Nuevo régimen sancionador de protección de datos

INTRODUCCIÓN

Cuando hablamos de protección de datos, lo primero que se nos viene a la cabeza es la obtención y la gestión de los datos personales de los particulares por parte de cualquier empresa o entidad, los derechos de aquellos y todas las obligaciones que estas deben cumplir para garantizar todos los preceptos establecidos en la normativa. Sin embargo, muchas veces se ignora cuáles son las repercusiones de no cumplir con los preceptos legales en materia de protección de datos y qué implicaciones conlleva para las mencionadas empresas o entidades que se desvíen en el tratamiento de los datos de carácter personal.

A nivel empresarial, se trata de uno de los puntos más relevantes puesto que, del mismo, podrían derivar diferentes consecuencias negativas y gravosas a estas empresas o entidades, por lo que es importante que conozcan y respeten los preceptos legales que les son aplicables con el fin de evitar sorpresas desagradables y, lo que es aún peor, muy costosas para ellas.

En este sentido y con respecto a nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) endurece el régimen sancionador aplicable no sólo a los responsables del tratamiento de los datos de carácter personal, sino también a los encargados del tratamiento de estos (de aquellas empresas y entidades que tratan datos personales por encargo del responsable), procediendo a incrementar las cuantías de las sanciones por el incumplimiento de las disposiciones previstas para proteger los datos de carácter personal, implicando un cambio sustancial que debe ser tenido en cuenta por todas las empresas y entidades a la hora de tratar datos personales, adaptándose a las estipulaciones del nuevo Reglamento y adecuándose a todos los cambios que este prevé, de tal forma que pueda evitar sorpresas desagradables e imprevistas.

RÉGIMEN VIGENTE CON LA ACTUAL LEY 15/1999

Antes de tratar y entrar a la valoración de las nuevas implicaciones que trae el régimen sancionador del nuevo RGPD, es importante señalar cuáles serían las consecuencias para una empresa o entidad que incumpliese actualmente la normativa prevista en protección de datos en la LOPD, de tal forma que se pueda comprobar de forma fehaciente el cambio sustancial que se produce y se advierta la gravedad de las nuevas sanciones de forma palpable y clara.

La Ley 15/1999, regula el régimen sancionador en su Título VII, concretamente en los artículos 43 a 49. Este título fue modificado por la Ley 2/2011 de 4 de marzo de Economía Sostenible, en concreto, en su Disposición Final quincuagésima sexta e incluyendo la reforma de los artículos 43, 44, 45, 46 y 49 de la LOPD.

La LOPD prevé una serie de sanciones en caso de incumplimiento de lo estipulado en sus disposiciones, y están dirigidas tanto a aquellas empresas que traten datos personales de forma directa (consideradas responsables del fichero) como a aquellas que traten datos de carácter personal por encargo y en nombre del responsable del fichero (encargados del tratamiento). Estas sanciones están graduadas en base a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a cualquier otra circunstancia que sea relevante para determinar el grado de culpabilidad.

La LOPD, concretamente en su artículo 44, regula tres grados de infracción: leve, grave y muy grave. Cada una de ellas prevé un rango de sanciones diferente que variará teniendo en cuenta la graduación anteriormente mencionada. Específicamente, las infracciones leves se enfrentan a sanciones entre 601,01 € y 60.101,21 €, las infracciones graves a sanciones entre 60.101,21 € y 300.506,25 €, y por último, las infracciones muy graves se enfrentan a sanciones entre 300.506,25 € y 601.012,1 €.

Por su parte, la Ley de Economía Sostenible vino a modificar la cuantía de las sanciones previstas por la LOPD de tal forma que se aumentó la cuantía mínima de las infracciones leves de 601, 01 € y se redujo el límite superior previsto de 60.101, 01 a 40.000 €.  Por otra parte, se ampliaron los criterios de graduación de las sanciones económicas en función de la trascendencia de la infracción cometida, estableciendo una serie de nuevos atenuantes, que permiten aplicar la escala inferior en grado de las sanciones.

Además de modificar la clasificación de los hechos que dan lugar a las sanciones leves, graves y muy graves, esta Ley vino a estipular nuevos criterios de graduación de las sanciones, tales como el volumen de negocio de la empresa infractora o los criterios de intencionalidad a la hora de cometer la infracción (beneficios obtenidos por la infracción, esfuerzo realizado por la empresa para implantar procedimientos y medidas de seguridad conforme a la legislación en protección de datos, etc.) También se contemplan nuevos criterios de atenuación en el caso de probarse la regularización diligente de la infracción cometida, de reconocerse de forma espontánea la culpabilidad o de probarse la inducción a la comisión de la infracción por parte del afectado, entre otras. Por último, introduce, con carácter excepcional y limitado, la figura del apercibimiento, la cual otorga la posibilidad al órgano sancionador de evitar que se abra el régimen sancionador. El apercibimiento única y exclusivamente podrá tener lugar si los hechos fuesen constitutivos de infracción leve o grave, nunca muy grave y el infractor no hubiese sido apercibido o sancionado con carácter previo.

Asimismo, la referida normativa vino a definir el procedimiento de resolución de las infracciones en materia de protección de datos que fueran cometidas por las administraciones públicas. En este sentido, en los casos de incumplimiento por parte de la administración, procederá el dictado de una resolución por parte de la Agencia Española de Protección de Datos, que será comunicada al responsable del fichero, al órgano del que dependa jerárquicamente y, en su caso, a los afectados, determinando qué medidas procederá adoptar para la cesación o corrección de los efectos de la infracción.  Es decir, que los posibles incumplimientos de las administraciones públicas en materia de protección de datos, se resolverían sin imponer sanción pecuniaria alguna, sino imponiendo una “mera” adopción de medidas correctoras.

Además de lo anterior, la Agencia Española de Protección de datos podría proponer, igualmente, la adopción de medidas disciplinarias contra los empleados públicos que vulnerasen la normativa de protección de datos, que vendrían determinadas por lo dispuesto en el Título VII del Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público.

Una vez analizado y teniendo claro el actual sistema sancionador en protección de datos que prevé nuestro ordenamiento jurídico, procederemos a analizar cuáles son las modificaciones más relevantes que prevé el nuevo RGPD, por una parte, así como en qué medida y cómo afectará a las empresas o entidades.

NOVEDADES INTRODUCIDAS POR EL RGPD

Como hemos mencionado, el nuevo RGPD en su título VIII prevé  una serie de cambios muy relevantes en el campo del régimen sancionador persiguiendo la protección efectiva de los datos de carácter personal, reforzando y especificando tanto los derechos de los interesados como las obligaciones de aquellas entidades y empresas que traten datos personales.

De forma específica y por su importancia, cabe comenzar mencionando el sustancial incremento del importe de las sanciones pecuniarias en aquellos casos en los que se incurra en una infracción tipificada en el RGPD.

En este sentido merece especial mención el art. 83 en sus apartados 4 y 5, que sin hacer mención específica a cuantías mínimas, prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de 10.000.000 o 20.000.000 de euros, o en el caso de que se trate de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Dentro del artículo 83 se mencionan, por otra parte, los casos específicos que darán lugar a una u otra multa o cuantía, respondiendo la graduación de las sanciones la adecuación al nivel de seguridad correspondiente, siempre en base a los riesgos que entrañe el tratamiento de los datos personales afectados teniendo en cuenta especialmente las posibles  infracciones cometidas con anterioridad por la entidad o empresa, los tipos de datos afectados, la notificación proactiva por parte de la entidad o la empresa a la autoridad de control, la adhesión a códigos de conducta o mecanismos de certificación previstos en el RGPD o cualquier factor agravante/atenuante aplicable al caso, entre otras.

Además de lo anterior, el RGPD, permite a los Estados miembros establecer normas en materia de sanciones penales por infracciones del RGPD, que pueden, incluso, suponer la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo, incumplimiento con lo dispuesto en la normativa.

Por su parte, en lo que respecta a las administraciones públicas, el RGPD viene a acabar, al menos en lo que a la redacción de sus preceptos se refiere, con el diferente régimen sancionador establecido por la normativa actual, para las infracciones cometidas por las entidades de derecho privado y por las de derecho público.

En este sentido, el artículo 83.7 del RGPD, establece la capacidad de las autoridades de control de imponer multas administrativas, esto es, sanciones económicas (como en el caso de las empresas privadas), a autoridades y organismos públicos establecidos en los Estados miembros, que así lo hayan establecido. Es decir, el RGPD otorga a los Estados miembros la capacidad de establecer normas respecto a si se puede imponer multas administrativas a la administración pública (lógicamente de dicho Estado) y, en su caso, la medida de las mismas.

Sin embargo, pese a que esta circunstancia resulta novedosa, al menos, como se decía anteriormente, en lo que a la concepción igualitaria entre empresa privada y organismos públicos del régimen sancionador del RGPD se refiere, no parece probable que los Estados miembros permitan que se lastre a sus propios organismos públicos con las sanciones económicas establecidas por el RGPD y que, indudablemente, resultarían enormemente gravosas para las arcas públicas.

No obstante lo anterior, conviene resaltar, que el propio RGPD prevé que los Estados Miembros establezcan otras sanciones aplicables a las infracciones previstas, tanto por empresas privadas como por organismos públicos, adoptando todas las medidas necesarias para garantizar su observancia y garantizando que dichas sanciones sean efectivas, proporcionadas y disuasorias. Por lo tanto,  habrá que estar a las sanciones y medidas complementarias que, en su caso, prevea el Estado Español y a si las mismas serán aplicables en igual medida a las empresas privadas y a los organismos públicos.

Como añadidura a todo lo anterior, otro punto importante del RGPD es la previsión, en su artículo 82, del derecho de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o encargado del tratamiento por los daños y perjuicios sufridos. Si bien es cierto que esta previsión no es realmente novedosa en nuestro ordenamiento, ya que la LOPD prevé en su artículo 19 el derecho a la indemnización de las personas físicas como consecuencia del incumplimiento de lo dispuesto en la LOPD por parte del responsable o del encargado del tratamiento, siempre que se sufra un daño o lesión en sus bienes o derechos a través de una acción por responsabilidad civil, la realidad es que esta previsión ha tenido poca aplicación práctica, del RGPD se desprende la intención de darle a esta previsión una mayor presencia, dotándola de una mayor sencillez y permitiendo, incluso, que el interesado ejercite su derecho a través de un mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y la ejerza en su nombre. De esta manera, parece que este derecho cobra fuerza, por lo que puede preverse que el número de reclamaciones que recibirán las empresas y entidades se verá incrementado de forma sustancial.

A tenor de lo anterior, debe resaltarse que la obligación de indemnizar impuesta por el RGPD, afectará a todos los responsables que hayan intervenido en el tratamiento, en caso de que el referido tratamiento no cumpla con lo establecido en el RGPD, y a los encargados cuando hayan incumplido las obligaciones impuestas por el RGPD a los mismos o en los casos en los que incumplan las instrucciones que les hayan sido proporcionadas por los responsables. Siempre y cuando, tanto los responsables como los encargados, no sean capaces de demostrar que no ostentan responsabilidad alguna en los hechos que han motivado la indemnización por daños y perjuicios en favor del interesado que haya resultado perjudicado por el tratamiento ilícito de sus datos.

De hecho, como añadidura, conviene señalar que dicha asunción de responsabilidades, en cuanto a la satisfacción de indemnizaciones por los daños y perjuicios causados, también afecta a los tratamientos comunes realizados por varios responsables (es decir, la corresponsabilidad prevista en el artículo 26 del RGPD) e incluso por varios encargados, los mismos podrán responder de la totalidad de los perjuicios causados  a los interesados, a fin de garantizar la indemnización efectiva del interesado. Sin perjuicio de que, con posterioridad al abono de la totalidad de la indemnización al interesado, el responsable o encargado pagador, proceda a la reclamación de la parte de la indemnización que corresponda a los demás responsables o encargados que hayan participado en la misma operación de tratamiento.

Después de este análisis, no cabe ninguna duda de que el nuevo RGPD obligará a todas las entidades y empresas a revisar sus actuaciones y medidas de seguridad en materia de protección de datos actuales, de tal forma que queden adecuadas y adaptadas a las nuevas previsiones, toda vez que, de algunos tratamientos cotidianos en la actualidad, pueden derivarse consecuencias significativamente más gravosas para las empresas o entidades.

IMPLICACIONES PRÁCTICAS DEL NUEVO RÉGIMEN SANCIONADOR

Según se ha venido refiriendo a lo largo del presente artículo, las novedades introducidas por el RGPD, en lo que al régimen sancionador de las infracciones cometidas en materia de protección de datos se refiere, son relevantes principalmente en lo que respecta al alcance de las sanciones económicas establecidas.

Sin embargo, conviene llevar a cabo un ejercicio práctico a fin de contrastar las sanciones que podrían derivarse del incumplimiento de la normativa actual en algunos de los tratamientos que son llevados a cabo normalmente por las empresas y entidades, con aquellas que corresponderían según lo dispuesto por el nuevo régimen sancionador establecido por el RGPD.

En este sentido, circunstancias relativamente habituales en los tratamientos cotidianos llevados a cabo actualmente, como serían la comunicación de los datos a prestador de servicios sin suscribir el correspondiente acuerdo de encargo de tratamiento en la forma establecida por la normativa o la realización del tratamiento sin implantar las medidas de seguridad necesarias, sancionados en la actualidad con la suma máxima de 300.000 €, podrían ser sancionadas en virtud del RGPD, con la suma máxima de 10M de euros o un 2% del volumen de negocio total anual del ejercicio financiero anterior.

Por su parte,  la  recogida de datos sin especificar detalladamente cada una de las finalidades del tratamiento, que sería sancionado con la normativa actual con un importe máximo de 40.000 €; la no supresión de los datos una vez los mismos hayan dejado de ser útiles para la finalidad para la que fueron recabados, o finalizada la fase de bloqueo, cuando existieran responsabilidades legales exigibles en vigor; el tratamiento de los datos sin contar con el consentimiento explícito del interesado en los casos en los que el mismo fuera necesario; que en la actualidad se sancionan con un máximo de 300.000 €; o la realización de transferencias internacionales con destino a países que no garanticen un nivel adecuado de protección sin la contar con la legitimación necesaria, sancionado en la actualidad con hasta 600.000 €,  con el RGPD podrían llegar a ser sancionados con la suma de 20M de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.

Es decir, pese a que el importe de las referidas sanciones administrativas podrá ser atenuado, la cuantía de las mismas hace que los posibles incumplimientos de la normativa resulten significativamente gravosos en comparación con el régimen sancionador actual, cuyas sanciones ya no resultan fácilmente asumibles por las PYMES españolas, por lo que las empresas deberán ser especialmente cuidadosas a la hora de cumplir con las exigencias del RGPD y la normativa de protección de datos estatal que lo desarrolle.

CONCLUSIONES

Conforme se ha venido desarrollando en el presente artículo, el importe y el alcance de las sanciones establecidas por el régimen sancionador del RGPD, implican un importante cambio respecto a lo establecido por la normativa actual. De ello, pueden extraerse dos conclusiones claras.

Por un lado, la necesidad de que las empresas o entidades adopten cuantas medidas sean necesarias para garantizar el debido cumplimiento de la normativa de protección de datos y ser capaces de acreditarlo, ya que, de lo contrario, deberían hacer frente a las importantes sanciones económicas establecidas por el RGPD, que, en determinados casos, podrían, incluso, poner en riesgo la pervivencia de la empresa.

Y por otro, que la intención del legislador europeo no es otra, y así se plasma tanto en el considerando 152, como en el propio artículo 83, que dotar a las sanciones impuestas de una finalidad disuasoria. Es decir, que actúen como elemento de presión, o de coacción, para que las empresas o entidades cumplan con el RGPD y con la normativa estatal que sea de aplicación.

Los “punitives damages”, propios del derecho anglosajón, han llegado a la protección de datos.

Nuevo régimen sancionador de protección de datos”, artículo de Sonia Vázquez y Javier de Miguel, Abogados de ECIJA, para Economist & Jurist.