¿Miedo a sanciones RGPD LOPD por incumplimientos de la normativa?

Uno de los principales desconocimientos de las empresas en materia de protección de datos personales, más allá de los riesgos que una mala gestión puede provocar en la información personal de los interesados y los lógicos daños que esto provocaría en su reputación y su cuenta de resultados, consiste en las sanciones a las que se expone para el caso de incumplimiento.

A estos efectos, una de las novedades incluidas en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) es incrementar ostensiblemente el importe de estas sanciones hasta cifras de 20 millones de euros. Esto supone un aumento radical frente a los 600 mil euros previstos en la anterior normativa de la Ley Orgánica 15/1999.

El RGPD-LOPDGDD, si bien si concreta el rango que puedan alcanzar estas sanciones, recoge un sistema de sanciones y actuaciones de corte muy genérico, no concretando expresamente las conductas objeto de sanción ni estableciendo actuaciones específicas ante su comisión.

Afortunadamente, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, si concreta conductas típicas, manteniendo la diferencia entre infracciones muy graves, graves y leves. Por el otro lado, persiste en la vaguedad con respecto a la fijación de la cuantía, manteniendo el amplio abanico del Reglamento para fijar una multa.

TIPOS DE INFACCIONES RGPD – LOPD

De tal forma, el régimen estatal en materia de infracciones por protección de datos, se divide en muy graves, graves y leves:

Muy graves

Las que supongan un incumplimiento sustancial del tratamiento y tengan que ver con:

  • Uso de los datos para una finalidad diferente a la pactada.
  • Omisión del deber de correcta información al afectado.
  • Exigencia de un pago para poder acceder a los datos propios almacenados.
  • Transferencia internacional de información sin garantías.

Plazo de prescripción: 3 años.

Graves

Serán consideradas infracciones graves las que supongan una vulneración sustancial del tratamiento y tengan que ver con:

  • Datos de un menor recabados sin consentimiento.
  • Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos.
  • Incumplimiento de nombrar responsable o encargado de tratamiento de datos.

Plazo de prescripción: 2 años.

Leves

Las restantes no contempladas en los grupos anteriores.

Algunos ejemplos:

  • No transparencia de la información.
  • Incumplimiento de no informar al afectado cuando lo haya solicitado.
  • Incumplimiento por parte del encargado de sus obligaciones.

Plazo de prescripción: 1 año.

SUJETOS RESPONSABLES

  1. Los responsable de los tratamientos.
  2. Los encargados de los tratamientos.
  3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. Las entidades de certificación.
  5. Las entidades acreditadas de supervisión de los códigos de conducta.

Resulta importante matizar que la figura del (DPO) no puede ser objeto de sanción.

IMPORTE DE LAS SANCIONES RGPD – LOPD

Como comentábamos anteriormente la LOPD GDD no determina la cuantía de las sanciones, sino una vez más nos remite al RGPD, impidiendo llevar a cabo ninguna determinación.
El importe de las sanciones del RPGD es el siguiente:

  • Infracciones muy graves: se sancionarán con multas administrativas que pueden alcanzar los veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% de la facturación.
  • Infracciones graves: se sancionarán con multas administrativas que puedan ascender hasta los diez millones de euros o, si se trata de una empresa, una cuantía máxima del 2 % de la facturación.

ALEGACIONES

Dentro del procedimiento sancionador existe una fase previa de alegaciones, una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado

CONCLUSIÓN

El espíritu que el legislador ha querido imbuir en el establecimiento de estas sanciones es claramente disuasorio, pretendiendo que la Administración y las empresas se vean compelidas a cumplir puntualmente con la normativa de protección de datos ya que como ciudadanos de la Unión Europea tenemos el derecho a tener nuestra privacidad bajo control. Es por ello que ante el temor a una sanción de esta magnitud todas las empresas debemos ser observantes y garantizar la protección de datos de nuestros clientes, empleados y demás interesados.