Nuevo reglamento europeo de protección de datos: Sanciones y responsabilidad

De acuerdo con el nuevo Reglamento Europeo de Protección de Datos (RGPD) las sanciones buscan lograr una mayor armonización en la protección de tales datos y asegurar un nivel igualitario de protección a lo largo de la Unión Europea. Más allá de penalizar las infracciones de datos de manera individual, las sanciones han de servir como elemento disuasorio para otras empresas.

Sanciones administrativas

Las sanciones administrativas pueden ser multas o medidas correctivas, como la limitación o la prohibición de tratamiento, rectificación o eliminación de datos personales; o la suspensión de la transmisión de datos a un país ajeno de la Unión o del Espacio Económico Europeo. Las multas pueden imponerse junto con o en sustitución de las medidas correctivas. A la hora de decidir si se impone una multa y que cuantía imponer, las autoridades competentes han de tener en cuenta en cada caso la naturaleza, gravedad y duración de la infracción, el propósito del tratamiento, el número de afectados, el nivel de daño, la naturaleza dolosa o negligente de la infracción, las medidas preventivas o reparadoras adoptadas, la responsabilidad del encargado de tratamiento, las medidas técnicas y organizativas implementadas y otros factores agravantes o atenuantes que sean de relevancia.

Para casos de menor gravedad y sin riesgo significativo para los interesados, la sanción puede implicar una mera advertencia, sin imponer una multa.

Las infracciones severas se clasifican en dos categorías: las de la primera pueden llevar aparejadas una multa de hasta 10 millones de euros o de hasta el 2% de la facturación global anual del año fiscal precedente (la mayor de ambas cantidades), y las de la segunda categoría, pueden conllevar multas de hasta 20 millones de euros o de hasta el 4% de la facturación global anual del año fiscal precedente (la mayor de ambas cantidades). La primera categoría comprende, entre otras, el no cumplimiento de los principios de privacidad desde el diseño y de privacidad por defecto, el no cumplimiento del deber de registrar las actividades de procesamiento, el incumplimiento de las reglas de seguridad en el tratamiento, infracción por no comunicación de filtración de información o incumplimiento en la realización de análisis de impacto. La segunda categoría incluiría: violaciones en relación al consentimiento, transferencias de datos personales a países ajenos a la UE o del Espacio Económico Europeo, el tratamiento en el contexto del empleo o el incumplimiento de las órdenes de la autoridad competente.

No se incluye en el RGPD la consideración de la capacidad financiera de las compañías a la hora de imponer multas. Las autoridades competentes han de armonizar sus prácticas e imponer multas en volúmenes similares por incumplimientos similares a lo largo de la Unión. Las pequeñas empresas han de ser conscientes de esto, ya que una única multa puede costarles su negocio.

Sanciones civiles y penales

Los interesados tienen derecho a compensaciones civiles por daños materiales y morales por parte del responsable y/o el encargado de tratamiento que solo podrán declinar su responsabilidad si pueden probar que no fueron, de ninguna forma los causantes del daño. De acuerdo con el art. 80, las asociaciones de protección al consumidor estarán legitimadas para presentar demandas por filtración de información en nombre de los interesados. Además, las filtraciones de información también pueden ser constitutivas de delito. El Art. 84 habilita a los Estados Miembros a implementar disposiciones penales a su discreción.

¿Quién puede ser responsable?

Además del responsable, el encargado de tratamiento también puede ser causante de incumplimientos de manera individual o conjunta. Además, a los delegado de Protección de Datos no se les puede imponer sanciones administrativas, aunque pueden ser responsables por daños en relación al responsable o encargado si se determina su culpa en el hecho de haber prestado un asesoramiento inadecuado.

Los profesionales de nuestras diferentes oficinas están a su disposición para resolver cualquier duda en esta materia.