Datablock - DPO-AEPD

Vaya al Contenido

CONSECUENCIAS DE INFRINGIR EL RGPD

DPO-AEPD
Publicado de en DPO · 6 Julio 2019
 
Las consecuencias de infringir el RGPG, contempladas en los art.58 y 83 del RGPD, son poco concisas y dependen del criterio de cada autoridad de control. Además, el RGPD puede plantear dudas en cuanto a su plena compatibilidad con el artículo 25 de nuestra Constitución y, en particular, con el principio de tipificación legal de infracciones y sanciones.
 
Junto con las medidas correctivas previstas en el art.58 del RGPD, las multas administrativas contempladas en el art.83 del mismo son un elemento esencial del nuevo régimen de ejecución introducido por el RGPD, puesto que constituyen una parte importante de los instrumentos de ejecución de que disponen las autoridades de control (la AEPD en nuestro caso).
 
Una vez que se ha determinado que existe una infracción del RGPD, la AEPD debe identificar las medidas correctivas más apropiadas para abordar dicha infracción. Cualquiera de estas medidas ha de ser efectiva, proporcionada y disuasoria.
 
Las disposiciones del art.58,2, b) hasta j), señalan las medidas correctivas que la AEPD puede utilizar para abordar el incumplimiento de un responsable o un encargado del tratamiento. La disposición del art.58,2,a, se refiere a la posibilidad de que las operaciones de tratamiento previstas puedan infringir el RGPD, es decir, que la infracción aún no se ha producido.
 
Las medidas correctivas pueden ser:
 
Sancionar con advertencia (art.58,2,a)
 
Sancionar con apercibimiento (art.58,2,b)
 
Ordenar atender solicitudes de ejercicio de derechos (art,58,2,c)
 
Ordenar ajustar el tratamiento (art.58,2,d)
 
Ordenar comunicación violación de seguridad (art.58,2,e)
 
Imponer limitación al tratamiento (art.58,2,f)
 
Ordenar rectificación, limitación o supresión (art.58,2,g)
 
Retirar certificación emitida (art.58,2,h)
 
Imponer una multa administrativa según art.83 (art.58,2,i)
 
Ordenar suspensión flujo datos a terceros (art.58,2,j)
 
Las consecuencias más onerosas para el responsable y/o encargado del tratamiento, de infringir el RGPD, son las multas administrativas (art.83 del RGPD).
 
Según el art.83,2, las multas administrativas se impondrán en función de cada caso individual, a título adicional o sustitutivo de las medidas correctivas contempladas en el art.58,2,a,h,j. En el RGPD no se estipulan cuantías concretas para infracciones concretas, solo cuantías máximas. En cualquier caso, al decidir la imposición de una multa administrativa, se tendrá en cuenta (art.83,2):
 
a) la naturaleza, gravedad y duración de la infracción, así como la naturaleza, alcance o propósito del tratamiento y el número de interesados afectados y nivel de daños. En el considerando 148 del RGPD, se presenta la noción de infracciones leves. Estas pueden constituir violaciones de una o varias disposiciones del art.83,4 o 5 del RGPD. El número de interesados afectados debe evaluarse para determinar si se trata de un hecho aislado o sistemático. También ha de evaluarse la finalidad del tratamiento. La duración de la infracción puede ser indicativa de un acto premeditado, de la no adopción de medidas preventivas apropiadas o de la incapacidad para implantar las medidas organizativas y técnicas exigidas.
 
b) la intencionalidad o negligencia de la infracción. En general, la intencionalidad implica conocimiento y voluntariedad en relación con las características de un delito, mientras que involuntario significa que no hubo intención de cometer la infracción, aunque el responsable o encargado del tratamiento incumplieran la obligación de cautela que exige la ley. Las violaciones intencionadas, que demuestran desprecio por las disposiciones de la ley, son mas graves que las violaciones involuntarias y, por tanto, es mas probable que justifiquen la imposición de una multa administrativa. Las conclusiones pertinentes sobre la voluntariedad o negligencia de una infracción del RGPD, se extraerán identificando los elementos objetivos de la conducta, recabados gracias a los hechos emanados del caso. Puede considerarse circunstancia indicativa de violaciones intencionadas, el tratamiento ilegitimo autorizado explícitamente por los superiores del responsable del tratamiento o, los llevados a cabo a pesar de los consejos en contra del DPD, la modificación de datos personales para ofrecer una impresión engañosa (positiva) sobre el cumplimiento de los objetivos (p.ej. en el contexto de los objetivos de tiempo de espera en los hospitales) o el comercio de datos personales con fines de mercadotecnia, vendiéndolos como participación voluntaria sin comprobar la opinión de los interesados sobre como deberían usarse sus datos, o haciendo caso omiso de su opinión. Se consideraría negligencia la falta de lectura y aceptación de las políticas existentes, errores humanos, la falta de comprobación de datos personales en la información publicada o la falta de adopción de políticas adecuadas. El responsable y el encargado no pueden legitimar violaciones del RGPD alegando escasez de recursos. Las rutinas y la documentación de las actividades del tratamiento han de seguir forzosamente un enfoque basado en los riesgos (considerandos 75 a 77 del RGPD).
 
