¿Qué pasa si incumplimos el REPD?

Por Alejandro García del Valle Méndez. Riestra Abogados

Por todos es bien sabido que el próximo 25 de mayo de 2018 el panorama jurídico en materia de privacidad y protección de datos va sufrir una fuerte sacudida. El nuevo Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), ya vigente desde mayo de 2016, será de aplicación a partir de esa fecha y consecuentemente, las empresas deberán estar preparadas para asumir tal impacto en el marco normativo de nuestro país.

Son muchas las novedades que este Reglamento viene a implementar. De forma general, la nueva normativa, aplicable directamente en nuestro país, aporta un mayor carácter proteccionista a los usuarios afectados y otorga mayores responsabilidades a los responsables y encargados del tratamiento. Es decir, se otorgan más derechos a los usuarios y se establecen más responsabilidades y obligaciones a los responsables y encargados. Se refuerza por tanto la regulación en materia de privacidad y protección de datos y así lo manifiesta expresamente el RGPD en sus considerandos argumentando que la protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

Para salvaguardar los preceptos establecidos en el Reglamento y en la normativa que adaptemos en España, el RGPD establece una nueva perspectiva, mucho más estricta, en lo que a infracciones y sanciones se refiere. En este sentido, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, Ley que vendría a derogar la actual Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), regula la política sancionatoria del Reglamento de la forma que veremos a continuación.

En su Título IX, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, regula el Régimen Sancionador. Concretamente, en el artículo 76 de este Proyecto, Sanciones y medidas correctivas incorpora las indicaciones del artículo 83 del RGPD, completando de esta forma el articulado del Reglamento.

Sujetos responsables

Según el Proyecto de LOPD, estarán sujetos al régimen sancionador relativo al RGPD y al propio Proyecto los responsables y encargados del tratamiento; los representantes de responsables y encargados del tratamiento ubicados fuera del territorio de la Unión Europea; las entidades de certificación; y las entidades acreditadas de supervisión de los códigos de conducta.

Asimismo, se excluye expresamente de este listado de sujetos responsables la figura del Delegado de Protección de Datos, al que no será de aplicación este régimen sancionador.

Cuantías

El RGPD establece una de las novedades más impactantes. Se trata de la cuantía de las sanciones. En este sentido, el Reglamento establece dos tipos de sanciones, regulables y aplicables en función de una serie de criterios que veremos más adelante.

Las nuevas sanciones, por tanto, serían las siguientes:

• Por la infracción de determinadas disposiciones, multas administrativas de un máximo de 10.000.000 euros, o bien tratándose de una empresa, de una cuantía máxima equivalente al 2% del volumen de negocio total anual global en relación al ejercicio anterior.
• Por la infracción de determinadas disposiciones, multas administrativas de un máximo de 20.000.000 euros, o bien tratándose de una empresa, de una cuantía máxima equivalente al 4% del volumen de negocio total anual global en relación al ejercicio anterior.
• Por el incumplimiento de determinadas resoluciones de la autoridad de control, se sancionará con multas administrativas de 20.000.000 euros, o bien tratándose de una empresa, de una cuantía máxima equivalente al 4% del volumen de negocio total anual global en relación al ejercicio anterior.

Este nuevo sistema sancionador impuesto por el Reglamento implica un fuerte cambio en el sistema coercitivito, endureciendo las consecuencias económicas de las infracciones cometidas por responsables o encargados.

En relación a las cuantías, ¿qué infracciones desencadenarían la imposición de estas multas?, ¿qué criterios se tendrán en cuenta a la hora de regular la sanción?

Infracciones

Según el Proyecto, constituye una infracción los actos y conductas que supongan una vulneración del contenido de los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 y del propio Proyecto.

El Proyecto, al igual que la actual LOPD, diferencia en sus artículos 72, 73 y 74 entre infracciones leves, graves y muy graves, detallando en su articulado las conductas típicas.

Las infracciones leves están acotadas por el Proyecto y hacen referencia al incumplimiento o infracción meramente formal de obligaciones relacionadas con el principio de transparencia o derecho de información; el ejercicio de derechos de los usuarios; las relaciones responsable-encargado; el registro de actividades; las comunicaciones de violaciones de seguridad; información acerca del Delegado de Protección de Datos, etc.

Las infracciones leves prescribirán al año.

Las infracciones graves suponen una vulneración sustancial de los artículos mencionados por el RGPD y se refieren a actos relativos al tratamiento de datos de menores; el ejercicio de derechos; las medidas de seguridad; representantes del responsable o encargado del tratamiento de datos fuera de la UE; el registro de actividades; las violaciones de seguridad; la evaluación del impacto; etc.

Las infracciones graves prescribirán a los dos años.

Y por último, las infracciones muy graves, que hacen referencia a infracciones sustanciales en relación a los principios y garantías del RGPD; licitud del tratamiento; validez del consentimiento; tratamiento de categorías especiales de datos personales; deber de información; deber de confidencialidad; ejercicio de derechos; transferencias internacionales de datos; relaciones con la autoridad de protección de datos; etc.

Las infracciones muy graves prescribirán a los tres años.

Según el Proyecto de Ley Orgánica, la categorización de las infracciones se lleva a cabo con la exclusiva finalidad de establecer los plazos de prescripción de las mismas.

Criterios de graduación

El Proyecto plantea por tanto un amplio catálogo de infracciones categorizadas por su gravedad y que, naturalmente, llevarán aparejada su correspondiente sanción materializándose, en su caso, en una multa administrativa. Y de la misma forma que la vigente LOPD, la aplicación de la sanción podrá variar en función de unas determinadas circunstancias reguladas igualmente tanto por el RGPD como por el Proyecto de Ley Orgánica.

El artículo 83.2 del RGPD establece los siguientes criterios de graduación:

1. a) la naturaleza, gravedad y duración de la infracción;
2. b) la intencionalidad o negligencia en la infracción;
3. c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
4. d) el grado de responsabilidad del responsable o del encargado del tratamiento, en función de las medidas de seguridad aplicadas.
5. e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
6. f) el grado de cooperación con la autoridad de control;
7. g) las categorías de los datos de carácter personal afectados por la infracción;
8. h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
9. i) el cumplimiento de las medidas ordenadas previamente por la autoridad de control;
10. j) la adhesión a códigos de conducta o a mecanismos de certificación;
11. k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Este sistema de graduación se ve completado por el artículo 76.2 del Proyecto de Ley Orgánica de Protección de Datos:

1. a) El carácter continuado de la infracción.
2. b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
3. c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
4. d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
5. e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

En definitiva, y al igual que la actual normativa de protección de datos, el régimen sancionador del nuevo Reglamento Europeo junto con el Proyecto de Ley Orgánica de Protección de Datos regulan la imposición de las sanciones, en primer lugar categorizando las infracciones (leve, grave y muy grave) y en segundo lugar, teniendo en cuenta las especiales circunstancias en las que la infracción tenga lugar. De esta manera, se pretende establecer un sistema justo y equilibrado para la imposición de las sanciones.

Con este nuevo régimen sancionador, y especialmente, con las nuevas cuantías de las multas administrativas, se busca reforzar la posición de los afectados frente al tratamiento de sus datos por el responsable y el encargado del tratamiento. A partir del próximo 25 de mayo de 2018, no será tan sencillo asumir las sanciones que hasta ahora imponía la actual LOPD y por tanto, las empresas estarán consecuentemente, o al menos parece ser que esa es la idea, mucho más concienciadas en lo que a la regulación del tratamiento de los datos se refiere.

Prescripción de las sanciones

El Proyecto regula igualmente los plazos para la prescripción de las sanciones. Dicho plazo empezará a contar desde el día siguiente a aquel que sea ejecutable la resolución de imposición de la sanción o desde el momento en que haya finalizado el plazo para recurrirla.

Conforme al Proyecto, las sanciones inferiores a 40.000 euros, prescribirán en un plazo de un año; a partir de 40.001 euros y hasta los 300.000 euros, el plazo de prescripción es de dos años; y para aquellas sanciones superiores a 300.000 euros, la sanción prescribirá en un plazo de 3 años.

Apercibimiento

Si ya la actual Ley Orgánica de Protección de Datos establece y regula la figura del apercibimiento, de la misma forma, tanto el RGPD como el Proyecto de LOPD, incluyen también esta figura. El apercibimiento implicaría evitar una multa administrativa, condicionada a la aplicación de ciertas medidas.

Por parte del nuevo Reglamento, en sus considerandos contempla la posibilidad de aplicar el apercibimiento en aquellos casos en los que la infracción sea de carácter leve o bien en aquellos casos en los que la cuantía de la multa sea desproporcionada para una persona física. En estos casos, cabría la posibilidad de aplicar dicho apercibimiento, teniendo en cuenta varios factores como son la naturaleza de la infracción, su duración y gravedad, la intencionalidad, las medidas adoptadas para reducir el efecto de la infracción, la adhesión a códigos de conducta, y otras circunstancias agravantes o atenuantes que puedan ser de aplicación.

Según el Reglamento, el apercibimiento es un poder correctivo de la autoridad de control y, por tanto, se entiende naturalmente que su aplicación es optativa. Por tanto, dicha autoridad de control podrá aplicar potestativamente el apercibimiento si, en atención a los criterios y circunstancias antes enumeradas, así lo cree conveniente.

Por parte del Proyecto, la figura del apercibimiento está reservada para determinadas categorías de responsables o encargados del tratamiento. Según el texto normativo en su artículo 77, se aplicará un régimen especial a determinados responsables y encargados:

• Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
• Los órganos jurisdiccionales.
• La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
• Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
• Las autoridades administrativas independientes.
• El Banco de España.
• Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
• Las fundaciones del sector público.
• Las Universidades Públicas.
• Los consorcios.

En caso de que alguna de esta categoría de responsables o encargados del tratamiento, cometiera una infracción grave o una infracción leve, la autoridad de protección de datos competente estará facultada para sancionar con apercibimiento, incluyendo igualmente las medidas oportunas para cesar la conducta o corregir las consecuencias de la infracción, sin perjuicio de proponer igualmente la iniciación de medidas disciplinarias.

En definitiva, tal y como argumentábamos al principio de este artículo, el nuevo régimen sancionador pretende reforzar la posición de los afectados frente a la figura de los responsables y encargados del tratamiento, quienes se enfrentan a unas nuevas sanciones, entre otras medidas, que pretenden disuadir del incumplimiento del Reglamento y de la Ley.

Y en cualquier caso, tanto el RGPD, como el Proyecto establecen un régimen de sanciones equilibrado y proporcional, en atención a la especial regulación que un derecho fundamental como es la intimidad de las personas debe revestir, garantizando a todos los operadores la seguridad jurídica propia de nuestro sistema normativo.

Ante este panorama, los responsables y encargados deben afrontar sin mayor dilación la recta final antes del advenimiento de la nueva regulación en materia de protección de datos el día 25 de mayo de 2018 y recapacitar acerca de los cambios que sufrirá el tratamiento de los datos y, como hemos visto en este artículo, las consecuencias del incumplimiento de la normativa.