Particulares y empresas somos conscientes de la importancia que tiene la ClickDatos. Pero desde que entró en vigor hace unos meses el Reglamento General de Protección de Datos (en adelante lo llamaremos RGPD), parece que la situación se ha vuelto todavía más complicada y hay más posibilidades de que se impongan sanciones a pymes por protección de datos.
Pero tampoco hay que asustarse; si hacemos las cosas bien estaremos a salvo de sanciones. No obstante, conviene ser precavidos y saber a qué podemos exponernos si infringimos la ley.
Sanciones del RGPD
El reglamento europeo que regula las cuestiones relativas a la protección de datos personales ha llegado con muchas novedades. Una de las más destacadas es que se endurecen las sanciones para las PYME y los autónomos que no cumplan con los requisitos establecidos en la normativa para proteger los datos personales.
A diferencia de lo que ocurre en la legislación española, el RGPD no establece un listado que califique las infracciones en leves, graves o muy graves.
A la hora de establecer la cuantía de la multa, que puede llegar a ser de hasta 20 millones de euros o un importe equivalente al 2 o al 4 % del volumen de negocio global anual del ejercicio financiero anterior, se atiende a las siguientes cuestiones:
– Naturaleza, gravedad y duración de la infracción cometida, así como número de afectados y el nivel de daños y perjuicios que han sufrido.
– Presencia de intencionalidad a la hora de cometer la infracción, o bien de negligencia.
– Si se han tomado o no medidas para paliar los daños y perjuicios que han sufrido los afectados.
– Grado de responsabilidad del encargado del tratamiento de datos, para lo que se evaluarán las medidas técnicas u organizativas de que disponga para proteger los datos.
– Comisión de infracciones anteriores.
– Grado de cooperación con las autoridades para intentar mitigar los efectos de la infracción cometida.
– Tipos de datos de carácter personal que se han visto afectados.
– Si el infractor ha sido o no el que ha denunciado el problema.
– En general, cualquier circunstancia atenuante o agravante que pueda resultar de utilidad.
Además, la regulación de las sanciones del RGPD establece que se impondrá la multa de mayor cuantía cuando se vulneren principios básicos en el tratamiento de datos. Esto puede ocurrir si hay infracciones en materia de consentimiento, si se transfieren datos a un tercer país, si se vulneran derechos de los interesados e incluso si se suspenden los flujos de datos a la autoridad de control.
Pero todavía hay más. Ahora, el afectado que haya sufrido daños y/o perjuicios materiales o inmateriales por una infracción de los preceptos de esta norma europea tiene derecho a una indemnización por parte del encargado o del responsable del tratamiento de los datos.
La última novedad que ha traído esta norma en materia de sanciones es que los Estados miembros ahora pueden llegar a regular sanciones penales que se aplicarán en caso de incumplimiento dentro de sus fronteras del RGPD. Es decir, que una mera infracción podría dejar de ser un tema meramente administrativo para pasar a ser una cuestión penal.
En España se han hecho algunos ajustes normativos para dar cabida a lo que dispone el reglamento, pero por el momento no se ha creado ningún tipo penal específico relacionado con el tratamiento de datos de carácter personal.
Cambios y sanciones en la LOPD
En España, la Ley Orgánica de Protección de Datos de 1999 (LOPD) es la que ha regulado durante varios años todo lo relativo a este tema y, en consecuencia, las infracciones. Pero con la entrada en vigor del reglamento europeo han tenido que hacerse algunos ajustes.
La nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales es la 3/2018, publicada en el BOE de 6 de diciembre. Esta conserva la tradición de la legislación anterior de calificar las infracciones en muy graves, graves y leves, que es algo que no hace la norma europea. En cuanto a las sanciones de la LOPD, lo que hace la nueva norma es remitirnos a las del RGPD.
Este es un importante cambio, ya que la anterior LOPD establecía sanciones que oscilaban entre 900 y 600 000 €, una cuantía muy por debajo de las sanciones que se aplican ahora.
Lo que sí hace nuestra norma es regular de forma detallada el procedimiento administrativo sancionador gestionado por la Agencia Española de Protección de Datos.
¿Por qué debes cumplir la normativa europea y española en materia de protección de datos?
No cabe duda de que con la actual regulación sobre infracciones y sanciones las multas son tan altas que por sí mismas ya son razón suficiente para respetar las normas. Si para una empresa grande puede ser un gran problema tener que afrontar multas de las cuantías que hemos señalado, si el infractor es una PYME o un autónomo está claro que una sanción de este tipo puede suponer una auténtica ruina.
Pero no debemos quedarnos únicamente con el miedo a la multa. Hay otras razones por las que nos resulta beneficioso cumplir a rajatabla todas las disposiciones sobre protección de datos personales.
Hay que tener en cuenta que los consumidores cada vez están más informados sobre este tema y conocen mejor sus derechos. Por eso, siempre van a sentirse más seguros si saben que están tratando con una empresa o con un profesional que cumple todas las disposiciones legales sobre protección de datos. Esto es vital tanto para retener a los clientes que ya tienes como para ganar nuevos.
Pero hay todavía más: si gestionas bien los datos consigues mejorar la seguridad en tu empresa, al evitar que datos importantes pasen por demasiadas manos. Además, un mejor control sobre los datos te facilita la gestión y reduce el papeleo y la burocracia.
En definitiva, una empresa que cumple con la normativa no solo evita las sanciones a pymes por protección de datos, sino que además mejora su calidad tanto a nivel interno como a nivel externo, lo que se traduce, a su vez, en una mejora de la competitividad.
