El 25 de mayo, si no se ha producido la promulgación de la
nueva Ley, el Reglamento europeo es aplicable directamente, dejando la primera
de tener vigencia.
En relación con el régimen sancionador en la Ley y
Reglamento todavía vigentes, el artículo 45.4 de la Ley establece tres grados
de infracción: leve, grave y muy grave. Cada una son sancionadas entre 601,01 €
y 60.101,21 €, las leves, entre 60.101,21 € y 300.506,25 €, las graves y por
último, las muy graves entre 300.506,25 € y 601.012 €.
Por su parte, la Ley de Economía Sostenible modificó la
cuantía a los importes de las sanciones leves y graves (art. 45.1 y 2). Las
sanciones por infracciones leves pasaron a ser sancionadas con multa de 900 a
40.000 euros, y las graves con multa de 40.001 a 300.000 euros.
También se modificaron los criterios de graduación de las
sanciones (art. 45.4), introduciendo el
criterio del volumen de negocio o actividad del infractor. También fue
significativo el criterio de que el infractor haya “regularizado la situación
irregular de forma diligente”, y la intencionalidad a la hora de cometer la
infracción (beneficios obtenidos por la infracción, esfuerzo realizado por la
empresa para implantar datos, etc.).
Finalmente, se introdujo la figura del
apercibimiento para aquellos infractores leves o graves no reincidentes.
En caso de incumplimiento por las Administraciones públicas,
se resolvería sin imponer sanción pecuniaria alguna, imponiendo una “mera”
adopción de medidas correctoras, o como mucho, medidas correctoras contra el
empleado público infractor. La Agencia Española de Protección de Datos dictaría
una resolución que se comunicaría al responsable del fichero, al órgano del que
dependa jerárquicamente y, en su caso, a los afectados, determinando qué
medidas procederá adoptar para la cesación o corrección de los efectos de la
infracción.
Pasemos ya directamente el nuevo Reglamento. El artículo 58
establece una serie de poderes de las Autoridades de control (la AEPD en
España), entre ellas la imposición de sanciones. Las multas podrán imponerse
como complemento o en sustitución de otras medidas como la advertencia, apercibimiento, orden de que se
atienda una solicitud de ejercicio de derechos, orden de que el tratamiento se
ajuste a las condiciones legales, limitaciones temporales o definitivas del
tratamiento, retirada de certificaciones y suspensión del flujo transfronterizo
de datos.
La cuantía de las
sanciones se fija en el artículo 84, concretamente en sus apartados 4 y 5, y
oscilan entre los 10 y los 20 millones de euros, según los casos y un
porcentaje de la facturación de la empresa del 2 o el cuatro por ciento.
A la hora de fijar el criterio sobre la procedencia o no de
una sanción, el abanico es muy abierto. Podemos clasificarlas, en relación a su
origen:
Naturaleza de
infracción, intencionalidad o
negligencia, daños y afectados y categorías de los datos de carácter personal
afectados
En relación al infractor.
Responsabilidad, infracciones anteriores, medidas para paliar los daños y perjuicios sufridos por
los interesados.
En relación a la
autoridad de Control, notificación de
infractor y grado de cooperación, con el fin de poner remedio a la infracción y
mitigar sus posibles efectos adversos. Cumplimiento de medidas correctoras que
haya ordenado la autoridad de control y adhesión a códigos de conducta o a
mecanismos de certificación aprobados con arreglo al RGPD.
La Ley en proyecto, establece una graduación de las
sanciones, continuando con la denominación de leves, graves y muy graves. Sin
embargo no especifica la sanción aplicable a cada una de ellas. Aunque si los
criterios de graduación, en la línea que lo hace el Reglamento. Llama ello la
atención, porque el artículo 78, al fijar la prescripción de las sanciones,
establece un arco entre inferiores a 40.000 euros, prescripción en un año y
superiores a 300.000 euros, prescripción en tres años.
Concepto novedoso, en la línea, los “punitives damages”,
propios del derecho anglosajón, es el
derecho a una indemnización de los interesados que hayan sufrido daños y
perjuicios materiales o inmateriales como consecuencia de una infracción del
RGPD. El artículo 82 del RGPD le da el derecho a recibir del responsable o
encargado del tratamiento una indemnización. Habrá que prestar atención a la
figura del Delegado de Protección de Datos, como responsable tanto por no
adopción de las medidas necesarias, como incluso pro la culpa in vigilando que
le concierne. El interesado puede
ejercer su derecho, incluso a través de una entidad sin ánimo de lucro.
El régimen que hemos visto es de bastante complejidad y muy
interpretativo. Pero es que además el ánimo sancionatorio, no pesa
especialmente en la Agencia Española. Una más de las muchas funciones que la
actual normativa concede al Delegado de Protección de datos, es la remisión de
las reclamaciones que no se hayan
formulado previamente ante él. Dispondrá de un mes para poder resolverlas y de
este modo evitar la sanción.
Concluimos señalando que, a pesar del severo régimen
sancionador de la nueva normativa, se han establecido los cauces legales para
evitar estas sanciones, bien con una adecuada planificación, o bien con la
segunda oportunidad que significa la remisión al Delegado de Protección de
Datos de las denuncias interpuestas ante la AEPD. Por el contrario, las
organizaciones deberán prestar especial atención a los daños y perjuicios a los
particulares afectados. Por Jesús Medina Jaranay.
Contenido curado por Isabel Asolo
(Community Manager) HERAS ABOGADOS BILBAO S.L.P.
No hay comentarios:
Publicar un comentario