Protección Data

BLOG

PARA ESTAR AL TANTO DE LA REGULACIÓN Y NOVEDADES EN PROTECCIÓN DE DATOS

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

El régimen sancionador previsto en el RGPD y en la LOPDGDD

Una de las cuestiones que más preocupa a los clientes son las posibles sanciones por el incumplimiento de la normativa de protección de datos. Es una pregunta recurrente y mi respuesta siempre es que no se deben preocupar por las sanciones, sino por hacer las cosas bien para que no les sancionen. 

Cuando se infringe la normativa de protección de datos, cabe la posibilidad de que la autoridad de control, esto es, la Agencia Española de Protección de Datos, imponga al infractor una sanción administrativa, cuya cuantía dependerá del tipo o grado de la infracción. 

De inicio, el RGPD prevé en su artículo 83, apartados 4 y 5, los máximos a imponer por infracción:

  • De 10.000.000 € como máximo, y tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando incumpla las obligaciones previstas en el artículo 83.4 del RGPD.
  • De 20.000.000 € como máximo, y tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando incumpla las obligaciones previstas en el artículo 83.5 del RGPD.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales tipifica las distintas infracciones, que podrán ser calificadas de “muy graves” en los supuestos de su artículo 72, que pueden ser sancionadas con multas por un importe superior a 300.000 € y que prescriben a los tres años; como “graves” en los supuestos de su artículo 73, que pueden ser sancionadas con multas por un importe comprendido entre 40.001 € y 300.000 € y que prescriben a los dos años; y como “leves” en los supuestos de su artículo 74, que podrán ser sancionadas con multas por un importe igual o inferior a los 40.000 € y que prescriben al año.

El plazo de prescripción comenzará a contarse a partir del día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.

Las multas administrativas se impondrán en función de las circunstancias de cada caso individual y serán efectivas, proporcionadas y disuasoria, de conformidad con lo dispuesto en el artículo 83.1 del RGPD.

Al decidir la imposición de una multa administrativa y su cuantía según lo previsto en el artículo 83 del RGPD se tendrán en cuenta las siguientes circunstancias:

  1. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento, así como el número de afectados y el nivel de los daños y perjuicios que hayan sufrido.
  2. La intencionalidad o negligencia en la infracción.
  3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
  4. El grado de responsabilidad del responsable o encargado del tratamiento habida cuenta de las medidas técnicas y organizativas que hayan aplicado en virtud de los artículos 25 y 32 del RGPD. 
  5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
  6. El grado de cooperación con la autoridad de control para mitigar los posibles efectos adversos de la infracción.
  7. Categorías de los datos de carácter personal afectados por la infracción.
  8. La forma en que la autoridad de control tuvo conocimiento de la infracción cometida, en particular, si el responsable o el encargado del tratamiento notificó, o no, la infracción y, en tal caso, en qué medida.
  9. El cumplimiento, o no, de las medidas indicadas en el artículo 58 apartado 2 del RGPD cuando hayan sido ordenadas previamente contra el responsable o el encargado del tratamiento en relación con el mismo asunto.
  10. La adhesión a códigos de conducta en virtud del artículo 40 del RGPD o a mecanismos de certificación aprobados con arreglo al artículo 42.
  11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como por ejemplo los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

También, podrán tenerse en cuenta atendiendo al artículo 76 apartado 2 de la LOPDGDD las siguientes circunstancias:

  1. Carácter continuado de la infracción.
  2. Vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
  3. Beneficios obtenidos como consecuencia de la comisión de la infracción.
  4. Posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  5. Existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
  6. Afectación a los derechos de los menores.
  7. Disponer, cuando no fuere obligatorio, de un Delegado de Protección de Datos.
  8. Sometimiento del responsable o el encargado del tratamiento, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

Existen medidas adicionales o sustitutivas a las multas previstas en el artículo 58, apartado 2, letras a) a h) y j) del RGPD.

Además de la multa administrativa, cabe la posibilidad de que el responsable o el encargado del tratamiento sean condenados a pagar una indemnización a los afectados por aquellos daños o lesiones causadas en sus bienes o derechos.

Para concluir quisiera referir un caso como ejemplo. En 2017 un grupo de hackers, vinculado al movimiento Anonymous, atacó los servidores del Sindicato Unificado de la Policía (SUP), quedando expuestos los datos personales (nombre y apellidos, DNI, dirección, teléfono, dirección de correo electrónico, nombre de usuario y contraseña encriptada) de más de 17.700 asistentes a cursos organizados por el SUP, incluidos afiliados. Como consecuencia de ello, la AEPD inició actuaciones de investigación, que terminaron con una sanción al responsable del tratamiento de 40.000 €, que no abonó, porque la sanción fue condonada, y lo fue porque la AEPD consideró que el responsable tomó las medidas adecuadas para minimizar los daños, como fue cerrar inmediatamente el sitio web, además de poner los hechos en conocimiento de la AEPD antes de las 72 horas que marca el RGPD. La AEPD también tuvo en consideración la precaria situación económica del responsable deriva de créditos pendientes de pago y numerosas deudas con la Administración Tributaria, a lo que habría que sumar sus cargas familiares (esposa e hijos). 

La moraleja es que podemos evitar las sanciones, siempre y cuando se adopten las medidas de protección adecuadas, se trate de minimizar los daños, una vez producida la brecha de seguridad, y se colabore con la autoridad de control. No existe el riesgo 0 en Internet, pero hemos de intentar poner todo de nuestra parte.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual