PremiumLas sanciones en caso de incumplimiento del Reglamento General de Protección de Datos europeo
Las sanciones en caso de incumplimiento del Reglamento General de Protección de Datos europeo
Ernesto José Muñoz Corral.European Data Protection Officer.Abogado Socio de Picón & Asociados Abogados
Entre las novedades que introduce el Reglamento General de Protección de Datos (RGPD)[1] destaca, poderosamente, el modo en que se configura su régimen sancionador.
La Directiva 95/46/CE fue dictada con la finalidad de lograr en las legislaciones de los Estados Miembros una uniformidad que evitara que la existencia de regímenes tuitivos diferentes en la protección de datos personales causara distorsiones en el mercado interior. Sin embargo, tal ánimo unificador no llegó hasta el punto de compeler a los Estados a imponer un régimen sancionador único.
Las consecuencias de ello son conocidas. Las diferencias entre las legislaciones locales elaboradas en desarrollo de la Directiva han sido tales que, mientras en algunos Estados Miembros, la infracción de las reglas sobre protección de datos conlleva graves sanciones, en otros, por el contrario, prácticamente carece de consecuencias jurídicas. Como puede imaginarse, tales diferencias no han contribuido precisamente a la eliminación de obstáculos en el mercado interior. Más bien al contrario. La falta de uniformidad en este ámbito perturba gravemente el mercado único, al otorgar ventajas competitivas a las empresas radicadas en aquellos Estados en los que la normativa represora es más laxa, además de suponer diferencias indeseables en la tutela de los derechos de los ciudadanos.
El RGPD se propone terminar con dicha situación. Y, para ello, apuesta de modo firme por establecer un régimen sancionador unificado en el ámbito de la Unión Europea. Así lo declara, con carácter general, en sus Considerandos.[2]
El RGPD recoge su régimen sancionador, principalmente, dentro del Capítulo VIII, en los artículos 83 («Condiciones generales para la imposición de multas administrativas») y 84 («Sanciones»). Dichos preceptos han de ponerse en conexión con el artículo 58.2, que enumera las facultades de las autoridades de control. Son precisamente estas (las Agencias de Protección de Datos) las que tienen conferida la facultad de imponer sanciones.
Ahora bien, ante un eventual incumplimiento del RGPD, la consecuencia no es necesariamente la sanción económica. Las autoridades de control disponen de un amplio abanico de opciones a la hora de decidir qué medida correctora se debe adoptar. A tal fin, deben tener en cuenta las concretas circunstancias que concurran en cada caso, de modo que la decisión sobre si imponer o no una sanción, el tipo de ésta y, si fuese una multa, su cuantía, se tomará teniendo en cuenta dichas circunstancias (artículo 83.2).
Bajo esta premisa, las multas podrán imponerse, bien como complemento, bien en sustitución de las medidas que contempla el RGPD en su artículo 58.2, letras a) a h) y j). Tales medidas alternativas, en esencia, son las siguientes: advertencia, apercibimiento, orden de que se atienda una solicitud de ejercicio de derechos, orden de que el tratamiento se ajuste a las condiciones legales, limitaciones temporales o definitivas del tratamiento, retirada de certificaciones y suspensión del flujo transfronterizo de datos.
Los criterios que la autoridad de control debe tener en cuenta a efectos de decidir si se debe o no sancionar con una multa, así como su cuantía, son los siguientes:
| a) La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido. |
| b) La intencionalidad o negligencia. |
| c) Cualquier medida que haya sido tomada por el infractor para paliar los daños y perjuicios sufridos por los interesados. |
| d) El grado de responsabilidad en que se haya incurrido, habida cuenta de las medidas técnicas u organizativas que se hayan aplicado en virtud de lo exigido por el RGPD. |
| e) Cualquier infracción anterior cometida con anterioridad por el mismo sujeto. |
| f) El grado de cooperación que haya existido con la autoridad de control, con el fin de poner remedio a la infracción y mitigar sus posibles efectos adversos. |
| g) Las categorías de los datos de carácter personal afectados. |
| h) La forma en que la autoridad de control tuvo conocimiento del hecho y, en particular, si el infractor se lo notificó y en qué medida. |
| i) Cuando la autoridad de control haya ordenado medidas correctoras previas, el cumplimiento de dichas medidas. |
| j) La adhesión a códigos de conducta o a mecanismos de certificación aprobados con arreglo al RGPD. |
| k) Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. |
Las multas impuestas deben resultar «individuales, efectivas, proporcionadas y disuasorias» (artículo 83.1). Por ello, una vez decidido por la autoridad de control que, en un caso concreto, procede una multa y no otra medida, será preciso determinar su cuantía. A tal fin, el RGPD establece dos categorías de infracciones. Unas, que podríamos considerar menos graves, y, otras, más graves.
En relación con las primeras, el artículo 83.4 RGPD establece que el importe máximo de la sanción será de 10.000.000 € o, tratándose de una empresa, una cuantía equivalente al 2%, como máximo, del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. En el caso de las infracciones más graves, la multa puede alcanzar los 20.000.000 € o, tratándose de una empresa, el equivalente al 4%, como máximo, del volumen de negocio total anual global del ejercicio financiero anterior, optándose también por la de mayor cuantía.
A continuación, define el RGPD qué infracciones han de encuadrarse dentro de cada una de las indicadas categorías. Así, se considera menos grave, a los efectos indicados, el incumplimiento de las siguientes reglas:
| i) Las condiciones aplicables a la obtención del consentimiento de un niño en relación con los servicios de la sociedad de la información (artículo 8 RGPD). |
| ii) Las condiciones aplicables al tratamiento de datos personales que no requieran la identificación del interesado (artículo 11 RGPD). |
| iii) Los principios de protección de datos desde el diseño y por defecto (artículo 25 RGPD). |
| iv) Las reglas que regulan la relación entre corresponsables del tratamiento (artículo 26 RGPD) y la designación de un representante por responsables o encargados no establecidos en territorio de la UE (artículo 27 RGPD). |
| v) Las normas que regulan la relación entre responsables y encargados del tratamiento, incluida la firma de un contrato entre ambos en las condiciones reglamentariamente exigidas (artículos 28 y 29 RGPD). |
| vi) La llevanza de un Registro de Actividades del Tratamiento de datos personales (artículo 30). |
| vii) Los deberes de cooperar con la autoridad de control (artículo 31). |
| viii) El deber de establecer y aplicar medidas técnicas y organizativas adecuadas para garantizar la seguridad y otras obligaciones derivadas de ello (artículos 32 a 34). |
| ix) Los deberes de efectuar una evaluación de impacto relativa a la protección de datos y de consultar previamente a la autoridad de control, en caso necesario (artículos 35 y 36 RGPD). |
| x) El deber de designar un delegado de protección de datos, cuando proceda (artículos 37 a 39 RGPD). |
| xi) Las obligaciones que se imponen a los organismos de certificación en los artículos 42 y 43 RGPD. |
| xii) En caso de violación de un código de conducta, el incumplimiento por la entidad supervisora del deber de informar a la autoridad de control (artículo 41.4 RGPD). |
Por su parte, se consideran infracciones más graves, a efectos de imponer la multa en la cuantía más elevada de las indicadas, las siguientes:
| i) La infracción de los principios básicos para el tratamiento de los datos personales, incluidas las condiciones relativas a la obtención del consentimiento, conforme a lo dispuesto en los artículos 5, 6, 7 y 9 RGPD. |
| ii) La infracción de los deberes de transparencia e información al interesado sobre el tratamiento de sus datos (artículos 12 a 14 RGPD). |
| iii) La infracción de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición y los relativos a la adopción de decisiones individuales automatizadas (artículos 15 a 22 RGPD). |
| iv) La violación de las reglas que regulan las transferencias de datos personales a un tercer país u organización internacional (artículos 44 a 49 RGPD). |
| v) El incumplimiento de las concretas obligaciones que pudieran establecer los Estados Miembros en ciertas situaciones específicas de tratamiento, como las que afectan a la libertad de expresión e información o al tratamiento de datos personales en el ámbito laboral (artículos 85 a 91 RGPD). |
| vi) El incumplimiento de las resoluciones de la autoridad de control. |
En cualquier caso, el ejercicio de la potestad sancionadora por una autoridad de control quedará sometido al control de los tribunales de justicia y a las garantías procesales adecuadas. Ello asegura tanto la tutela judicial efectiva como los derechos del encartado en el procedimiento administrativo sancionador.
Por otra parte, en la fecha en que se escriben estas líneas, se encuentra en tramitación un Proyecto de nueva Ley Orgánica de Protección de Datos de Carácter Personal.[1] Su finalidad será completar nuestra normativa nacional en relación con las novedades impuestas por el nuevo Reglamento europeo.
El Proyecto de Ley Orgánica regula el régimen sancionador en su Título IX (artículos 70 a 78) y, a diferencia de lo que hace el RGPD, sigue la tradicional clasificación de las infracciones en tres categorías: leves, graves y muy graves. Las primeras prescribirán a los tres años, las segundas a los dos años y las leves al año. Esos mismos son los plazos previstos para la prescripción de las correspondientes sanciones.
Además, en consonancia con las exigencias de tipificación propias de nuestro derecho sancionador, el Proyecto enumera y describe de modo mucho más preciso que el RGPD las conductas que integran las infracciones. Destaca el hecho de que el Proyecto de Ley Orgánica menciona expresamente que su régimen sancionador no resulta de aplicación a los delegados de protección de datos, por lo que estos no resultarán responsables a estos efectos.
Por otra parte, basándose en el hecho de que el apartado 7 el artículo 83 deja en manos de cada uno de los Estados Miembros la decisión sobre si podrán o no imponerse multas administrativas a las autoridades y organismos públicos, el Proyecto apuesta porque dicha consecuencia sancionadora sea sólo aplicable a las entidades privadas, no a las administraciones públicas.
Será necesario esperar a la aprobación definitiva de la nueva Ley Orgánica para comprobar si dichas reglas se mantienen o son modificadas, si bien lo más probable es que existan pocos cambios en esta materia.
CONCLUSIONES
El RGPD flexibiliza y, a la vez, fortalece significativamente el régimen sancionador aplicable en materia de protección de datos personales, otorgando a las autoridades de control un margen de discrecionalidad muy amplio, al tiempo que les confiere importantes poderes represores, teniendo en cuenta la elevada cuantía de las sanciones económicas que les permite imponer.
[1] Publicado en el Boletín Oficial de las Cortes Generales de 24 de noviembre de 2017, nº 13-1, Proyecto de Ley 121/000013.
[1] Reglamento (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
[2] Ver Considerandos13 y 129 y Considerandos 148 a 152 del RGPD.
