Cuando uno infringe la normativa de protección de datos personales cabe la posibilidad de que la autoridad de control le imponga una sanción administrativa, cuya cuantía dependerá del tipo y grado de la infracción.
El Reglamento General de Protección de Datos (RGPD) plantea como objetivo final la protección efectiva de los datos personales en la Unión y ello exige que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal, es decir, se faculta a los Estados miembros para que, a través de sus respectivas autoridades de control, puedan imponer sanciones en caso de infracción de la normativa de protección de datos, configurándose el régimen de infracciones como un sistema de refuerzo en la aplicación de dicha normativa.
Las sanciones, incluidas las multas administrativas, se impondrán en función de las circunstancias de cada caso de forma efectiva, proporcionada y disuasoria.
El RGPD establece en su artículo 83 apartados 4 y 5 los máximos a imponer por infracción:
- De 10.000.000 € como máximo, o tratándose de una empresa una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando se incumplan las obligaciones previstas en el artículo 83.4 del RGPD.
- De 20.000.000 € como máximo, o tratándose de una empresa una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando se incumplan las obligaciones previstas en el artículo 83.5 del RGPD.
Clasificación de las sanciones
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) dispone en sus artículos 70 a 78 el régimen sancionador aplicable, manteniendo la distinción de infracciones y sanciones por su gravedad. También regula cuestiones que no han sido contempladas en el RGPD como los plazos de prescripción o la estipulación de la imposición de apercibimiento en el caso de vulneración de normas sobre protección de datos por parte de las Administraciones Públicas.
De manera sucinta, debemos saber que las infracciones se dividen en:
a) Muy graves:
- Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el artículo 83 apartado 5 del RGPD y 72 de la LOPDGDD.
- Prescriben a los tres años.
b) Graves:
- Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el artículo 83 apartado 4 del RGPD y 73 de la LOPDGDD.
- Prescriben a los dos años.
c) Leves:
- Son de carácter meramente formal y se regulan en el artículo 74 de la LOPDGDD.
- Prescriben al año.
El plazo de prescripción de las sanciones se cuenta a partir del día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla (artículo 78.2 de la LOPDGDD).
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de 6 meses por causa no imputable al infractor.
Sujetos pasivos sometidos al régimen sancionador
En cuanto a los sujetos pasivos sometidos al régimen sancionador, decir que de la lectura, un tanto farragosa, del artículo 83.4 del RGPD y del artículo 70 de la LOPDGDD se desprende que pueden serlo:
- El responsable del tratamiento.
- El encargado del tratamiento.
- Los representantes de los responsables y encargados del tratamiento no establecidos en la Unión.
- Organismos o entidades de certificación por vulneración de los artículos 42 y 43 del RGPD.
- Organismos de supervisión de los códigos de conducta por vulneración del artículo 41.4 del RGPD.
Cabe llamar la atención que el delegado de protección de datos (DPD) no se ve sometido al régimen sancionador. No obstante, si dicho cargo es desempeñado por un profesional experto en la materia cabría la posibilidad de interponer contra el mismo una demanda de responsabilidad civil por daños y perjuicios cuando su actuación fuese negligente. De modo que, no será responsable ante la autoridad de control, pero lo será ante quien le designó como DPD en atención a su especial cualificación.
Graduación y atenuación de las sanciones
La autoridad de control tendrá en cuenta las siguientes circunstancias:
- La naturaleza, gravedad y duración de la infracción, así como el número de afectados y el nivel de los daños y perjuicios que hayan sufrido.
- Las categorías de los datos de carácter personal afectados.
- La intencionalidad o negligencia en la infracción.
- Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
- El grado de responsabilidad del encargado del tratamiento habida cuenta de las medidas técnicas y organizativas aplicadas en virtud de los artículos 25 y 32 del RGPD.
- Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
- El grado de cooperación con la autoridad de control para mitigar los posibles efectos adversos de la infracción.
- La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular, si el responsable o el encargado del tratamiento notificaron la infracción y, en tal caso, en qué medida.
- El cumplimiento de las medidas indicadas en el artículo 58.2 del RGPD cuando hayan sido ordenadas previamente en relación con el mismo asunto.
- La adhesión a códigos de conducta o a mecanismos de certificación convenientemente aprobados.
- Cualquier otro factor agravante o atenuante como, por ejemplo, los beneficios financieros obtenidos o las pérdidas evitadas.
Asimismo, atendiendo al artículo 76 apartado 2 de la LOPDGDD, se tendrán en cuenta:
- El carácter continuado de la infracción.
- La vinculación de la actividad del infractor con el tratamiento de datos personales.
- Los beneficios obtenidos como consecuencia de la comisión de la infracción.
- La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
- La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción que no puede imputarse a la entidad absorbente.
- La afectación a los derechos de los menores.
- Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
- El sometimiento del responsable o encargado del tratamiento, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.
Además de la multa administrativa, cabe la posibilidad de que el responsable o el encargado del tratamiento sean condenados a pagar una indemnización a los afectados por los daños y perjuicios ocasionados.
El RGPD prevé en su artículo 58, apartado 2, letras a) a h) y j) una serie de medidas adicionales o sustitutivas a las multas.
La presunción de inocencia del presunto infractor
El principio de presunción de inocencia garantiza que no puede imponerse sanción alguna si no existe una actividad probatoria de cargo que en la apreciación de los órganos o autoridades llamadas a resolver destruya dicha presunción.
En ningún caso, la presunción de inocencia significa que, existiendo una prueba de cargo suficiente obtenida en base a medios probatorios lícitos, el sancionado esté exento de presentar una contraprueba o explicación racional y convincente tendente a justificar su conducta (Sentencia Audiencia Nacional, Sala de lo Contencioso-administrativo, Sección 1ª, de 8 de octubre de 2003, Rec. 1365/2001).
En definitiva, ampararse en la presunción de inocencia cuando hay indicios claros de infracción es una mala estrategia.
Atenuantes y eximentes
En el año 2017 el grupo La Nueve, vinculado al movimiento «Anonymous», atacó los servidores del Sindicato Unificado de la Policía (SUP) quedando expuestos los datos personales (nombre y apellidos y parcialmente anonimizados los datos de dirección de correo electrónico y DNI, entre otros) de 17.790 asistentes a cursos organizados por el SUP. La Nueve llevaba infiltrada desde el año 2013.
Como consecuencia de ello, la AEPD inició actuaciones de investigación por una infracción grave, que se sanciona con un mínimo de 40.000 €.
La autoridad de control archivó el expediente sancionador, perdonando la sanción al responsable, por su diligencia tras la brecha de seguridad. Con el fin de minimizar los daños, de inmediato cerró la página web y presentó denuncia ante la Policía alertando del ciberataque, además registró la brecha de seguridad dejando constancia de la incidencia producida, sus consecuencias y efectos, las medidas correctoras aplicadas, procedimientos realizados e informó en plazo a la autoridad de control de la brecha de seguridad. A mayor abundamiento, la AEPD tuvo en cuenta que la situación económica del infractor era grave, al contar con créditos pendientes de pago y numerosas deudas con la Administración Tributaria, a lo que habría que sumar sus cargas familiares (esposa e hijos). No pensemos que siempre se condonan las multas, pero sí se reducen considerablemente cuando se cumplen las referidas circunstancias. Dejo enlazada aquí la resolución comentada de la AEPD.
El TJUE en el sentencia de 26 de septiembre de 2024 (TR vs Land Hessen, asunto C-768/21) dispone que «la autoridad de control pueda abstenerse de adoptar una medida correctora aunque se haya constatado una violación de la seguridad de datos personales. Tal puede ser el caso, en particular, cuando la violación constatada no haya persistido, por ejemplo cuando el responsable del tratamiento, que, en principio, había aplicado medidas técnicas y organizativas apropiadas en el sentido del artículo 24 del RGPD, haya adoptado, tan pronto como haya tenido conocimiento de dicha violación, las medidas adecuadas y necesarias para que la violación finalice y no vuelva a producirse, habida cuenta de las obligaciones que le incumben, en particular, en virtud de los artículos 5, apartado 2, y 24 del mencionado Reglamento» (43).
La moraleja es que para minimizar las sanciones el camino pasa por actuar prudentemente, tratando de minimizar los daños y actuando con transparencia ante la autoridad de control.
—
Actualización
El Comité Europeo de Protección de Datos (CEPD) ha adoptado unas directrices para armonizar la metodología que utilizan las autoridades de control para calcular el importe de las multas impuestas por infracciones de la normativa de protección de datos. En cualquier caso, la cuantificación final del importe se basa en una evaluación específica realizada en cada caso concreto.
Haciendo clic aquí pueden consultar el texto con la metodología de cálculo aprobada por el CEPD.
Actualización
Dos importantes pronunciamientos del TJUE en materia sancionadora: asuntos C-683/21 y C-807/21.
El TJUE declara que sólo se puede imponer una multa administrativa a un responsable del tratamiento de datos por infracción del RGPD si dicha infracción se ha cometido de forma culpable, es decir, de forma intencionada o negligente. Así ocurre cuando el responsable del tratamiento no podía ignorar el carácter infractor de su conducta, tuviera o no conciencia de la infracción.
Cuando el responsable del tratamiento sea una persona jurídica, no es necesario que la infracción haya sido cometida por su órgano de administración, ni que ese órgano tuviera conocimiento de ella. Una persona jurídica es responsable tanto de las infracciones cometidas por sus representantes, directores o gestores, como de las cometidas por cualquier otra persona que actúe en el marco de su actividad empresarial y en su nombre.
Además, la imposición de una multa administrativa a una persona jurídica como responsable del tratamiento no puede estar sujeta a que se compruebe previamente que esa infracción ha sido cometida por una persona física identificada.
Asimismo, también se puede imponer una multa a un responsable del tratamiento de datos por las operaciones efectuadas por un encargado del tratamiento, siempre que dichas operaciones puedan imputarse al responsable del tratamiento.