Inicio » Artículos destacados » ¿Qué pasa si incumplimos el REPD?
¿Qué pasa si incumplimos el REPD?

¿Qué pasa si incumplimos el REPD?

alex

 

 

Por Alejandro García del Valle Méndez. Riestra Abogados

 

Por todos es bien sabido que el próximo 25 de mayo de 2018 el panorama jurídico en materia de privacidad y protección de datos va sufrir una fuerte sacudida. El nuevo Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), ya vigente desde mayo de 2016, será de aplicación a partir de esa fecha y consecuentemente, las empresas deberán estar preparadas para asumir tal impacto en el marco normativo de nuestro país.

Son muchas las novedades que este Reglamento viene a implementar. De forma general, la nueva normativa, aplicable directamente en nuestro país, aporta un mayor carácter proteccionista a los usuarios afectados y otorga mayores responsabilidades a los responsables y encargados del tratamiento. Es decir, se otorgan más derechos a los usuarios y se establecen más responsabilidades y obligaciones a los responsables y encargados. Se refuerza por tanto la regulación en materia de privacidad y protección de datos y así lo manifiesta expresamente el RGPD en sus considerandos argumentando que la protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

Para salvaguardar los preceptos establecidos en el Reglamento y en la normativa que adaptemos en España, el RGPD establece una nueva perspectiva, mucho más estricta, en lo que a infracciones y sanciones se refiere. En este sentido, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, Ley que vendría a derogar la actual Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), regula la política sancionatoria del Reglamento de la forma que veremos a continuación.

En su Título IX, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, regula el Régimen Sancionador. Concretamente, en el artículo 76 de este Proyecto, Sanciones y medidas correctivas incorpora las indicaciones del artículo 83 del RGPD, completando de esta forma el articulado del Reglamento.

Sujetos responsables

Según el Proyecto de LOPD, estarán sujetos al régimen sancionador relativo al RGPD y al propio Proyecto los responsables y encargados del tratamiento; los representantes de responsables y encargados del tratamiento ubicados fuera del territorio de la Unión Europea; las entidades de certificación; y las entidades acreditadas de supervisión de los códigos de conducta.

Asimismo, se excluye expresamente de este listado de sujetos responsables la figura del Delegado de Protección de Datos, al que no será de aplicación este régimen sancionador.

Cuantías

El RGPD establece una de las novedades más impactantes. Se trata de la cuantía de las sanciones. En este sentido, el Reglamento establece dos tipos de sanciones, regulables y aplicables en función de una serie de criterios que veremos más adelante.

Las nuevas sanciones, por tanto, serían las siguientes:

  • Por la infracción de determinadas disposiciones, multas administrativas de un máximo de 10.000.000 euros, o bien tratándose de una empresa, de una cuantía máxima equivalente al 2% del volumen de negocio total anual global en relación al ejercicio anterior.
  • Por la infracción de determinadas disposiciones, multas administrativas de un máximo de 20.000.000 euros, o bien tratándose de una empresa, de una cuantía máxima equivalente al 4% del volumen de negocio total anual global en relación al ejercicio anterior.
  • Por el incumplimiento de determinadas resoluciones de la autoridad de control, se sancionará con multas administrativas de 20.000.000 euros, o bien tratándose de una empresa, de una cuantía máxima equivalente al 4% del volumen de negocio total anual global en relación al ejercicio anterior.

Este nuevo sistema sancionador impuesto por el Reglamento implica un fuerte cambio en el sistema coercitivito, endureciendo las consecuencias económicas de las infracciones cometidas por responsables o encargados.

En relación a las cuantías, ¿qué infracciones desencadenarían la imposición de estas multas?, ¿qué criterios se tendrán en cuenta a la hora de regular la sanción?

Infracciones

Según el Proyecto, constituye una infracción los actos y conductas que supongan una vulneración del contenido de los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 y del propio Proyecto.

El Proyecto, al igual que la actual LOPD, diferencia en sus artículos 72, 73 y 74 entre infracciones leves, graves y muy graves, detallando en su articulado las conductas típicas.

Las infracciones leves están acotadas por el Proyecto y hacen referencia al incumplimiento o infracción meramente formal de obligaciones relacionadas con el principio de transparencia o derecho de información; el ejercicio de derechos de los usuarios; las relaciones responsable-encargado; el registro de actividades; las comunicaciones de violaciones de seguridad; información acerca del Delegado de Protección de Datos, etc.

Las infracciones leves prescribirán al año.

Las infracciones graves suponen una vulneración sustancial de los artículos mencionados por el RGPD y se refieren a actos relativos al tratamiento de datos de menores; el ejercicio de derechos; las medidas de seguridad; representantes del responsable o encargado del tratamiento de datos fuera de la UE; el registro de actividades; las violaciones de seguridad; la evaluación del impacto; etc.

Las infracciones graves prescribirán a los dos años.

Y por último, las infracciones muy graves, que hacen referencia a infracciones sustanciales en relación a los principios y garantías del RGPD; licitud del tratamiento; validez del consentimiento; tratamiento de categorías especiales de datos personales; deber de información; deber de confidencialidad; ejercicio de derechos; transferencias internacionales de datos; relaciones con la autoridad de protección de datos; etc.

Las infracciones muy graves prescribirán a los tres años.

Según el Proyecto de Ley Orgánica, la categorización de las infracciones se lleva a cabo con la exclusiva finalidad de establecer los plazos de prescripción de las mismas.

Criterios de graduación

El Proyecto plantea por tanto un amplio catálogo de infracciones categorizadas por su gravedad y que, naturalmente, llevarán aparejada su correspondiente sanción materializándose, en su caso, en una multa administrativa. Y de la misma forma que la vigente LOPD, la aplicación de la sanción podrá variar en función de unas determinadas circunstancias reguladas igualmente tanto por el RGPD como por el Proyecto de Ley Orgánica.

El artículo 83.2 del RGPD establece los siguientes criterios de graduación:

  1. a) la naturaleza, gravedad y duración de la infracción;
  2. b) la intencionalidad o negligencia en la infracción;
  3. c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  4. d) el grado de responsabilidad del responsable o del encargado del tratamiento, en función de las medidas de seguridad aplicadas.
  5. e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  6. f) el grado de cooperación con la autoridad de control;
  7. g) las categorías de los datos de carácter personal afectados por la infracción;
  8. h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  9. i) el cumplimiento de las medidas ordenadas previamente por la autoridad de control;
  10. j) la adhesión a códigos de conducta o a mecanismos de certificación;
  11. k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Este sistema de graduación se ve completado por el artículo 76.2 del Proyecto de Ley Orgánica de Protección de Datos:

  1. a) El carácter continuado de la infracción.
  2. b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  3. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  4. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  5. e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

En definitiva, y al igual que la actual normativa de protección de datos, el régimen sancionador del nuevo Reglamento Europeo junto con el Proyecto de Ley Orgánica de Protección de Datos regulan la imposición de las sanciones, en primer lugar categorizando las infracciones (leve, grave y muy grave) y en segundo lugar, teniendo en cuenta las especiales circunstancias en las que la infracción tenga lugar. De esta manera, se pretende establecer un sistema justo y equilibrado para la imposición de las sanciones.

Con este nuevo régimen sancionador, y especialmente, con las nuevas cuantías de las multas administrativas, se busca reforzar la posición de los afectados frente al tratamiento de sus datos por el responsable y el encargado del tratamiento. A partir del próximo 25 de mayo de 2018, no será tan sencillo asumir las sanciones que hasta ahora imponía la actual LOPD y por tanto, las empresas estarán consecuentemente, o al menos parece ser que esa es la idea, mucho más concienciadas en lo que a la regulación del tratamiento de los datos se refiere.

Prescripción de las sanciones

El Proyecto regula igualmente los plazos para la prescripción de las sanciones. Dicho plazo empezará a contar desde el día siguiente a aquel que sea ejecutable la resolución de imposición de la sanción o desde el momento en que haya finalizado el plazo para recurrirla.

Conforme al Proyecto, las sanciones inferiores a 40.000 euros, prescribirán en un plazo de un año; a partir de 40.001 euros y hasta los 300.000 euros, el plazo de prescripción es de dos años; y para aquellas sanciones superiores a 300.000 euros, la sanción prescribirá en un plazo de 3 años.

Apercibimiento

Si ya la actual Ley Orgánica de Protección de Datos establece y regula la figura del apercibimiento, de la misma forma, tanto el RGPD como el Proyecto de LOPD, incluyen también esta figura. El apercibimiento implicaría evitar una multa administrativa, condicionada a la aplicación de ciertas medidas.

Por parte del nuevo Reglamento, en sus considerandos contempla la posibilidad de aplicar el apercibimiento en aquellos casos en los que la infracción sea de carácter leve o bien en aquellos casos en los que la cuantía de la multa sea desproporcionada para una persona física. En estos casos, cabría la posibilidad de aplicar dicho apercibimiento, teniendo en cuenta varios factores como son la naturaleza de la infracción, su duración y gravedad, la intencionalidad, las medidas adoptadas para reducir el efecto de la infracción, la adhesión a códigos de conducta, y otras circunstancias agravantes o atenuantes que puedan ser de aplicación.

Según el Reglamento, el apercibimiento es un poder correctivo de la autoridad de control y, por tanto, se entiende naturalmente que su aplicación es optativa. Por tanto, dicha autoridad de control podrá aplicar potestativamente el apercibimiento si, en atención a los criterios y circunstancias antes enumeradas, así lo cree conveniente.

Por parte del Proyecto, la figura del apercibimiento está reservada para determinadas categorías de responsables o encargados del tratamiento. Según el texto normativo en su artículo 77, se aplicará un régimen especial a determinados responsables y encargados:

  • Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
  • Los órganos jurisdiccionales.
  • La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
  • Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
  • Las autoridades administrativas independientes.
  • El Banco de España.
  • Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
  • Las fundaciones del sector público.
  • Las Universidades Públicas.
  • Los consorcios.

En caso de que alguna de esta categoría de responsables o encargados del tratamiento, cometiera una infracción grave o una infracción leve, la autoridad de protección de datos competente estará facultada para sancionar con apercibimiento, incluyendo igualmente las medidas oportunas para cesar la conducta o corregir las consecuencias de la infracción, sin perjuicio de proponer igualmente la iniciación de medidas disciplinarias.

 

En definitiva, tal y como argumentábamos al principio de este artículo, el nuevo régimen sancionador pretende reforzar la posición de los afectados frente a la figura de los responsables y encargados del tratamiento, quienes se enfrentan a unas nuevas sanciones, entre otras medidas, que pretenden disuadir del incumplimiento del Reglamento y de la Ley.

Y en cualquier caso, tanto el RGPD, como el Proyecto establecen un régimen de sanciones equilibrado y proporcional, en atención a la especial regulación que un derecho fundamental como es la intimidad de las personas debe revestir, garantizando a todos los operadores la seguridad jurídica propia de nuestro sistema normativo.

Ante este panorama, los responsables y encargados deben afrontar sin mayor dilación la recta final antes del advenimiento de la nueva regulación en materia de protección de datos el día 25 de mayo de 2018 y recapacitar acerca de los cambios que sufrirá el tratamiento de los datos y, como hemos visto en este artículo, las consecuencias del incumplimiento de la normativa.

El resto del contenido es exclusivo para suscriptores
Inicie sesión si usted ya es suscriptor o  si aún no lo es Suscríbase aquí
Por tan solo 8€/mes

Contenidos relacionados

Ver Todos >>

La obligatoriedad internacional de contar con un programa de Compliance

La obligatoriedad internacional de contar con un programa de Compliance

Por Víctor Jiménez. Abogado del Departamento de Compliance. Bufete Escura La responsabilidad de las personas jurídicas por los delitos cometidos en su contexto organizativo y en su beneficio es una realidad en un número de países creciente. De hecho, la mayor parte de Estados europeos cuentan con regulaciones internas en esta materia que adaptan las diversas Directivas comunitarias existentes. No ... Leer Más »

Indemnización por fallecimiento tras la caída en un autobús público

Indemnización por fallecimiento tras la caída en un autobús público

Nos encontramos en un día de octubre como otro cualquiera en la bella Ciudad de Salamanca y una pareja espera pacientemente la llegada del ansiado autobús urbano a fin de que los traslade hasta un conocido establecimiento comercial. El autobús llega, realiza su parada y abre la puerta para que suban los viajeros. Todos sin excepción validan su billete y ... Leer Más »

¿Quién paga la cuenta? Reflexión sobre las recientes sentencias del Supremo en materia de gastos hipotecarios

¿Quién paga la cuenta? Reflexión sobre las recientes sentencias del Supremo en materia de gastos hipotecarios

Por Daniel García Mescua. Abogado Tras varios meses en los que se nos ha tenido en vilo tanto a hipotecados como a abogados, finalmente se han publicado dos sentencias del Tribunal Supremo, 147/2018 y 148/2018, ambas con fecha de 15 de marzo, sobre los archiconocidos gastos de formalización de hipoteca, y sobre la nulidad de aquellas cláusulas mediante las que ... Leer Más »

Reforma de la regulación de las costas procesales en los órdenes jurisdiccionales civil y contencioso-administrativo

Reforma de la regulación de las costas procesales en los órdenes jurisdiccionales civil y contencioso-administrativo

  Proposición de Ley para la reforma de la regulación de las costas procesales en los órdenes jurisdiccionales civil y contencioso-administrativo   Luis Franco. Abogado del departamento de Derecho procesal en Marimón Abogados.   Actualmente se encuentra en tramitación la proposición de ley nº 122/000128, para la reforma de la Ley 1/2000, de 7 enero, de Enjuiciamiento Civil (“LEC”) y ... Leer Más »

Primera colegiación y alternativa para la previsión social

Primera colegiación y alternativa para la previsión social

Nielson Sánchez Stewart. Abogado, Doctor en Derecho. Consejero del Consejo General de la Abogacía Española   SUMARIO:   Evolución de la regulación Carencia absoluta Mutualidad de la Abogacía Alternatividad con el sistema público Situación actual   La preocupación de la Abogacía institucional respecto de la previsión social de los Letrados es relativamente reciente. El Artículo 7 del primer Estatuto General ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon