La entrada en vigor del Reglamento europeo de Protección de Datos a supuesto a si vez a nueva regulación en materia de sanciones prevista en el nuevo texto europeo. Empresas y entidades deben revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.
Por otro lado, las medianas empresas, entidades y profesionales liberales que están obligados a cumplir con esta normativa, pueden obtener el soporte y las recomendaciones que faciliten los distintos organismos y la Autoridad de Control en la materia.

Regulación de las infracciones y sanciones en el RGPD

En su artículo 83, el RGPD parte del establecimiento de las condiciones generales para la imposición de multas de carácter administrativo. El legislador no ha dudado en indicar que estas deben corresponderse, básicamente, con una serie de características en su imposición.
Así, las mismas han de ser:

  • Individuales.
  • Efectivas.
  • Proporcionadas
  • Disuasorias.

La responsabilidad de dicha actuación sancionadora, y que la misma se ajuste a estas características señaladas, es evidente que corresponde a cada autoridad de control.
La nueva normativa establece una serie de circunstancias concurrentes en el ejercicio de esta función sancionadora, que deben ser tenidas en cuenta por cada regulador, a la hora de establecer la sanción correspondiente a cada caso concreto y determinado, así como con relación al hecho material de fijar de manera pormenorizada la cuantía de multa que se ha imponer.

Estas circunstancias agravatorias o reductoras de la responsabilidad administrativa del infractor son las que se citan a continuación:

  1. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta el alcance o finalidad de la operación de tratamiento de que se trate así como la cantidad de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
  2. La intencionalidad o negligencia en la infracción.
  3. Cualquier medida adoptada por el responsable o encargado del tratamiento para disminuir los daños y perjuicios ocasionados a los interesados.
  4. El grado de responsabilidad del responsable o del encargado del tratamiento, según las medidas técnicas u organizativas que hayan aplicado.

En estos preceptos se regula la protección de datos desde el diseño, y por defecto, lo que implica que para la realización de un tratamiento que pueda considerarse conforme a derecho se deben tener en cuenta aspectos como:

  • estado de la técnica,
  • coste de la aplicación,
  • naturaleza, ámbito, entorno y finalidad del tratamiento,
  • riesgos de distinta probabilidad y gravedad que ocasiona el tratamiento para los derechos y libertades de las personas físicas, y
  • obligación del responsable del tratamiento de implantar, tanto en el momento de establecer los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas adecuadas, concebidas para aplicar de forma efectiva los principios de protección de datos, como la anonimización de datos. E incorporar las garantías necesarias en el tratamiento, para satisfacer los requisitos del presente Reglamento y proteger los derechos de los interesados.

Asimismo, esto implica, la obligación del responsable del tratamiento de emplear las medidas técnicas y organizativas apropiadas con el fin de garantizar que, por defecto, solo sean objeto de tratamiento los datos personales imprescindibles para cada uno de los fines específicos del tratamiento. Esta obligación debe aplicarse a:

  • cantidad de datos personales recogidos,
  • amplitud de su tratamiento,
  • periodo de conservación y
  • accesibilidad.

Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • La anonimización y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de instaurar la disponibilidad y el acceso a los datos personales de manera rápida en caso de incidente físico o técnico.
  • El procedimiento de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Graduación de las sanciones

Al valorar la adecuación del nivel de seguridad se tendrán específicamente en cuenta los riesgos que ofrezca el tratamiento de datos, en particular respecto a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Particularmente, se debe considerar:

  1. Cualquier infracción anterior cometida por el responsable o el encargado del tratamiento.
  2. El grado de cooperación con la autoridad de control con el fin de reparar la infracción y minimizar los posibles efectos adversos de la infracción.
  3. Los tipos de datos de carácter personal afectados por la infracción.
  4. La manera en que la autoridad de control se enteró de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
  5. En caso de que las medidas establecidas en el artículo 58.2 del RGPD hayan sido impuestas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas.
  6. La adhesión a códigos de conducta tal como se prevé en el artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, ambos del citado Reglamento.
  7. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Apercibimiento

Como novedad, el RGPD permite la sustitución de la sanción económica por el apercibimiento al infractor, exigiéndole la adopción de las medidas correctoras necesarias.

