El Régimen Sancionador en el RGPD y el Anteproyecto. Parte II.

Jueves, 28 Septiembre 2017 10:20
Publicado en Blog
Escrito por  Visto 1940 veces
Valora este artículo
(1 Voto)

Tal y como adelantábamos en nuestro anterior artículo, hoy analizaremos las sanciones a imponer, a responsables y encargados de tratamiento, por la comisión de infracciones tipificadas y la regulación que de las mismas hace el Reglamento Europeo de Protección de Datos (en adelante RGPD), y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Anteproyecto) con respecto a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)

Las sanciones deberán ser individuales, efectivas, proporcionadas y disuasorias, así lo establece el RGPD en su artículo 83.1. Será la Agencia Española de Protección de Datos (en adelante AEPD) a quién corresponderá su imposición (art.48 Anteproyecto en relación con art.58 RGPD), teniendo en cuenta los criterios de graduación (atenuantes y agravantes) que el RGPD recoge en su artículo 83.2:

a. La naturaleza, la gravedad y la duración de la infracción cometida.
b. La intencionalidad o negligencia a la hora de cometer la infracción.
c. Las medidas tomadas por el responsable para paliar los efectos de la infracción.
d. El grado de responsabilidad del responsable o encargado del tratamiento, habida cuenta de las medidas técnicas y organizativas aplicadas a los tratamientos.
e. Las infracciones anteriormente cometidas por el responsable o encargado del tratamiento.
f. El grado de cooperación con la autoridad de control para poner remedio a la infracción así como para mitigar sus efectos.
g. Las categorías de datos afectados con la infracción.
h. La forma en que la autoridad de control tuvo conocimiento de la infracción.
i. El cumplimiento de las medidas establecidas en el artículo 58, apartado 2, del RGPD siempre que estas hayan sido previamente ordenadas contra el responsable o encargado de que se trate en relación con el asunto.
j. La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
k. Demás factores atenuantes o agravantes aplicables a las circunstancias del caso concreto.

Haciendo uso de lo indicado en este último apartado k referido, el legislador español ha incluido otros factores que podrán tenerse en cuenta para graduar las sanciones (art.76.2), esto es:

a. El carácter continuado de la infracción.
b. La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
c. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d. La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e. La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

El RGPD contempla la posibilidad de que las sanciones impuestas no sean sólo de carácter económico. A partir de mayo de 2018, los Estados miembros (EM) podrán establecer normas en materia de sanciones penales por infracciones del RGPD, que incluso conlleven la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo, incumplimiento con lo dispuesto en la normativa.

Otro punto importante recogido en el l RGPD, es la previsión del derecho de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o encargado del tratamiento por los daños y perjuicios sufridos (art.82). Un derecho que no es realmente novedoso en el ordenamiento español pero que, sin embargo, cobra fuerza con el RGPD.

Sin embargo, el peso de las novedades del RGPD en materia del régimen sancionador recae sobre el significativo aumento del importe de las sanciones económicas en caso de producirse una infracción tipificada en el RGPD y el Anteproyecto. En este sentido, el artículo 83 del RGPD en sus apartados 4 y 5, si bien no establece unas cuantías mínimas para dichas sanciones como si hacía la LOPD, prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de hasta 20.000.000 de euros, o de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía para aquellos casos en los que se trate de una empresa.

Por último, es importante mencionar la posibilidad que otorga el RGPD a los EM, en su artículo 84, de establecer normas en materia de otras sanciones aplicables a las infracciones del RGPD, en particular aquellas que no se condenen con sanciones económicas, como por ejemplo el apercibimiento.

Nos reservamos para un próximo artículo el estudio de esta figura y el análisis de la aplicación del régimen sancionador respecto de los organismos públicos.

Parte I.

Marta Castrillo de la Fuente

Abogada TIC – Consultora Protección de Datos

PRODAT en Castilla y León

Inicia sesión para enviar comentarios

Modificado por última vez en Jueves, 28 Septiembre 2017 11:01

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal