Monday, 09 July 2018

Las nuevas sanciones que impone el Reglamento de Protección de Datos

VolverEl nuevo Reglamento General de Protección de Datos (en adelante RGPD) que entró en vigor en mayo de 2016 y empezaba a ser de obligado cumplimiento desde el 25 de mayo de 2018, entre otras novedades, implanta un régimen sancionador más rígido e impone multas administrativas más elevadas que la anterior Ley Orgánica de Protección de Datos.

La nueva normativa establece las consecuencias a las que se podría enfrentar una empresa o entidad en caso de incumplir las disposiciones del nuevo RGPD.

Desde el Departamento de Derecho Mercantil y  Digital de Belzuz Abogados, S.L.P., como abogados expertos en Protección de Datos queremos analizar las nuevas sanciones, responsabilidades, así como los recursos a los que nos enfrentamos tras el nuevo Reglamento.

El nuevo RGPD regula en el capítulo VIII, en los arts. 77-84, ambos inclusive, los recursos, responsabilidad y sanciones respecto al incumplimiento del mencionado Reglamento. Bien es cierto, que a día de hoy la Agencia Española de Protección de Datos (en adelante AEPD), autoridad de control Española, no ha publicado ninguna resolución en base a la nueva normativa, sino que las últimas resoluciones publicadas son con arreglo a la LOPD. De hecho, de las últimas sanciones, previas a la aplicación obligatoria del RGPD, y más notorias por su cuantía que publicó la AEPD fue la que se impuso a Facebook por el incumplimiento de la LOPD, en concreto por el tratamiento sin consentimiento de datos especialmente protegidos, tipificados en la LOPD como infracciones graves y muy graves, condenándose a la compañía con una sanción de 1.200.000 Euros. También se le interpuso una sanción de 300.000 Euros a Google por captar datos personales a través de redes wifi con los coches de servicio “Street View”. Sin embargo, cabe mencionar que esas sanciones podrían haber sido mayores de haberse interpuesto de acuerdo al RGPD.

El actual RGPD no establece un rango mínimo de cuantía, sino que establece las multas administrativas de acuerdo con el incumplimiento de las disposiciones que indica en su artículo 83.4 y 5. El importe de las mismas varía en función de la infracción, es decir, para el supuesto de que se incumplan determinadas obligaciones por parte del responsable o encargado del tratamiento, por parte de los organismos de certificación o por parte de la autoridad de control, en este caso la sanción podrá alcanzar un máximo de hasta 10.000.000 Euros, o tratándose de empresas, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, siendo esta la sanción administrativa referenciada en el artículo 83.4. Sin embargo, el artículo 83.5 impone sanciones de mayor cuantía por otro tipo de infracciones, como infringir los principios básicos para el tratamiento, infringir los derechos de los interesados, incumplir los establecido en el RGPD respecto a las transferencias de datos personales a un destinatario de un tercer país u organización internacional, el incumplimiento de una resolución o de una limitación temporal, o la suspensión de los flujos de datos por parte de la autoridad de control, etc. Aunque el RGPD no clasifica la gravedad de las infracciones, podemos entender que las de este apartado son las de mayor gravedad por el importe de la multa administrativa, siendo el límite de 20.000.000 Euros, o cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tratándose de empresa.

Dado que la falta de clasificación de las infracciones del RGPD ofrece inseguridad jurídica, el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, aun en discusión en el Congreso de los Diputados, clasifica las infracciones como muy graves, graves o leves, lo que nos garantiza mayor seguridad jurídica a la hora de clasificar e imponer la multa por la infracción.

Las multas administrativas se impondrán, dependiendo de cada caso individual, de forma adicional o sustitutiva de las medidas contempladas en el artículo 58.2 RGPD (excepto la letra i), en el que se reflejan una serie de poderes correctivos de los que dispone la autoridad de control en caso de infracciones: sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento puedan infringir lo dispuesto en el Reglamento, sancionar al encargado o responsable del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el Reglamento; ordenar al encargado o responsable del tratamiento que atiendan a las solicitudes de ejercicio de los derechos del interesado; imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición; ordenar al responsable del tratamiento que informe al interesado las violaciones de la seguridad de los datos personales; entre otras.

Al decidir por la multa administrativa y su cuantía según el caso concreto, se tendrán en cuenta algunos aspectos, de entre los que cabe destacar:

- La naturaleza, gravedad y duración de la infracción.

- Intencionalidad o negligencia en la infracción.

- Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.

- Grado de responsabilidad del responsable o encargado del tratamiento.

- Categoría de los datos de carácter personal afectados por la infracción.

El incumplimiento de las resoluciones dictadas por la autoridad de control que hayan interpuesto según el artículo 58.2 RGPD, anteriormente indicado, se sancionará con multas administrativas de 20.000.000 Euros como máximo o, tratándose de empresa,, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Estas multas administrativas no serán superiores a la cuantía prevista para las infracciones más graves, es decir, no serán superiores a 20.000.000 Euros, en el supuesto de que el responsable o encargado del tratamiento incumpla el referenciado Reglamento de forma intencionada o negligente, para las mismas operaciones de tratamiento.

Otra de las novedades que implanta el nuevo Reglamento, aparte de las elevadas cuantías de las sanciones ya examinadas, es la posibilidad de cada Estado miembro de establecer normas sobre si se puede y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en ese Estado miembro.

Al margen de las sanciones administrativas comentadas, las personas tendrán derecho a ser indemnizadas por los daños y perjuicios ocasionados, materiales o inmateriales como consecuencia de una infracción del RGPD por parte del responsable o encargado del tratamiento. El responsable o encargado del tratamiento estarán, no obstante, exentos de responsabilidad si demuestran que no son los responsables del daño ocasionado. Si bien, el responsable del tratamiento responderá de los daños y perjuicios causados en el supuesto de que no cumpla con las obligaciones establecidas en el Reglamento, en el caso del encargado del tratamiento responderá de los daños y perjuicios causados por incumplimiento en su actividad de lo referido en el Reglamento para el supuesto de las funciones del encargado, así como de las directrices marcadas por el responsable del tratamiento. Merece la pena indicar que, de acuerdo con el artículo 82 RGPD, la responsabilidad en el supuesto de pluralidad de responsables o encargados del tratamiento o un responsable y encargado del tratamiento hayan participado en una misma operación de tratamiento, será solidaria, es decir, responderán del daño o perjuicio ocasionado cualquiera de los responsables o encargados implicados. Cuando uno de los responsables o encargados hayan realizado el pago de la indemnización total por el daño ocasionado, tendrán derecho a reclamar al resto de responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados. Cada responsable o encargado del tratamiento que tenga que pagar su parte de la indemnización por la indemnización total pagada, lo hará de acuerdo a su condición de responsable o encargado y de acuerdo con sus responsabilidades a las que esté sujeto.

Finalmente, en cuanto a los posibles recursos a los que puede acceder, mencionar que cualquier interesado, cuando vea infringidos sus derechos, de acuerdo con el artículo 77 RGPD “…tendrá derecho a presentar una reclamación ante una autoridad de control, en particular en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, si considera que el tratamiento de datos personales que le conciernen infringe el Reglamento”. En el punto 2, el mencionado artículo, regula que “la autoridad de control ante la que se haya presentado la reclamación informará al reclamante sobre el curso y el resultado de la reclamación, inclusive sobre la posibilidad de acceder a la tutela judicial”.

Dentro del artículo 78 RGPD se regula el derecho a la tutela judicial efectiva contra una autoridad de control, en caso de España sería la AEPD, para aquéllos supuestos en los que no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada, en cuyo caso la persona física o jurídica tendrá derecho a la tutela judicial efectiva. Igualmente, tendrán derecho a la tutela judicial contra una decisión jurídicamente vinculante de una autoridad de control que les concierna. Estas acciones contra la autoridad de control deberán de ejercitarse ante los Tribunales del Estado miembro en que esté la autoridad de control.

En el Departamento de Derecho Mercantil de Belzuz Abogados, S.L.P., hemos apreciado la conveniencia de exponer las novedosas y elevadas sanciones y responsabilidades a las que podría enfrentarse un responsable o encargado del tratamiento en aquéllos escenarios en los que el interesado pueda ver perjudicados o violados sus derechos en el ámbito de la protección de datos o cuando considere que se han infringido sus derechos relativos al RGPD e interponga una reclamación administrativa o extrajudicial ante la autoridad de control o ante los Tribunales y estos resuelvan interponiendo una multa administrativa o una indemnización de acuerdo con el daño o perjuicio ocasionado. Siendo una de nuestras especialidades la Protección de Datos y pudiendo asesorar y ser de ayuda en cuanto sea preciso para evitar sanciones o posibles indemnizaciones por parte de los responsables y encargados del tratamiento o para la defensa en expedientes sancionadores, ante acciones judiciales, así como la interposición de las mismas.

Commercial and Corporate Law department | Madrid (Spain)

 

Belzuz Abogados SLP

This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.

Madrid

Belzuz Abogados - Madrid office

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

This email address is being protected from spambots. You need JavaScript enabled to view it.

Lisbon

Belzuz Abogados - Lisbon office

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisbon

+351 21 324 05 30

+351 21 347 84 52

This email address is being protected from spambots. You need JavaScript enabled to view it.

Oporto

Belzuz Abogados - Oporto office

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

This email address is being protected from spambots. You need JavaScript enabled to view it.

Associations

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa