Sanciones y protección de datos


De la misma manera que las empresas y autónomos cumplen la Ley Tributaria o la Legislación Laboral, es imprescindible que todos aquellos que traten datos personales cumplan con el Reglamento Europeo de Protección de Datos (RGPD) y normativa que lo desarrolle en cada estado miembro de la UE (en España, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales -LOPDGDD-). En este post desarrollaremos las sanciones en materia de protección de datos.

Las infracciones en esta materia conllevan las sanciones más elevadas que existen en la Unión Europea: estamos hablando de sanciones que oscilan desde los 10.000.000 € o el 2 % del volumen de negocio total anual global del ejercicio financiero anterior hasta los 20.000.000 € o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior (infracciones graves y muy graves, respectivamente).

Además, si así lo estima oportuno la Agencia de Protección de Datos, puede acordar la inmovilización de los ficheros donde se almacenan los datos, provocando que cierta actividad de la empresa quede paralizada; ¿os imagináis el daño que puede producir?

Vamos a ir desgranando estos conceptos para entender mejor cuándo podemos estar cometiendo una infracción y, por ello, poder ser sancionados.

¿Qué tipos de sanciones existen en protección de datos?

El RGPD impone las sanciones en función de las infracciones, catalogadas como graves (cuando los responsables o encargados de tratamiento incumplen el Reglamento, no se informa debidamente a los interesados, contratar encargados del tratamiento que no ofrezcan garantías suficientes de cumplimiento del RGPD o falta de adopción de medidas técnicas y organizativas para el tratamiento de datos, entre otras) o muy graves (a empresas que han vulnerado los derechos de los interesados, si no se ha recabado el consentimiento de forma correcta, no haber respetado los principios del RGPD o si se han trasferido los datos personales a una entidad en un tercer país u organización internacional sin las garantías adecuadas, entre otras).

La LOPDGDD matiza lo dispuesto en el RGPD y establece una imposición de las sanciones en función de la tipificación de las infracciones, divididas entre leves, graves o muy graves. Así pues, si bien las infracciones son las mismas, el régimen estatal las divide en:

  • Muy graves, que suponen un incumplimiento fundamental del tratamiento y tienen que ver con:
    • El uso de los datos para una finalidad diferente a la pactada,
    • Omisión, por ejemplo, del deber de informar o hacerlo de forma incorrecta,
    • Exigir un pago para el ejercicio de los derechos de los interesados o
    • Transferir datos internacionalmente sin garantías.  
  • Graves, que suponen una vulneración fundamental del tratamiento y tienen que ver con:
    • Recabar datos de menores sin consentimiento,
    • No adoptar medidas técnicas u organizativas efectivas para proteger los datos o
    • No nombrar un delegado de protección de datos.
  • Finalmente, las leves, no contempladas en los grupos anteriores, como:
    • No ser transparentes con la información,
    • Incumplir el deber de informar cuando un interesado lo haya solicitado o
    • Incumplir las obligaciones por parte de un encargado del tratamiento.

¿Prescriben las infracciones en protección de datos?

Sí. Las muy graves prescriben a los 3 años, las graves a los 2 y las leves al año.

¿Qué es el apercibimiento?

En determinados casos, el RGPD sustituye las sanciones por lo que se conoce como “apercibimiento”, que es una notificación para que el infractor adopte las medidas correctoras que en ella se le indiquen. En estos casos siempre será la Autoridad de Control quien decidirá si impone una sanción económica o un apercibimiento, en función de la naturaleza de los hechos sancionados. Esta es una medida excepcional, pero ello no obsta para que la propia AEPD la haya utilizado cuando ve que la infracción ha sido cometida por desconocimiento. Sin embargo, si los hechos son más graves, no cabe esa posibilidad.

Cuando se recibe un apercibimiento, se deberá acreditar que se han tomado todas las medidas solicitadas por la Agencia. Si no, la multa puede llegar hasta la cantidad máxima.

¿Existe algún tipo de graduación en las sanciones de protección de datos?

El RGPD enumera una serie de factores que se podrán tener en cuenta, y que serán agravantes o atenuantes, en función de las circunstancias del caso (art. 83.2 RGPD); la LOPDGDD añade a este listado más criterios de graduación a los ya previstos en el RGPD.

De esta forma, la sanción puede verse reducida o agravada dependiendo de la infracción cometida, el volumen de negocio del infractor, el grado de intencionalidad y negligencia en la infracción, el grado de responsabilidad del Responsable y/o Encargado del Tratamiento, si existe o no reincidencia, categoría de datos personales y el volumen de datos que se ha visto expuesto, si se ha notificado y colaborado con la autoridad de control, la adhesión a Códigos de Conductas y otros factores tales como beneficios obtenidos, pérdidas evitadas

 ¿Quiénes son los sujetos responsables?

Los sujetos objeto de sanción son los responsables de los tratamientos, los encargados de los tratamientos, los representantes de los responsables o encargados no establecidos en el territorio de la Unión Europea, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta.

Es importante resaltar que los Delegados de Protección de Datos (DPD) no son objeto de sanción.

¿De dónde pueden venir las denuncias?

La propia AEPD puede, de oficio, incoar actuaciones de inspección, sin embargo, las denuncias normalmente provienen a instancia de parte, por un cliente descontento, exempleados, o interesados que ven sus derechos y libertades vulnerados mediante denuncias que pueden realizarse a través del canal de denuncias en la sede electrónica de la AEPD.

¿Cuál es la entidad competente para decidir las sanciones?

Cada Estado Miembro dispone de una o varias autoridades de control que se encargan de velar por la aplicación y cumplimiento del RGPD (en España está la Agencia Española de Protección de Datos, la Autoridad Vasca de Protección de Datos y la Autoritat Catalana de Protecció de Dades) y son estas quienes tienen como misión también investigar este tipo de actuaciones, y si determinan que se ha infringido la normativa, incoar el correspondiente procedimiento sancionador. Entre las diferentes competencias que el Reglamento les atribuye se encuentra el poder correctivo, que incluye la facultad de sancionar aquellas actividades que infrinjan lo dispuesto en el RGPD.

Ejemplos de sanciones en protección de datos más elevadas a nivel Europeo

BRITISH AIRWAYS (AUTORIDAD PD REINO UNIDO) 204.000.000 € por aplicación de medidas de seguridad inadecuadas,

MARRIOT HOTELES (AUTORIDAD PD REINO UNIDO), 110.000.000 € por aplicación de medidas de seguridad inadecuadas,

GOOGLE (CNIL Francia), 50.000.000 € por falta de transparencia en la información proporcionada y falta de consentimiento válido en la personalización de la publicidad,

OFICINA DE CORREOS AUSTRIACA (AUTORIDAD PD DE AUSTRIA), 18.000.000 € para procesar categorías especiales de datos personales (opiniones políticas) al atribuir preferencias hacia ciertos partidos políticos a los interesados ​​utilizando métodos de cálculo estadísticos. En ausencia de un consentimiento explícito dado por los interesados ​​en cuestión y en ausencia de cualquier otra base legal para procesar estos datos, la DSB consideró que esto era contradictorio a lo que dispone el RGPD,

DEUTSCHE WOHNEN SE (AUTORIDAD DE PD BERLÍN), 14.500.000 €, inmobiliaria que guardaba los datos personales de inquilinos sin verificar si su archivo era legal o incluso necesario, guardar más tiempo del necesario y sin aplicar medidas de Seguridad, y

BBVA, (AEPD), 5.000.000 € por 2 infracciones: una muy grave, de 3 millones de euros, por vulnerar el artículo 6 del Reglamento General de Protección de Datos (RGPD), con respecto a la fórmula utilizada para obtener el consentimiento de sus clientes. Y otra leve, de 2 millones de euros, por los datos obtenidos del interesado, que suponen una vulneración de los artículos 13 y 14 del RGPD.

Ejemplos de sanciones españolas en protección de datos

A continuación, os detallamos varios ejemplos recientes de sanciones impuestas por la AEPD:

Como sabéis, en nuestra newsletter quincenal siempre os adjuntamos una sección con las sanciones mas recientes, pero es relevante tener en cuenta que ya no son solo sanciones focalizadas a grandes corporaciones sino que impactan directamente en pymes que no aplican correctamente la normativa.

Si queréis ampliar información sobre las reclamaciones y sanciones por parte de la AEPD tenéis un informe detallado en su memoria anual 2019 (pág. 106)

En conclusión,

El establecimiento de la cuantía tan desorbitante para las sanciones es claramente disuasorio, pretendiendo que la Administración y las empresas se vean obligadas a cumplir correctamente con la normativa de protección de datos ya que como ciudadanos de la Unión Europea tenemos el derecho a tener nuestra privacidad bajo control.

Para toda entidad que trate datos personales es muy importante conocer cuando puede estar infringiendo la normativa, ya que una sanción de este tipo, más allá de los riesgos que una mala gestión logra provocar, puede ocasionar daños ingentes tanto en su reputación como en su cuenta de resultados, y muchas veces pueden ser provocados por el mero desconocimiento en materia de protección de datos.

Un buen asesoramiento en estas materias es la base fundamental para evitar las sanciones.

El equipo de PymeLegal.