La entrada en vigor del Reglamento europeo de Protección de Datos va a suponer que las empresas y entidades tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.

Por otro lado, es de esperar que las medianas empresas, entidades y profesionales liberales que están obligados a cumplir con esta normativa, puedan obtener el soporte y las recomendaciones que faciliten los distintos organismos y la Autoridad de Control en la materia.

Y, es necesario dedicar unas reflexiones a la nueva regulación en materia sancionadora prevista en el nuevo texto europeo.

Regulación de las infracciones y sanciones en el RGPD

En su artículo 83 el Reglamento europeo de Protección de Datos parte del establecimiento de las condiciones generales para la imposición de multas de carácter administrativo. El legislador no ha dudado en indicar que estas deben corresponderse, básicamente, con una serie de características en su imposición. Así, las mismas han de ser:

  • Individuales.
  • Efectivas.
  • Proporcionadas
  • Disuasorias.

La responsabilidad de dicha actuación sancionadora, y que la misma se ajuste a estas características señaladas, es evidente que corresponde a cada autoridad de control. La nueva normativa establece una serie de circunstancias concurrentes en el ejercicio de esta función sancionadora, que deben ser tenidas en cuenta por cada regulador, a la hora de establecer la sanción correspondiente a cada caso concreto y determinado, así como con relación al hecho material de fijar de manera pormenorizada la cuantía de multa que se ha imponer.



Graduación de las sanciones

Al valorar la adecuación del nivel de seguridad se tendrán específicamente en cuenta los riesgos que ofrezca el tratamiento de datos, en particular respecto a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Particularmente, se debe considerar:

  1. Cualquier infracción anterior cometida por el responsable o el encargado del tratamiento;
  2. El grado de cooperación con la autoridad de control con el fin de reparar la infracción y minimizar los posibles efectos adversos de la infracción;
  3. Los tipos de datos de carácter personal afectados por la infracción;
  4. La manera en que la autoridad de control se enteró de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  5. En caso de que las medidas establecidas en el artículo 58, apartado 2 del Reglamento Comunitario de Protección de Datos, hayan sido impuestas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
  6. La adhesión a códigos de conducta tal como se prevé en el artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, ambos del citado Reglamento, y, finalmente;
  7. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.


Resumiendo…

Como podemos observar el Reglamento únicamente regula criterios o cuestiones básicas, faltando específicamente dentro de su contenido las cuestiones referentes a la graduación especifica de las sanciones, a la prescripción tanto de las infracciones como de las sanciones, el procedimiento sancionador, la potestad de inmovilización de los ficheros, y todo lo referente a las infracciones de las Administraciones Públicas, lo que nos permite determinar no sólo la vigencia de la Ley Orgánica 15/1.999, de 13 de diciembre, ajustada eso si a los criterios establecidos en el Reglamento Europeo de Protección de Datos, sino que incluso hay espacio para la vigencia de un reglamento de desarrollo de dicha Ley Orgánica, a los efectos de especificar todos aquellos aspectos, que la nueva normativa europea no ha desarrollado. Esta situación supone que la legislación local siga ocupando un importante espacio en el ámbito de la regulación de la protección de datos de carácter personal, y que exista un importante recorte en la finalidad unificadora y de la normativa, en los términos previstos en el propio Reglamento Comunitario.

Finalmente, debe recriminarse en esta materia al legislador europeo que se ha ocupado en establecer sanciones efectivas y disuasorias, y sin embargo, ha hecho escasa o nula referencia al desarrollo de la cultura de protección de datos entre los ciudadanos, y sobre todo entre las pymes, las grandes olvidadas de esta regulación, pero que sin embargo representan un 95% del tejido empresarial.

Infracciones y sanciones en el Reglamento europeo de Protección de Datos
4.6 (91.43%) 7 votos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *