RGPD Q&A: multas administrativas

En el post de hoy responderemos de forma concisa a las preguntas frecuentes sobre las posibles multas administrativas del Reglamento General de Protección de Datos (RGPD), y lo haremos teniendo en cuenta las Directrices sobre la aplicación y la fijación de multas administrativas a efectos del Reglamento (WP253), desarrolladas por el Grupo de Trabajo sobre Protección de datos del Artículo 29.

P: ¿Qué tipo de multas son aplicables bajo el RGPD y qué actividades ilícitas abarcan?

R: El RGPD comprende multas administrativas de dos niveles diferentes:

  • 10 000 000 € o, tratándose de una empresa, de una cuantía equivalente al 2 % del volumen de negocio total anual global del ejercicio financiero anterior (se elegirá la opción de mayor cuantía).
  • 20 000 000 € o, tratándose de una empresa, de una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior (se elegirá la opción de mayor cuantía).

Infracciones relativas a la implementación de los principios fundamentales, licitud del tratamiento, condiciones para el consentimiento o transferencias de datos a terceros países, entre otras, se encontrarían en el nivel superior, mientras que las infracciones relacionadas con el consentimiento del niño, protección de datos desde el diseño y por defecto o evaluaciones de impacto relativas a la protección de datos, entre otras, estarían situadas en el nivel inferior.

P: ¿En base a qué se impondrán multas administrativas, y cómo podemos esperar que esto se dé en la práctica?

R: Los criterios de evaluación a la hora de imponer sanciones administrativas –y que serán tenidos en cuenta por las autoridades de control a la hora de definir una multa determinada– bien en solitario o acompañada de otro tipo de medida correctiva de las comprendidas en el artículo 58, apartado 2 del RGPD son:

  • la naturaleza, gravedad y duración de la infracción;
  • la intencionalidad o negligencia en la infracción;
  • cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  • el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que se hayan aplicado en virtud de los artículos 25 y 32;
  • toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  • el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
  • las categorías de los datos de carácter personal afectados por la infracción;
  • la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  • cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
  • la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42;
  • cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

P: ¿Serán las organizaciones multadas con la máxima cantidad incluso si demuestran que se han tomado las medidas necesarias para reducir el riesgo de quiebras de seguridad?

R: La mejor forma de responder a esta pregunta es analizando los principios que las autoridades de control (AEPD en España) deben observar a la hora de abordar las medidas correctivas adecuadas.

1. Equivalencia: esto hace referencia a la necesidad de que las autoridades de control de la UE tengan poderes equivalentes a la hora de supervisar y garantizar el cumplimiento normativo y que exista un grado de cooperación entre las autoridades que garantice que las sanciones son equivalentes y consecuentemente se eviten “divergencias que dificulten la libre circulación de datos personales dentro del mercado interior.”

2. La medida correctiva debe ser efectiva, proporcionada y disuasoria: la autoridad de control debe de llevar a cabo una evaluación de todos los hechos de forma coherente y objetivamente justificada, y deberá reflejar el objetivo de la medida seleccionada (multas administrativas en el caso que nos ocupa).Se espera que la práctica y la jurisprudencia que vaya surgiendo a la hora de interpretar este principio ayude a proporcionar una determinación más exacta de la proporcionalidad, efectividad y disuasión. Además, las autoridades de control deberán de tener en cuenta el concepto de concepto de empresa previsto por el TJUE en virtud de sus artículos 101 y 102, es decir, que “debe entenderse como una unidad económica que puede estar formada por la sociedad matriz y todas las filiales participantes.”

3. La autoridad de control deberá llevar a cabo una evaluación individual en cada caso.

4. Planteamiento armonizado: debe existir una cooperación y comunicación entre las autoridades de control y, en su caso, con la Comisión Europea.

En definitiva, si la organización ha actuado negligentemente no cumpliendo con los requisitos legales del RGPD y sufre una quiebra de seguridad que incumbe a 500.000 individuos, cuyos datos se ven afectados por una fuga de datos personales no cifrados, dicha entidad podría enfrentarse –a partir del 25.05.2018– a una multa muy superior a la que obtendría si hubiera cumplido con sus obligaciones.

En el caso de quiebras de seguridad, las organizaciones que hayan hecho avances significativos para cumplir el RGPD, implementando un Sistema de Gestión de Seguridad de la Información (SGSI o ISMS en inglés) tal como la norma ISO 27001 y, por lo tanto, garanticen que los datos personales estén adecuadamente protegidos y exista un proceso interno de notificación de violaciones de seguridad, entre otras, habrán tomado medidas necesarias para reducir el riesgo de que estas se produzcan. Esto se tendrá en cuenta por parte de la autoridad de control a la hora de imponer multas administrativas, siempre observando los principios anteriormente mencionados.

P: ¿Serán las sanciones administrativas aplicables a las instituciones caritativas?

R: Sí. El RGPD es aplicable a cualquier organización por igual.

P: ¿Irán las multas administrativas siempre acompañadas de otras medidas correctivas previstas en el artículo 58 RGPD?

R: No. No siempre será necesario complementar una medida con otra medida correctiva. Es decir, el efecto disuasorio podría lograrse exclusivamente con una multa administrativa.

Debo añadir que dicho artículo sirve como orientación para las autoridades de control a la hora de decidir qué medidas son apropiadas en cada caso concreto, ya que tales medidas son de naturaleza distinta y destinadas a la consecución de fines diferentes.  Las directrices sobre aplicación y fijación de multas administrativas del Grupo de Trabajo 29 (WK523) establecen –tal y como hemos aclarado antes– que “la autoridad de control determinará la medida correctiva más efectiva, proporcionada y disuasoria para responder a la violación.”

 

Si te ha interesado este artículo, no dudes en echar un vistazo a las próximas fechas de celebración de nuestro curso de introducción al Reglamento General de Protección de Datos. Un especialista en la materia te guiará por todo lo que tienes que saber sobre la nueva normativa.

Más información aquí >>

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.