La nueva normativa de protección de datos prevé un régimen sancionador que ha endurecido las sanciones del RGPD en este ámbito.
Entre las principales novedades está el incremento del importe que habremos de pagar por infracciones cometidas por la vulneración del derecho a la protección de datos. Las sanciones pueden oscilar entre diez y veinte millones de euros y, si se tratara de una empresa, se establece una regla técnica por la que se impondrá una cuantía equivalente al 2 o al 4 %, como máximo, del volumen de negocio en el cómputo anual del ejercicio financiero inmediatamente anterior. Se optará por la sanción de mayor cuantía.
Reglas que se tendrán en cuenta al imponer una sanción por el RGPD
Si cometieras una infracción en el ámbito de la protección de datos conforme al RGPD te impondrían la correspondiente sanción estudiando el caso de forma individual. Por tanto, no se trata de un procedimiento automático.
En concreto, si van a imponerte una sanción la autoridad española competente deberá tener en cuenta los aspectos señalados a continuación.
En primer lugar, la naturaleza, gravedad y duración de la infracción cometida. Para ello, se atenderá al propósito de la operación de tratamiento, así como al número de afectados y a los daños y perjuicios causados.
En segundo término, a la intencionalidad o negligencia en la infracción, es decir, si al cometer la infracción buscaste causar un daño a los derechos de los ciudadanos o se trató de una imprudencia grave por falta de cuidado.
Igualmente, la autoridad valorará los medios que hayas tomado como responsable o encargado del tratamiento para paliar los daños y perjuicios causados, así como el grado de responsabilidad y si habías cometido algunas infracciones con anterioridad. Además, es necesario que la autoridad encargada de sancionar aprecie, por un lado, tu grado de cooperación con la autoridad de control como infractor, a fin de poner remedio a la infracción cometida, así como si intentaste mitigar los posibles efectos. Por otro lado, también la categoría de los daños de carácter personal afectados por la infracción.
En último término, debe apreciarse como causa que agrava la responsabilidad, o que la atenúa según el caso, si la autoridad de control tuvo conocimiento de la infracción por medio de una notificación tuya o por otras personas.
La imposición de una sanción, como se ha señalado, dependerá de muchos factores. Se atenderá a otros aspectos como la adhesión de la empresa a códigos de conducta o cualquier otro factor agravante o atenuante que pueda ser aplicable al caso concreto, como pueden ser, en su caso, los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
La tipificación de las infracciones
Los tipos de incumplimiento que puedas cometer están previamente graduados, permitiendo conocer con anterioridad las consecuencias de no cumplir con la normativa de protección de datos.
Por consiguiente, las infracciones muy graves se sancionarán con multas administrativas que pueden alcanzar los veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4 % conforme a la norma técnica señalada anteriormente. Por su parte, las infracciones graves se sancionarán con multas administrativas que pueden ascender hasta los diez millones de euros o, si se trata de una empresa, una cuantía máxima del 2 % conforme a la misma regla.
Por poner un ejemplo, enumeramos a continuación algunas de las infracciones más graves tipificadas en el RGPD. Según ello, se tipifican como faltas muy graves los incumplimientos:
– De los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.
– Al respeto de los derechos de los interesados.
– En las transferencias de datos personales a un destinatario en un tercer país o una organización internacional.
– De toda obligación que se adopte en relación al tratamiento y libertad de expresión y de información.
– De las obligaciones de tratamiento.
– De acceso del público a documentos oficiales.
– Del tratamiento del número nacional de identificación.
– Del tratamiento de la protección de datos en el ámbito laboral.
– De las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos
– De las obligaciones de secreto.
– De las normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.
¿Qué plazo hay para que me sancionen según la LOPD?
En el nuevo proyecto de Ley Orgánica de Protección de Datos (LOPD), que está siendo tramitado en el Congreso de los Diputados y con el que se pretende introducir en el ordenamiento jurídico español el RGPD aprobado por la Unión Europea, se prevé que las infracciones muy graves prescriban a los tres años, las graves a los dos años y las leves al año.
¿Y cuándo tiempo tiene la autoridad para ejecutar las sanciones?
El plazo de prescripción es el tiempo que tiene la autoridad de control para ejecutar o hacer cumplir una sanción. Este plazo comenzará a contar desde que sea ejecutable la resolución por la que se imponga la sanción o haya trascurrido el plazo para recurrirla. En su caso, la prescripción se interrumpirá por la iniciación, con conocimiento del infractor, del procedimiento de ejecución.
Atendiendo de nuevo al proyecto de LOPD se establece una prescripción dependiendo del importe de la sanción. En concreto, las sanciones del RGPD de un importe inferior a 40 000 euros prescriban en el plazo de un año; las comprendidas entre 40 001 y 300 000 euros, en dos años y las superiores a estos importes, a los tres años.
El RGPD pretende que las sanciones incentiven el cumplimiento de la normativa sobre protección de datos
Por todo, las sanciones del RGPD tan elevadas pretenden que las Administraciones y las empresas se vean incentivadas a cumplir la normativa de protección de datos ya que como ciudadanos de la Unión Europea tenemos derecho a que se vea preservada de nuestra intimidad. En consecuencia, el miedo ante una sanción tan elevada obligará a los operadores implicados a cumplir con la normativa y a aplicar los medios adecuados y suficientes que garanticen la protección de datos de carácter personal.