Ernesto José Muñoz Corral.European Data Protection Officer.Abogado Socio de Picón & Asociados Abogados
Entre las novedades que introduce el Reglamento General de Protección de Datos (RGPD)[1] destaca, poderosamente, el modo en que se configura su régimen sancionador.
La Directiva 95/46/CE fue dictada con la finalidad de lograr en las legislaciones de los Estados Miembros una uniformidad que evitara que la existencia de regímenes tuitivos diferentes en la protección de datos personales causara distorsiones en el mercado interior. Sin embargo, tal ánimo unificador no llegó hasta el punto de compeler a los Estados a imponer un régimen sancionador único.
Las consecuencias de ello son conocidas. Las diferencias entre las legislaciones locales elaboradas en desarrollo de la Directiva han sido tales que, mientras en algunos Estados Miembros, la infracción de las reglas sobre protección de datos conlleva graves sanciones, en otros, por el contrario, prácticamente carece de consecuencias jurídicas. Como puede imaginarse, tales diferencias no han contribuido precisamente a la eliminación de obstáculos en el mercado interior. Más bien al contrario. La falta de uniformidad en este ámbito perturba gravemente el mercado único, al otorgar ventajas competitivas a las empresas radicadas en aquellos Estados en los que la normativa represora es más laxa, además de suponer diferencias indeseables en la tutela de los derechos de los ciudadanos.
El RGPD se propone terminar con dicha situación. Y, para ello, apuesta de modo firme por establecer un régimen sancionador unificado en el ámbito de la Unión Europea. Así lo declara, con carácter general, en sus Considerandos.[2]
El RGPD recoge su régimen sancionador, principalmente, dentro del Capítulo VIII, en los artículos 83 (“Condiciones generales para la imposición de multas administrativas”) y 84 (“Sanciones”). Dichos preceptos han de ponerse en conexión con el artículo 58.2, que enumera las facultades de las autoridades de control. Son precisamente estas (las Agencias de Protección de Datos) las que tienen conferida la facultad de imponer sanciones.
Ahora bien, ante un eventual incumplimiento del RGPD, la consecuencia no es necesariamente la sanción económica. Las autoridades de control disponen de un amplio abanico de opciones a la hora de decidir qué medida correctora se debe adoptar. A tal fin, deben tener en cuenta las concretas circunstancias que concurran en cada caso, de modo que la decisión sobre si imponer o no una sanción, el tipo de ésta y, si fuese una multa, su cuantía, se tomará teniendo en cuenta dichas circunstancias (artículo 83.2).
Bajo esta premisa, las multas podrán imponerse, bien como complemento, bien en sustitución de las medidas que contempla el RGPD en su artículo 58.2, letras a) a h) y j). Tales medidas alternativas, en esencia, son las siguientes: advertencia, apercibimiento, orden de que se atienda una solicitud de ejercicio de derechos, orden de que el tratamiento se ajuste a las condiciones legales, limitaciones temporales o definitivas del tratamiento, retirada de certificaciones y suspensión del flujo transfronterizo de datos.
Los criterios que la autoridad de control debe tener en cuenta a efectos de decidir si se debe o no sancionar con una multa, así como su cuantía, son los siguientes: