91 319 21 76 | 91 319 39 34 asesoria@tadisa.com

El 25 de mayo, si no se ha producido la promulgación de la nueva Ley, el Reglamento europeo es aplicable directamente, dejando la primera de tener vigencia.

En relación con el régimen sancionador en la Ley y Reglamento todavía vigentes, el artículo 45.4 de la Ley establece tres grados de infracción: leve, grave y muy grave. Cada una son sancionadas entre 601,01 € y 60.101,21 €, las leves, entre 60.101,21 € y 300.506,25 €, las graves y por último, las muy graves entre 300.506,25 € y 601.012 €.

Por su parte, la Ley de Economía Sostenible modificó la cuantía a los importes de las sanciones leves y graves (art. 45.1 y 2). Las sanciones por infracciones leves pasaron a ser sancionadas con multa de 900 a 40.000 euros, y las graves con multa de 40.001 a 300.000 euros.

También se modificaron los criterios de graduación de las sanciones (art. 45.4), introduciendo el  criterio del volumen de negocio o actividad del infractor. También fue significativo el criterio de que el infractor haya “regularizado la situación irregular de forma diligente”, y la intencionalidad a la hora de cometer la infracción (beneficios obtenidos por la infracción, esfuerzo realizado por la empresa para implantar  datos, etc.). Finalmente, se introdujo  la figura del apercibimiento para aquellos infractores leves o graves no reincidentes.

En caso de incumplimiento por las Administraciones públicas, se resolvería sin imponer sanción pecuniaria alguna, imponiendo una “mera” adopción de medidas correctoras, o como mucho, medidas correctoras contra el empleado público infractor. La Agencia Española de Protección de Datos dictaría una resolución que se comunicaría al responsable del fichero, al órgano del que dependa jerárquicamente y, en su caso, a los afectados, determinando qué medidas procederá adoptar para la cesación o corrección de los efectos de la infracción.

Pasemos ya directamente el nuevo Reglamento. El artículo 58 establece una serie de poderes de las Autoridades de control (la AEPD en España), entre ellas la imposición de sanciones. Las multas podrán imponerse como complemento o en sustitución de otras medidas como la  advertencia, apercibimiento, orden de que se atienda una solicitud de ejercicio de derechos, orden de que el tratamiento se ajuste a las condiciones legales, limitaciones temporales o definitivas del tratamiento, retirada de certificaciones y suspensión del flujo transfronterizo de datos.

La cuantía de las sanciones se fija en el artículo 84, concretamente en sus apartados 4 y 5, y oscilan entre los 10 y los 20 millones de euros, según los casos y un porcentaje de la facturación de la empresa del 2 o el cuatro por ciento.

A la hora de fijar el criterio sobre la procedencia o no de una sanción, el abanico es muy abierto. Podemos clasificarlas, en relación a su origen:

  1. Naturaleza de infracción,  intencionalidad o negligencia, daños y afectados y categorías de los datos de carácter personal afectados
  2. En relación al infractor. Responsabilidad, infracciones anteriores, medidas para  paliar los daños y perjuicios sufridos por los interesados.
  3. En relación a la autoridad de Control,  notificación de infractor y grado de cooperación, con el fin de poner remedio a la infracción y mitigar sus posibles efectos adversos. Cumplimiento de medidas correctoras que haya ordenado la autoridad de control y adhesión a códigos de conducta o a mecanismos de certificación aprobados con arreglo al RGPD.

La Ley en proyecto, establece una graduación de las sanciones, continuando con la denominación de leves, graves y muy graves. Sin embargo no especifica la sanción aplicable a cada una de ellas. Aunque si los criterios de graduación, en la línea que lo hace el Reglamento. Llama ello la atención, porque el artículo 78, al fijar la prescripción de las sanciones, establece un arco entre inferiores a 40.000 euros, prescripción en un año y superiores a 300.000 euros, prescripción en tres años.

Concepto novedoso, en la línea, los “punitives damages”, propios del derecho anglosajón,  es el derecho a una indemnización de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD. El artículo 82 del RGPD le da el derecho a recibir del responsable o encargado del tratamiento una indemnización. Habrá que prestar atención a la figura del Delegado de Protección de Datos, como responsable tanto por no adopción de las medidas necesarias, como incluso por la culpa in vigilando que le concierne.  El interesado puede ejercer su derecho, incluso a través de una entidad sin ánimo de lucro.