Tal y como adelantábamos en nuestro anterior artículo, hoy analizaremos las sanciones a imponer, a responsables y encargados de tratamiento, por la comisión de infracciones tipificadas y la regulación que de las mismas hace el Reglamento Europeo de Protección de Datos (en adelante RGPD), y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Anteproyecto) con respecto a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD).
Las sanciones deberán ser individuales, efectivas, proporcionadas y disuasorias, así lo establece el RGPD en su artículo 83.1. Será la Agencia Española de Protección de Datos (en adelante AEPD) a quién corresponderá su imposición (art.48 Anteproyecto en relación con art.58 RGPD), teniendo en cuenta los criterios de graduación (atenuantes y agravantes) que el RGPD recoge en su artículo 83.2:
a. La naturaleza, la gravedad y la duración de la infracción cometida.
b. La intencionalidad o negligencia a la hora de cometer la infracción.
c. Las medidas tomadas por el responsable para paliar los efectos de la infracción.
d. El grado de responsabilidad del responsable o encargado del tratamiento, habida cuenta de las medidas técnicas y organizativas aplicadas a los tratamientos.
e. Las infracciones anteriormente cometidas por el responsable o encargado del tratamiento.
f. El grado de cooperación con la autoridad de control para poner remedio a la infracción así como para mitigar sus efectos.
g. Las categorías de datos afectados con la infracción.
h. La forma en que la autoridad de control tuvo conocimiento de la infracción.
i. El cumplimiento de las medidas establecidas en el artículo 58, apartado 2, del RGPD siempre que estas hayan sido previamente ordenadas contra el responsable o encargado de que se trate en relación con el asunto.
j. La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
k. Demás factores atenuantes o agravantes aplicables a las circunstancias del caso concreto.
Haciendo uso de lo indicado en este último apartado k referido, el legislador español ha incluido otros factores que podrán tenerse en cuenta para graduar las sanciones (art.76.2), esto es:
a. El carácter continuado de la infracción.
b. La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
c. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d. La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e. La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
El RGPD contempla la posibilidad de que las sanciones impuestas no sean sólo de carácter económico. A partir de mayo de 2018, los Estados miembros (EM) podrán establecer normas en materia de sanciones penales por infracciones del RGPD, que incluso conlleven la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo, incumplimiento con lo dispuesto en la normativa.
Otro punto importante recogido en el l RGPD, es la previsión del derecho de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o encargado del tratamiento por los daños y perjuicios sufridos (art.82). Un derecho que no es realmente novedoso en el ordenamiento español pero que, sin embargo, cobra fuerza con el RGPD.
Sin embargo, el peso de las novedades del RGPD en materia del régimen sancionador recae sobre el significativo aumento del importe de las sanciones económicas en caso de producirse una infracción tipificada en el RGPD y el Anteproyecto. En este sentido, el artículo 83 del RGPD en sus apartados 4 y 5, si bien no establece unas cuantías mínimas para dichas sanciones como si hacía la LOPD, prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de hasta 20.000.000 de euros, o de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía para aquellos casos en los que se trate de una empresa.
Por último, es importante mencionar la posibilidad que otorga el RGPD a los EM, en su artículo 84, de establecer normas en materia de otras sanciones aplicables a las infracciones del RGPD, en particular aquellas que no se condenen con sanciones económicas, como por ejemplo el apercibimiento.
Nos reservamos para un próximo artículo el estudio de esta figura y el análisis de la aplicación del régimen sancionador respecto de los organismos públicos.