Pero esta opción es una medida excepcional que la AEPD puede decidir aplicar o no, según los hechos constitutivos de infracción.

En caso de apercibimiento, corresponde al responsable o encargado del tratamiento que haya sido apercibido demostrar que ha aplicado las medidas correctoras que se le han indicado. Si no se demuestra el cumplimiento de esas medidas se abrirá un procedimiento sancionador a través del cual puede imponerse una sanción por infracción muy grave.

La AEPD ha utilizado el apercibimiento en lugar de la sanción económica en numerosas ocasiones.

como ejemplos, podemos destacar:

  • Por instalar un sistema de videovigilancia en las zonas comunes de la empresa sin informar a los afectados.
  • Por informar a los clientes de la creación de la página web de la empresa enviándoles un correo electrónico sin copia oculta (de manera que todos los destinatarios podían ver las direcciones de los demás).

Sin embargo, se ha impuesto una multa, denegando el apercibimiento en los siguientes supuestos:

  • Abandono de documentos en la vía pública.
  • Envío de comunicaciones comerciales por e-mail o SMS sin el consentimiento previo y expreso de los destinatarios (salvo que éstos sean clientes de la empresa).
  • Envío de correos electrónicos a varios destinatarios sin copia oculta en caso de datos especialmente protegidos.
  • Difusión en una red social del parte de baja médica de una empleada.
  • Publicidad en Internet de datos médicos por parte de una clínica.
  • Difusión en Internet por parte de la empresa del currículum de un trabajador.

Reclamación judicial de daños y perjuicios

En el RGPD se establece también el derecho de todos los afectados por una infracción del mismo que hayan sufrido daños y perjuicios a reclamar una indemnización ante los tribunales al infractor. Esto aparte de denunciar los hechos ante la AEPD.

Las sanciones administrativas se deben aplicar, según las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j), y que se refieren respectivamente a:

  • Castigar a todo responsable o encargado del tratamiento con una advertencia cuando los procedimientos de tratamiento previstos puedan infringir lo dispuesto en el presente Reglamento.
  • Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida, o exigir al organismo de certificación que no otorgue una certificación si no se cumplen o dejan de cumplirse los requisitos exigidos para la certificación.
  • Ordenar la interrupción de las transferencias de datos hacia un destinatario que se encuentre en un tercer país o hacia una organización internacional.

En dicho Reglamento se establece, además, una regla específica que define el resultado final de la sanción a imponer, y que indica a tal efecto, que si un responsable o un encargado del tratamiento incumpliera de manera intencionada o negligente, para los mismos procedimientos de tratamiento u operaciones vinculadas, varios preceptos del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

En cuanto a la cuantía de las multas a imponer, estas están reguladas en los apartados 4º y 5º del artículo 83 del Reglamento, donde se establece lo siguiente:

Las infracciones de las disposiciones siguientes se sancionarán, según el apartado 2, con multas administrativas de 10 millones de euros como máximo o, en caso de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía:

  1. Las obligaciones del responsable y del encargado en función de los artículos 8 (condiciones exigidas al consentimiento de menores en relación con los servicios de la sociedad de la información), articulo 11 (tratamiento que no requiere identificación); artículos 25 a 39 (protección de datos desde el diseño y por defecto, corresponsables del tratamiento, representantes de responsables o encargados del tratamiento no ubicados en la UE, encargado de tratamiento, tratamiento bajo la autoridad del responsable o encargado del tratamiento, inscripción de actividades de tratamiento; colaboración con la autoridad de control, seguridad del tratamiento, notificación de un incidente en la seguridad de los datos personales a un organismo de control, comunicación de un incidente de la seguridad de los datos personales al interesado, evaluación de impacto relativa a la protección de datos, consulta preliminar, delegado de protección de datos o DPO, la postura y funciones del DPO; certificación y organismo de certificación).
  2. Las obligaciones de las autoridades de certificación según los artículos 42 y 43 (certificación y organismo de certificación).
  3. Las obligaciones del organismo de control (supervisión de códigos de conducta aprobados).

Las infracciones de las normas siguientes se sancionarán, según el apartado 2, con multas administrativas de 20 millones de euros como máximo o, si es una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía:

  • Los principios básicos para el tratamiento, incluidos los requisitos para el consentimiento (principios relativos al tratamiento, licitud del mismo, condiciones para el consentimiento, y el tratamiento en las categorías especiales de datos personales).
  • Los derechos de los afectados (transparencia y modalidades, información y acceso a datos personales, derecho de rectificación y supresión, derecho de oposición y decisiones individuales automatizadas).
  • Las transferencias de datos personales a un destinatario situado en un tercer país o una organización internacional (principio general de transferencias, transferencias basadas en una decisión de adaptación, transferencias utilizando garantías adecuadas, normas corporativas obligatorias, transferencias o comunicaciones no autorizadas por el derecho de la unión, y las excepciones para situaciones específicas).

Resumiendo…

Como podemos observar el Reglamento únicamente regula criterios o cuestiones básicas, faltando específicamente dentro de su contenido las cuestiones referentes a la graduación especifica de las sanciones, a la prescripción tanto de las infracciones como de las sanciones, el procedimiento sancionador, la potestad de inmovilización de los ficheros, y todo lo referente a las infracciones de las Administraciones Públicas.
Todo esto ha sido desarrollado en España en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) a los efectos de especificar todos aquellos aspectos, que la nueva normativa europea no ha desarrollado.
Antes de la aprobación de la LOPDGDD se regula el procedimiento sancionador en nuestro país en materia de Protección de datos. Así, en julio se aprobó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. En él se regulan tanto la inspección en el ámbito de la protección de datos como el régimen sancionador aplicable.
Esta situación supone que la legislación local siga ocupando un importante espacio en el ámbito de la regulación de la protección de datos de carácter personal, y que exista un importante recorte en la finalidad unificadora y de la normativa, en los términos previstos en el propio Reglamento Comunitario.
Finalmente, debe recriminarse en esta materia al legislador europeo que se ha ocupado en establecer sanciones efectivas y disuasorias, y sin embargo, ha hecho escasa o nula referencia al desarrollo de la cultura de protección de datos entre los ciudadanos, y sobre todo entre las pymes, las grandes olvidadas de esta regulación, pero que sin embargo representan un 95% del tejido empresarial.

Evita sanciones y cumple la LOPD

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola buenas tardes tengo una gran duda que no entiendo y necesito ayuda hace 6 meses M saco un coche, el mes pasado mi perrita que lleva 15 años comiendo se M pone mala y tengo q operarla (cáncer) y dolorosamente tengo que tocar 60 e del ingreso d la letra del coche M pongo en contacto con el banco y le informo d la sucedido y que el próximo mes M pongo al corriente con el recargo, bueno una ves pasado esto M presionan con amenazas y demás etc,,,,
    Bueno m ponen unos días para pagarlo les digo q no tengo como y M dicen q M van a reclamar la deuda entera….
    Ayer M llama mi hermana y M comunica que llame a dicho banco que es urgente, unas vez M pongo en contacto con ellos ellos mismo M dicen que han llamado a mi trabajo para preguntar si estoy trabajando o no.
    NECSITO saber si es legal que llaman a un familiar mio o a mi trabajo sin yo fsdilitar dichos teléfonos muchísimas grasias

    1. Buenas tardes Jose Manuel, esas empresas no deberían llamar a terceros que no tienen nada que ver con la deuda sin su consentimiento. Es una infracción del RGPD y esas personas a las que han llamado podrían denunciar ante la AEPD.

    2. Hola, buenos dias, puedo denunciar a un restaurante de Egipto por usar mi nombre y mis imagenes sin consentimiento. Yo trabaje para ellos en 3 ocasiones como asesor gastronomico para abrir ese restaurante, pero nunca firmamos nada, ni contrato de trabajo, ni consentimiento para usar mi nombre ni mi imagen.
      Saludos, gracias

      1. Buenas tardes Raúl, sí podrías denunciar por uso de tus datos personales sin consentimiento pero desconozco la normativa existente en Egipto. No obstante, te recomiendo que lo consultes en la AEPD.

  2. Hola. Te consulto si tengo derecho a reclamar dado que un partido político utilizó un pequeño fragmento en el que aparece mi hija menor de edad para su campaña publicitaria por las redes sociales??