La entrada en vigor del Reglamento europeo de Protección de Datos ha supuesto que las empresas y entidades tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.

Por otro lado, las medianas empresas, entidades y profesionales liberales que están obligados a cumplir con esta normativa, pueden obtener el soporte y las recomendaciones que faciliten los distintos organismos y la Autoridad de Control en la materia.

Y, es necesario dedicar unas reflexiones a la nueva regulación en materia sancionadora prevista en el nuevo texto europeo.

Regulación de las infracciones y sanciones en el RGPD

En su artículo 83, el RGPD parte del establecimiento de las condiciones generales para la imposición de multas de carácter administrativo. El legislador no ha dudado en indicar que estas deben corresponderse, básicamente, con una serie de características en su imposición.

Así, las mismas han de ser:

  • Individuales.
  • Efectivas.
  • Proporcionadas
  • Disuasorias.

La responsabilidad de dicha actuación sancionadora, y que la misma se ajuste a estas características señaladas, es evidente que corresponde a cada autoridad de control.

La nueva normativa establece una serie de circunstancias concurrentes en el ejercicio de esta función sancionadora, que deben ser tenidas en cuenta por cada regulador, a la hora de establecer la sanción correspondiente a cada caso concreto y determinado, así como con relación al hecho material de fijar de manera pormenorizada la cuantía de multa que se ha imponer.

Graduación de las sanciones

Al valorar la adecuación del nivel de seguridad se tendrán específicamente en cuenta los riesgos que ofrezca el tratamiento de datos, en particular respecto a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Particularmente, se debe considerar:

  1. Cualquier infracción anterior cometida por el responsable o el encargado del tratamiento.
  2. El grado de cooperación con la autoridad de control con el fin de reparar la infracción y minimizar los posibles efectos adversos de la infracción.
  3. Los tipos de datos de carácter personal afectados por la infracción.
  4. La manera en que la autoridad de control se enteró de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
  5. En caso de que las medidas establecidas en el artículo 58.2 del RGPD hayan sido impuestas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas.
  6. La adhesión a códigos de conducta tal como se prevé en el artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, ambos del citado Reglamento.
  7. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Apercibimiento

Como novedad, el RGPD permite la sustitución de la sanción económica por el apercibimiento al infractor, exigiéndole la adopción de las medidas correctoras necesarias.

Pero esta opción es una medida excepcional que la AEPD puede decidir aplicar o no, según los hechos constitutivos de infracción.

En caso de apercibimiento, corresponde al responsable o encargado del tratamiento que haya sido apercibido demostrar que ha aplicado las medidas correctoras que se le han indicado. Si no se demuestra el cumplimiento de esas medidas se abrirá un procedimiento sancionador a través del cual puede imponerse una sanción por infracción muy grave.

La AEPD ha utilizado el apercibimiento en lugar de la sanción económica en numerosas ocasiones.

como ejemplos, podemos destacar:

  • Por instalar un sistema de videovigilancia en las zonas comunes de la empresa sin informar a los afectados.
  • Por informar a los clientes de la creación de la página web de la empresa enviándoles un correo electrónico sin copia oculta (de manera que todos los destinatarios podían ver las direcciones de los demás).

Sin embargo, se ha impuesto una multa, denegando el apercibimiento en los siguientes supuestos:

  • Abandono de documentos en la vía pública.
  • Envío de comunicaciones comerciales por e-mail o SMS sin el consentimiento previo y expreso de los destinatarios (salvo que éstos sean clientes de la empresa).
  • Envío de correos electrónicos a varios destinatarios sin copia oculta en caso de datos especialmente protegidos.
  • Difusión en una red social del parte de baja médica de una empleada.
  • Publicidad en Internet de datos médicos por parte de una clínica.
  • Difusión en Internet por parte de la empresa del currículum de un trabajador.

Reclamación judicial de daños y perjuicios

En el RGPD se establece también el derecho de todos los afectados por una infracción del mismo que hayan sufrido daños y perjuicios a reclamar una indemnización ante los tribunales al infractor. Esto aparte de denunciar los hechos ante la AEPD.

Resumiendo…

Como podemos observar el Reglamento únicamente regula criterios o cuestiones básicas, faltando específicamente dentro de su contenido las cuestiones referentes a la graduación especifica de las sanciones, a la prescripción tanto de las infracciones como de las sanciones, el procedimiento sancionador, la potestad de inmovilización de los ficheros, y todo lo referente a las infracciones de las Administraciones Públicas.

Todo esto ha sido desarrollado en España en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) a los efectos de especificar todos aquellos aspectos, que la nueva normativa europea no ha desarrollado.

Antes de la aprobación de la LOPDGDD se regula el procedimiento sancionador en nuestro país en materia de Protección de datos. Así, en julio se aprobó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. En él se regulan tanto la inspección en el ámbito de la protección de datos como el régimen sancionador aplicable.

Esta situación supone que la legislación local siga ocupando un importante espacio en el ámbito de la regulación de la protección de datos de carácter personal, y que exista un importante recorte en la finalidad unificadora y de la normativa, en los términos previstos en el propio Reglamento Comunitario.

Finalmente, debe recriminarse en esta materia al legislador europeo que se ha ocupado en establecer sanciones efectivas y disuasorias, y sin embargo, ha hecho escasa o nula referencia al desarrollo de la cultura de protección de datos entre los ciudadanos, y sobre todo entre las pymes, las grandes olvidadas de esta regulación, pero que sin embargo representan un 95% del tejido empresarial.

Evita sanciones y cumple la LOPD

Infracciones y sanciones en el Reglamento europeo de Protección de Datos
4.6 (91.25%) 16 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola buenas tardes tengo una gran duda que no entiendo y necesito ayuda hace 6 meses M saco un coche, el mes pasado mi perrita que lleva 15 años comiendo se M pone mala y tengo q operarla (cáncer) y dolorosamente tengo que tocar 60 e del ingreso d la letra del coche M pongo en contacto con el banco y le informo d la sucedido y que el próximo mes M pongo al corriente con el recargo, bueno una ves pasado esto M presionan con amenazas y demás etc,,,,
    Bueno m ponen unos días para pagarlo les digo q no tengo como y M dicen q M van a reclamar la deuda entera….
    Ayer M llama mi hermana y M comunica que llame a dicho banco que es urgente, unas vez M pongo en contacto con ellos ellos mismo M dicen que han llamado a mi trabajo para preguntar si estoy trabajando o no.
    NECSITO saber si es legal que llaman a un familiar mio o a mi trabajo sin yo fsdilitar dichos teléfonos muchísimas grasias

    1. Buenas tardes Jose Manuel, esas empresas no deberían llamar a terceros que no tienen nada que ver con la deuda sin su consentimiento. Es una infracción del RGPD y esas personas a las que han llamado podrían denunciar ante la AEPD.

  2. Hola. Te consulto si tengo derecho a reclamar dado que un partido político utilizó un pequeño fragmento en el que aparece mi hija menor de edad para su campaña publicitaria por las redes sociales??