles para cada uno de los fines específicos del tratamiento. Esta obligación debe aplicarse a la cantidad de datos personales recogidos, a la amplitud de su tratamiento, a su periodo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

Obligaciones del responsable del fichero

El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • La anonimización y el cifrado de datos personales;
  • La capacidad de garantizar la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios de tratamiento;
  • La capacidad de instaurar la disponibilidad y el acceso a los datos personales de manera rápida en caso de incidente físico o técnico;
  • El procedimiento de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Graduación de las sanciones

Al valorar la adecuación del nivel de seguridad se tendrán específicamente en cuenta los riesgos que ofrezca el tratamiento de datos, en particular respecto a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Particularmente, se debe considerar:

  1. Cualquier infracción anterior cometida por el responsable o el encargado del tratamiento;
  2. El grado de cooperación con la autoridad de control con el fin de reparar la infracción y minimizar los posibles efectos adversos de la infracción;
  3. Los tipos de datos de carácter personal afectados por la infracción;
  4. La manera en que la autoridad de control se enteró de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  5. En caso de que las medidas establecidas en el artículo 58, apartado 2 del Reglamento Comunitario de Protección de Datos, hayan sido impuestas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
  6. La adhesión a códigos de conducta tal como se prevé en el artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, ambos del citado Reglamento, y, finalmente;
  7. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Casos destacados a sancionar

Las sanciones administrativas se deben aplicar, según las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j), y que se refieren respectivamente a:

  • Castigar a todo responsable o encargado del tratamiento con una advertencia cuando los procedimientos de tratamiento previstos puedan infringir lo dispuesto en el presente Reglamento;
  • Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida, o exigir al organismo de certificación que no otorgue una certificación si no se cumplen o dejan de cumplirse los requisitos exigidos para la certificación; y
  • Ordenar la interrupción de las transferencias de datos hacia un destinatario que se encuentre en un tercer país o hacia una organización internacional.

En dicho Reglamento se establece, además, una regla específica que define el resultado final de la sanción a imponer, y que indica a tal efecto, que si un responsable o un encargado del tratamiento incumpliera de manera intencionada o negligente, para los mismos procedimientos de tratamiento u operaciones vinculadas, varios preceptos del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

Cuantía de las sanciones

En cuanto a la cuantía de las multas a imponer, estas están reguladas en los apartados 4º y 5º del artículo 83 del Reglamento, donde se establece lo siguiente:

Las infracciones de las disposiciones siguientes se sancionarán, según el apartado 2, con multas administrativas de 10.000.000€ como máximo o, en caso de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía:

  1. Las obligaciones del responsable y del encargado en función de los artículos 8 (condiciones exigidas al consentimiento de menores en relación con los servicios de la sociedad de la información), articulo 11 (tratamiento que no requiere identificación); artículos 25 a 39 (protección de datos desde el diseño y por defecto, corresponsables del tratamiento, representantes de responsables o encargados del tratamiento no ubicados en la UE, encargado de tratamiento, tratamiento bajo la autoridad del responsable o encargado del tratamiento, inscripción de actividades de tratamiento; colaboración con la autoridad de control, seguridad del tratamiento, notificación de un incidente en la seguridad de los datos personales a un organismo de control, comunicación de un incidente de la seguridad de los datos personales al interesado, evaluación de impacto relativa a la protección de datos, consulta preliminar, delegado de protección de datos o DPO, la postura y funciones del DPO; certificación y organismo de certificación).
  2. Las obligaciones de las autoridades de certificación según los artículos 42 y 43 (certificación y organismo de certificación).
  3. Las obligaciones del organismo de control (supervisión de códigos de conducta aprobados).

Las infracciones de las normas siguientes se sancionarán, según el apartado 2, con multas administrativas de 20 000 000 € como máximo o, si es una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía:

  • Los principios básicos para el tratamiento, incluidos los requisitos para el consentimiento (principios relativos al tratamiento, licitud del mismo, condiciones para el consentimiento, y el tratamiento en las categorías especiales de datos personales).;
  • Los derechos de los afectados (transparencia y modalidades, información y acceso a datos personales, derecho de rectificación y supresión, derecho de oposición y decisiones individuales automatizadas);
  • Las transferencias de datos personales a un destinatario situado en un tercer país o una organización internacional (principio general de transferencias, transferencias basadas en una decisión de adaptación, transferencias utilizando garantías adecuadas, normas corporativas obligatorias, transferencias o comunicaciones no autorizadas por el derecho de la unión, y las excepciones para situaciones específicas).

Resumiendo…

Como podemos observar el Reglamento únicamente regula criterios o cuestiones básicas, faltando específicamente dentro de su contenido las cuestiones referentes a la graduación especifica de las sanciones, a la prescripción tanto de las infracciones como de las sanciones, el procedimiento sancionador, la potestad de inmovilización de los ficheros, y todo lo referente a las infracciones de las Administraciones Públicas, lo que nos permite determinar no sólo la vigencia de la Ley Orgánica 15/1.999, de 13 de diciembre, ajustada eso si a los criterios establecidos en el Reglamento Europeo de Protección de Datos, sino que incluso hay espacio para la vigencia de un reglamento de desarrollo de dicha Ley Orgánica, a los efectos de especificar todos aquellos aspectos, que la nueva normativa europea no ha desarrollado. Esta situación supone que la legislación local siga ocupando un importante espacio en el ámbito de la regulación de la protección de datos de carácter personal, y que exista un importante recorte en la finalidad unificadora y de la normativa, en los términos previstos en el propio Reglamento Comunitario.

Finalmente, debe recriminarse en esta materia al legislador europeo que se ha ocupado en establecer sanciones efectivas y disuasorias, y sin embargo, ha hecho escasa o nula referencia al desarrollo de la cultura de protección de datos entre los ciudadanos, y sobre todo entre las pymes, las grandes olvidadas de esta regulación, pero que sin embargo representan un 95% del tejido empresarial.

Infracciones y sanciones en el Reglamento europeo de Protección de Datos
4.5 (90%) 6 votos

Dejar respuesta