c) las medidas tomadas para paliar los daños y perjuicios causados. Los responsables y encargados del tratamiento de los datos tienen la obligación de aplicar medidas técnicas y organizativas para garantizar un nivel adecuado al riesgo al que están expuestos los derechos y las libertades individuales derivados del tratamiento de datos personales (art.32 y considerando 83). Cuando se produce una violación y el interesado ha sufrido daños y perjuicios, la parte responsable debe de hacer todo lo que esté a su alcance para paliar las consecuencias para las personas afectadas. La AEPD tendría en cuenta dicha conducta responsable o la ausencia de ella, a la hora de seleccionar las medidas correctivas, así como el cálculo de la sanción a imponer.
 
d) el grado de responsabilidad, habida cuenta de las medidas técnicas y organizativas aplicadas. Los art.25 y 32 del RGPD exigen que los responsables del tratamiento tengan en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas. Estas disposiciones introducen una obligación de medios para el responsable.
 
e) toda infracción anterior cometida. Se evalúa la trayectoria de la entidad que comete la infracción, pues una infracción anterior demostraría un nivel general de conocimiento insuficiente o desprecio por las normas de protección de datos.
 
f) el grado de cooperación con la AEPD. El grado de cooperación con la AEPD se tendrá debidamente en cuenta a la hora de decidir la imposición de una multa administrativa y su cuantía. Cuando la intervención del responsable haya tenido el efecto de impedir o paliar las consecuencias negativas sobre los derechos de las personas, esto también se tendrá en cuenta a la hora de seleccionar la medida correctiva.
 
g) la categoría de los datos personales afectados. ¿La infracción afecta al tratamiento de categorías especiales de datos establecidas en los art.9 o 10)? ¿Los datos son directa o indirectamente identificables? ¿Los datos están directamente disponibles, o están cifrados o anonimizados?
 
h) si se notificó la infracción y en qué medida. La AEPD podría tener conocimiento de la infracción como resultado de una investigación, reclamaciones, artículos de prensa, avisos anónimos o la notificación de un responsable del tratamiento de los datos. El responsable tiene la obligación de notificar a la AEPD las violaciones de la seguridad del tratamiento (art.33 RGPD). Si se limita a cumplir dicha obligación, esto no se puede considerar un factor atenuante.
 
i) si se han cumplido las medidas impuestas por el art.58,2.
 
j) la adhesión a códigos de conducta o mecanismos de certificación. El responsable o encargado del tratamiento pueden utilizar la adhesión a códigos de conducta aprobados para demostrar el cumplimiento, de acuerdo con el art.24,3, el art.28,5, o el art.32,3.
 
k) cualquier factor agravante o atenuante, como beneficios financieros o perdidas evitadas mediante la infracción. La información sobre el beneficio obtenido como resultado de una violación puede ser especialmente importante para la AEPD, ya que la ganancia económica resultante de una infracción no se puede compensar con medidas que no tienen un componente pecuniario.
 
Si los interesados han sufrido daños y perjuicios, ha de tenerse en cuenta el nivel de los mismos. El tratamiento de datos personales puede generar riesgos para los derechos y las libertades individuales, tal y como se ilustra en el considerando 75 del RGPD. La AEPD debe de tener esto en cuenta a la hora de seleccionar la medida correctiva, aunque carezca de competencias para otorgar indemnizaciones.
 
Las infracciones de las disposiciones siguientes se sancionarán, con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía(art.83,4).
 
Cuando no se cumplan las obligaciones del responsable y encargado en los siguientes artículos:
 
1)Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información(art.8)
 
2)Tratamientos que no requieren identificación(art.11)
 
3)Protección de datos desde el diseño y por defecto(art.25)
 
4)Corresponsables del tratamiento(art.26)
 
5)Representantes de responsables o encargados del tratamiento no establecidos en la Unión(art.27)
 
6)Encargado del tratamiento(art.28)
 
7)Tratamiento bajo la autoridad del responsable o del encargado del tratamiento(art.29)
 
8)Registro de las actividades del tratamiento(art.30)
 
9)Cooperación con la autoridad de control(art.31)
 
10)Seguridad del tratamiento(art.32)
 
11)Notificación de una violación de la seguridad de los datos personales a la autoridad de control(art.339)
 
12)Comunicación de una violación de la seguridad de los datos personales al interesado(art.34)
 
13)Evaluación de impacto relativa a la protección de datos(art.35)
 
14)Consulta previa a la Autoridad de Control(art.36)
 
15)Designación del Delegado de Protección de Datos(art.37)
 
16)Posición del Delegado de Datos(art.38)
 
17Funciones del Delegado de Protección de Datos(art.39)
 
18)Certificación(art.42)
 
19)Organismo de Certificación(art.43)
 
20)Supervisión de Códigos de Conducta aprobados(art.41,4)
 
Las infracciones de las disposiciones siguientes se sancionarán, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía(art.83,5).
 
