Sanciones protección de datos con la nueva LOPD
El régimen sancionador en materia de protección de datos ha sufrido una modificación sustancial desde el pasado 25 de mayo de 2018, fecha de obligatoria aplicación del Reglamento General de Protección de Datos (RGPD).
Posteriormente, el 6 de diciembre de 2018, se publicó la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (nueva LOPD) que concreta ciertos aspectos sobre las sanciones protección de datos impuestas por el RGPD.
En el post de hoy, desde Grupo Adaptalia analizaremos algunas de estas novedades, volviendo la vista atrás al RGPD.
1. ¿Cuáles son las sanciones protección de datos?
El RGPD, impone las siguientes multas:
- Multa de hasta 10 millones de euros o un 2% del volumen del negocio total anual global del ejercicio financiero anterior, por infracciones como no adoptar medidas de seguridad apropiadas o no nombrar a un delegado de protección de datos cuando sea obligatorio.
- Multa de hasta 20 millones de euros o un 4% del volumen del negocio total anual global del ejercicio financiero anterior, por infracciones como vulnerar los derechos de los afectados o el incumplimiento de los principios básicos del tratamiento.
Como puede apreciarse, el RGPD establece un sistema dual para fijar la cuantía de las sanciones protección de datos: la multa podrá consistir en una cifra exacta (hasta 20 millones de euros), o bien, podrá calcularse en función de un determinado porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa sancionada (hasta el 4%).
Se elegirá la multa más gravosa, es decir, si la multa inferida de aplicar el porcentaje sobre el volumen de negocio total anual global es superior a la cifra exacta, se optará por el primer sistema.
2. ¿Quién debe garantizar la imposición de las sanciones protección de datos? ¿existen factores de graduación?
La autoridad de control del cada Estado miembro, es la que debe garantizar la imposición de las multas conforme al RGPD.
En el ámbito nacional, la autoridad de control en materia de protección de datos es la Agencia Española de Protección de Datos (AEPD).
El RGPD, dispone que las autoridades de control deberán valorar las condiciones particulares de cada caso y adecuar la sanción en función de las mismas.
En este sentido, el RGPD establece a título enunciativo un listado de factores de graduación que deben tener en cuenta las autoridades de control a la hora de decidir la cuantía a imponer en cada caso concreto:
- La naturaleza, gravedad y duración de la infracción teniendo en cuenta el alcance o propósito de la operación de tratamiento así como el número de afectados y el nivel de los daños sufridos.
- La intencionalidad o negligencia de la infracción
- Cualquier medida tomada por el responsable o encargado de tratamiento para paliar los daños y perjuicios ocasionados.
- El grado de responsabilidad de responsable o encargado de tratamiento en función de las medidas técnicas y organizativas aplicadasInfracciones anteriores cometidas
- Grado de cooperación con la autoridad de control para paliar los daños de la infracción
- La categoría de los datos afectados
- La forma en que la autoridad conoció la infracción
- Adhesión a códigos de conducta o mecanismo de certificación
- Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso
3. ¿Cuáles son las novedades de la nueva LOPD respecto a las sanciones protección de datos?
A continuación, enumeraremos las novedades que incorpora la nueva LOPD, respecto al régimen sancionador (artículos 70 y siguientes nueva LOPD):
Se identifica a los sujetos responsables:
- Responsables de los tratamientos
- Encargados de los tratamientos
- Representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE
- Entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta
- Se dispone expresamente que el régimen sancionador no será aplicable al delegado de protección
Se establecen listados de infracciones, diferenciando su plazo de prescripción:
- Muy graves: prescriben a los tres años
- Graves: prescriben a los dos años
- Leves: prescriben al año
Añade nuevos criterios de graduación, a los ya previstos por el RGPD:
- El carácter continuado de la infracción
- La vinculación de la actividad del infractor con la realización de tratamientos de datos personales
- Los beneficios obtenidos como consecuencia de la comisión de la infracción
- La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción
- La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente
- La afectación a los derechos de los menores
- Disponer, cuando no fuere obligatorio, de un delegado de protección de datos
- El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.
Se establecen plazos de prescripción de las sanciones protección de datos:
- Sanciones por importe igual o inferior a 40.000 euros: un año.
- Sanciones por importe comprendido entre 40.001 y 300.000 euros: dos años.
- Sanciones por importe superior a 300.000 euros: tres años.
Como consultoría en protección de datos resolvemos todas sus inquietudes al respecto, ocupándonos si fuese necesario de la Defensa en procedimientos sancionadores de la AEPD así como ante la Jurisdicción Contencioso Administrativa. Por otro lado, ponemos a su disposición formación al respecto con diversos cursos formativos en varias modalidades. Consulte nuestra página de curso protección de datos y contáctenos sin compromiso.