Las sanciones en el nuevo Reglamento Europeo de Protección de Datos
Con el nuevo nacen nuevas obligaciones que las empresas deberán cumplir y se endurece el régimen sancionador aplicable, incrementándose las la cuantías de las sanciones.
Lo que se pretende con las sanciones es lograr una protección efectiva de los datos de carácter personal, reforzando tanto los derechos de los interesados como las obligaciones de aquellas entidades y empresas que traten datos personales.
El derecho a reclamar si no se respeta el GDPR
En el capítulo VIII del GDPR, en concreto en el artículo 77, se establece que cualquier ciudadano europeo que considere que se ha vulnerado su derecho fundamental a la protección de datos y tenga pruebas de ello, puede ponerlo en conocimiento del organismo competente con el fin de que se sancione al infractor para que cese la infracción.
Artículo 77: Derecho a presentar una reclamación ante una autoridad de control
“(…) todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.”
¿Qué es una autoridad de control?
Cada uno de los países miembros designará una institución pública que se encargue de velar de forma proactiva de la imposición del Reglamento. En España es la Agencia Española de Protección de Datos, la que se encargará de investigar la obtención, tratamiento, uso y seguridad de los datos personales de los ciudadanos residentes en Europa. |
Características en la imposición de multas
En su artículo 83 el reglamento establece las condiciones generales para la imposición de multas de carácter administrativo.
El legislador europeo ha indicado que las multas administrativas deben cumplir con una serie de características en su imposición:
- Individuales: Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual
- Efectivas. Las sanciones para que cumplan su objetivo deben aplicarse de manera cierta.
- Proporcionadas. La sanción debe ser equitativa e idónea teniendo en cuenta los principios que la justifican y los fines que persigue
- Disuasorias. El objetivo de las sanciones no es otro que persuadir a los ciudadanos para que eviten infringir el reglamento.
Cada autoridad de control es la responsable de que cada actuación sancionadora se ajuste a estas características señaladas.
Criterios para imponer sanciones
El art. 83.2 del GDPR establece, de forma general, los criterios para imponer las sanciones. Algunas de las circunstancias generales que van a valorar las autoridades a la hora de fijar las sanciones serán:
- La gravedad de la infracción. Teniendo en cuenta por ejemplo la cantidad de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
- La intencionalidad o negligencia en la infracción.
- Las medidas adoptadas para disminuir los daños ocasionados y solventar la situación creada por la infracción.
- El grado de responsabilidad del responsable o del encargado del tratamiento, según las medidas técnicas u organizativas que hayan aplicado.
- La cooperación que la empresa realice con la autoridad de control.
- La categoría de los datos de carácter personal afectados por la infracción.
- La forma en que la autoridad de control tuvo conocimiento de la infracción.
- La adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados.
- Cualquier infracción anterior cometida por el responsable o el encargado del tratamiento.
- Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
En caso de incumplimiento del GDPR, ¿a cuánto ascienden las sanciones?
El artículo 83 del Reglamento establece la cuantía de las multas a imponer, y las separa en dos rangos:
1. Sanciones graves
De 10 millones de euros como máximo o, en caso de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía, en el caso de las siguiente infracciones:
-
- Las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43
- Las obligaciones de las autoridades de certificación según los artículos 42 y 43 (certificación y organismo de certificación).
- Las obligaciones del organismo de control (supervisión de códigos de conducta aprobados).
2. Sanciones muy graves
De 20 millones de euros como máximo o, si es una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía, cuando no se respeten las siguientes normas:
-
- Los principios básicos para el tratamiento, incluidos los requisitos para el consentimiento (principios relativos al tratamiento, licitud del mismo, condiciones para el consentimiento, y el tratamiento en las categorías especiales de datos personales).
- Los derechos de los afectados (transparencia y modalidades, información y acceso a datos personales, derecho de rectificación y supresión, derecho de oposición y decisiones individuales automatizadas).
- Las transferencias de datos personales a un destinatario situado en un tercer país o una organización internacional (principio general de transferencias, transferencias basadas en una decisión de adaptación, transferencias utilizando garantías adecuadas, normas corporativas obligatorias, transferencias o comunicaciones no autorizadas por el derecho de la unión, y las excepciones para situaciones específicas).
El tratamiento de datos sin contar con el consentimiento
explícito del interesado.
Actualmente: sanciones de 300K € como máximo.
Con el GDPR: 20M de euros o el 4% del volumen de negocio total anual
del ejercicio financiero anterior.
Además de lo anterior, el GDPR permite a los Estados miembros establecer normas en materia de sanciones penales por infracciones del GDPR.
Estas sanciones podrían incluso suponer la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo, incumpliendo con lo dispuesto en la normativa.
Indemnizaciones por daños y perjuicios
Otro punto importante del GDPR es la previsión, en su artículo 82, del derecho de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del GDPR a recibir una indemnización del responsable o encargado del tratamiento por los daños y perjuicios sufridos.
El GDPR establece que el interesado pueda ejercitar su derecho a través de un mandato a una entidad, organización o asociación sin ánimo de lucro para que presente y ejerza la reclamación en su nombre.
Puede preverse por tanto que el número de reclamaciones que recibirán las empresas y entidades se verá incrementado de forma sustancial.
Conclusión
No cabe ninguna duda de que, con el nuevo GDPR, todas las entidades y empresas se están viendo obligadas a revisar sus actuaciones y medidas de seguridad en materia de protección de datos, para evitar así las consecuencias desagradables por incumplimiento.
No sólo se trata del elevado importe de las sanciones, que tiene una clara finalidad disuasoria, sino del daño en la reputación de las empresas que puede llegar a suponer el incumplimiento, dada la creciente preocupación de los ciudadanos por los abusos y malos usos en el tratamiento de sus datos personales.
Entendemos que las distintas leyes nacionales deberán especificar aún más todos aquellos aspectos que la nueva normativa europea no ha desarrollado: las cuestiones referentes a la graduación específica de las sanciones, o la prescripción tanto de las infracciones como de las sanciones.