Cuando no se cumplan las obligaciones del responsable y encargado en los siguientes artículos:
 
1)Principios relativos al tratamiento(art.5)
 
2)Licitud del tratamiento(art.6)
 
3)Condiciones para el consentimiento(art.7)
 
4)Tratamiento de categorías especiales de datos personales(art.9)
 
5)Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado(art.12)
 
6)Información que deberá facilitarse cuando los datos personales se obtengan del interesado(art.13)
 
7)Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado(art.14)
 
8)Derecho de acceso del interesado(art.15)
 
9)Derecho de rectificación(art.16)
 
10)Derecho de supresión, el antiguo derecho al olvido(art.17)
 
11)Derecho a la limitación del tratamiento(art.18)
 
12)Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento(art.19)
 
13)Derecho a la portabilidad de los datos(art.20)
 
14)Derecho de oposición(art.21)
 
15)Decisiones individuales automatizadas, incluida la elaboración de perfiles(art.22)
 
16)Principio general de las transferencias(art.44)
 
17)Transferencias basadas en una decisión de adecuación(art.45)
 
18)Transferencias mediante garantías adecuadas(art.46)
 
19)Normas corporativas vinculantes(art.47)
 
20)Transferencias o comunicaciones no autorizadas por el derecho de la Unión(art.48)
 
21)Excepciones para situaciones específicas(art.49)
 
22)Tratamiento y libertad de expresión y de información(art.85)
 
23)Tratamiento y acceso del público a documentos oficiales(art.86)
 
24)Tratamiento del número nacional de identificación(art.87)
 
25)Tratamiento en el ámbito laboral(art.88)
 
26)Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público fines de investigación científica o   histórica o fines estadísticos(art.89)
 
27)Obligaciones de secreto(art.90)
 
28)Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas(art.91)
 
29)El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de   datos por parte de la Autoridad de Control (art.58,2), o el no facilitar acceso(art.58,1)
 
En cuanto a cómo aborda la LOPDGDD este tema, se refiere a tres tipos de infracciones, pero lo hace de forma especialmente cauta y por ello los artículos 72, 73 y 74 son aparentemente tan peculiares. No hay una clara tipificación de infracciones calificándolas de muy graves, graves o leves, sino una regulación de la prescripción de las infracciones de la que deriva la posibilidad, en función del plazo de la citada prescripción, de poder considerar determinadas conductas como infracciones que no son, sino que se consideran, muy graves, graves o leves. Con ello no se pretende ni tipificar ni proceder a la triple calificación de las infracciones en función de su gravedad, sino hacer girar el régimen en torno a los plazos de prescripción. Esto se debe a que el Derecho de la Unión Europea no admite la tipificación y clasificación de las infracciones por parte de cada estado miembro, pues con ello se rompería la unificación del régimen sancionador a nivel europeo. Pero sí deja a cada Estado fijar los plazos de prescripción, lo que nos ha permitido optar por el modelo que diseñan los artículos 72 a 74 de la LOPDGDD. También llama la atención que no se determine la cuantía de las multas que corresponden a cada categoría de infracciones. Una vez más la presencia de una norma comunitaria con naturaleza de Reglamento, como es el RGPD, impide llevar a cabo esa determinación, lo que nos pone de nuevo en el límite de la constitucionalidad del modelo. Teniendo en cuenta además el amplísimo abanico que supone poder imponer multas desde 0 a 20 millones de Euros, o incluso más. Lo que una vez más se quiere de algún modo concretar, cuando menos, al fijar los plazos de prescripción, no de las infracciones, sino de las sanciones, art.78 de la LOPDGDD (D. José Luis Piñar Mañas, catedrático de Derecho Administrativo).
 
El art.83,7 especifica que el Estado podrá establecer normas sobre si se puede y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado. En España, el legislador, en línea con el modelo vigente en la LOPD de 1999, ha establecido que a las autoridades y organismos públicos no cabe imponerles multas económicas (art.77 de la LOPDGDD).
 
El art.83,8 establece que la Autoridad de Control, en el ejercicio de sus poderes a la hora de imponer multas administrativas, estará sujeta a garantías procesales adecuadas, entre ellas la tutela judicial efectiva.
 
Si un interesado denuncia ante la Autoridad de Control una infracción al RGPD, y ésta multa al denunciado, el importe de la sanción se destinará en su totalidad a la Autoridad de Control. Si el interesado cree merecer indemnización, ha de recurrir a los tribunales, según el art.79 (Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento). Hay que recordar que los tribunales están sujetos al RGPD.
 


sin comentarios
Regreso al contenido