NOVEDADES AÑADIDAS POR EL RGPD
NOVEDADES INTRODUCIDAS EN EL RGPD
Como hemos mencionado, el nuevo RGPD en su título VIII prevé una serie de cambios muy relevantes en el campo del régimen sancionador persiguiendo la protección efectiva de los datos de carácter personal, reforzando y especificando tanto los derechos de los interesados como las obligaciones de aquellas entidades y empresas que traten datos personales. De forma específica y por su importancia, cabe comenzar mencionando el sustancial incremento del importe de las sanciones pecuniarias en aquellos casos en los que se incurra en una infracción tipificada en el RGPD.
En este sentido merece especial mención el art. 83 en sus apartados 4 y 5, que sin hacer mención específica a cuantías mínimas, prevé la posibilidad de sancionar las infracciones cometidas con respecto al tratamiento de datos de carácter personal con multas administrativas de 10.000.000 o 20.000.000 deeuros, o en el caso de que se trate de una empresa, de una cuantía equivalente al 2% o al 4% como máximo del volumen de negocio anual global del ejercicio finan- ciero anterior, optándose por la de mayor cuantía.
Dentro del artículo 83se mencionan, por otra parte, los casos específicos que darán lugar a una u otra multa o cuantía, respondiendo la gra- duación de las sanciones la adecuación al nivel de seguridad correspondiente, siempre en base a los riesgos que en- trañe el tratamiento de los datos personales afectados teniendo en cuenta especialmente las posibles infracciones cometidas con anterioridad por la entidad o empresa, los tipos de datos afectados, la notificación proactiva porparte de la entidad o la empresa a la autoridad de control, la adhesión a códigos de conducta o mecanismos de certificación previstos en el RGPD o cualquier factor agravante/atenuante aplicable al caso, entre otras.
Además de lo anterior, el RGPD, permite a los Estados miembros establecer normas en materia de sanciones penales por infrac- ciones del RGPD, que pueden, incluso, suponer la privación de los beneficios obtenidos a consecuencia del tratamiento llevado a cabo , incumplimiento con lo dispuesto en la normativa. Por su parte, en lo que respecta a las administraciones públicas, el RGPD viene a acabar, al menos en lo que a la redacción de sus preceptos se refiere, con el diferente régimensancionador establecido por la normativa actual, para las infracciones cometi- das por las entidades de derecho privado y por las de derecho público. En este sentido, el artículo 83.7 del RGPD, establece la capacidad de las autoridades de control de imponer multas administrativas, esto es, sanciones económicas (como en el caso de las empresas privadas), a autoridades y organismos públicos establecidos en los Estados miembros, que así lo hayan establecido. Es decir, el RGPD otorga a los Estados miembros la capacidad de establecer normas respecto a si se puede imponer multas administrativas a la administración pública (lógicamente de dicho Estado) y, en su caso, la medida de las mismas. Sin embargo, pese a que esta circunstancia resulta novedosa, al menos,como se decía anteriormente, en lo que a la concepción igualitaria entre empresa privada y organismos públicos del régimen sancionador del RGPD se refiere, no parece probable que los Estados miembros permitan que se lastre a sus propios organismos públicos con las sanciones económicas establecidas por el RGPD y que, indudablemente, resultarían enormemente gravosas para las arcas públicas.
No obstante, lo anterior, conviene resaltar, que el propio RGPD prevé que los Estados Miembros establezcan otras sanciones aplicables alas infracciones previstas, tanto por empresas privadas como por organismos públicos, adoptando todas las medidas necesarias para garantizar su observancia y garantizando que dichas sanciones sean efectivas, proporcionadas y disuasorias. Por lo tanto, habrá que estar a las sanciones y medidas complementarias que, en su caso, prevea el Estado Español y a si las mismas serán aplicables en igual medida a las empresas privadas y a los organismos públicos.
Como añadidura a todo lo anterior, otro punto importante del RGPD es la previsión, en su artículo 82, del derecho de los interesados que hayan sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD a recibir una indemnización del responsable o encargado del tratamiento por los daños y perjuicios sufridos. Si bien es cierto que esta previsión no es realmente novedosa en nuestro ordenamiento, ya que la LOPD prevé en su artículo 19 el derecho a la indemnización de las personasfísicas como consecuencia delincumplimiento de lo dispuestoen la LOPD por parte del responsable o del encargado del tratamiento, siempre que se sufra un daño o lesión en sus bienes o derechos a través de una acción por responsabilidad civil, la rea-lidad es que esta previsión ha tenido poca aplicación práctica, del RGPD se desprende la intención de darle a esta previsión una mayor presencia, dotándola de una mayor sencillez y permitiendo, incluso, que el interesado ejercite su derecho a través de un mandato a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida con arreglo al Derecho de un Estado miembro, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presente en su nombre la reclamación, y la ejerza en su nombre. De esta manera, parece que este derecho cobra fuerza, por lo que puede preverse que el número de reclamaciones que recibirán las em- presas y entidades se verá incrementado de forma sustancial.
A tenor de lo anterior, debe resaltarse que la obligación de indemnizar impuesta por el RGPD, afectará a todos los responsables que hayan intervenido en el tratamiento, en caso de que el referido tratamiento no cumpla con lo establecido en el RGPD, y a los encargados cuando hayan incumplido las obligaciones impuestas por el RGPD a los mismos o en los casos en los que incumplan las instrucciones que les hayan sido proporcionadas por los responsables. Siempre y cuando, tanto los responsables como los encargados, no sean capaces de demostrar que no ostentan responsabilidad alguna en los hechos que han motivado la indemnización por daños y perjuicios en favor del interesado que haya resultado perjudicado por el tratamiento ilícito de sus datos.
La comunicación de los datos al prestador de servicios sin suscribir el correspondiente acuerdo de encargo de tratamiento en la forma establecida podría ser sancionada con la suma máxima de 10M de euros o un 2% del volumen denegocio total anual del ejercicio anterior
De hecho, como añadidura, conviene señalar que dicha asunción de responsabilidades, en cuanto a la satisfacción de indemnizaciones por los daños y perjuicios causados, también afecta a los tratamientos comunes realizados por varios responsables (es decir, la corresponsabilidad prevista en el artículo 26 del RGPD)e incluso por varios encargados, los mismos podrán responder de la totalidad de los perjuicios causados a los interesados, a fin de garantizar la indemnización efectiva del interesado. Sin perjuicio de que, con posterioridad al abono de la totalidad de la indemnización al interesado, el res-ponsable o encargado pagador, pro-ceda a la reclamación de la parte dela indemnización que corresponda a los demás responsables o encargados que hayan participado en la mismaoperación de tratamiento.
Después de este análisis, no cabe ninguna duda de que el nuevo RGPD obligará a todas las entidades y empresas a revisar susactuaciones y medidas de seguridad en materia de protección de datos actuales, de tal forma quequeden adecuadas y adaptadas a las nuevas previsiones, toda vez que, de algunos tratamientos cotidianos en la actualidad, pueden derivarse consecuencias significativamente más gravosas para las empresas o entidades.
IMPLICACIONES PRÁCTICAS DEL NUEVO RÉGIMEN SANCIONADOR
Según se ha venido refiriendo a lo largo del presente artículo, las novedades introducidas por el RGPD, en lo que al régimen sancionador de las infracciones cometidas en materia de protección de datos se refiere, son relevantes principalmente en lo que respecta al alcance de las sanciones económicas establecidas. Sin embargo, conviene llevar a cabo un ejercicio práctico a fin de contrastar las sanciones que podrían derivarse del incumplimiento de la normativa actual en algunos de los tratamientos que son llevados a cabo normalmente por las empresas y entidades, con aquellas que corresponderían según lo dispues- to por el nuevo régimen sancionador establecido por el RGPD. En este sentido, circunstancias relativamente habituales en los tratamientos cotidianos llevados a cabo actual- mente, como serían la comunicación de los datos a prestador de servicios sin suscribir el correspondiente acuerdo de encargo de tratamiento en la forma establecida por la normativa o la realización del tratamiento sin implantar las medidas de seguridad necesarias, sancionados en la actualidad con la suma máxima de 300.000 €, podrían ser sancionadas en virtud del RGPD , con la suma máxima de 10M de euros o un 2% del volumen de negocio total anual del ejercicio financiero anterior.
Por su parte, la recogida de datos sin especificar detalladamente cada una de las finalidades del tratamiento, que sería sancionado con la normativa actual con un importe máximo de 40.000 €; la no supresión de los datos una vez los mismos hayan dejado de ser útiles para la finalidad para la que fueron recabados, o finalizada la fase de bloqueo, cuando existieran responsabilidades legales exigibles en vigor; el tratamiento de los datos sin contar con el consentimiento explícito del interesado en los casos en los que el mismo fuera necesario; que en la actualidad se sancionan con un máximo de 300.000 €; o la realización de transferencias internacionales con destino a países que no garanticen un nivel adecuado de protección sin la contar con la legitimación necesaria, sancionado en la actualidad con hasta 600.000 €, con el RGPD podrían llegar a ser sancionados con la suma de 20M de euros o el 4% del volumen denegocio total anual del ejercicio financiero anterior.Es decir, pese a que el importe de las referidas sanciones administrativas podrá ser atenuado, la cuantía de las mismas hace que los posibles incumplimientos de la normativa re- sulten significativamente gravosos en comparación con el régimen sancio- nador actual, cuyas sanciones ya no resultan fácilmente asumibles por las PYMES españolas, por lo que las empresas deberán ser especialmente cuidadosas a la hora de cumplir con las exigencias del RGPD y la normativa de protección de datos estatal que lo desarrolle.
publi
¿Aún no cumples con el nuevo reglamento de protección de datos- RGPD ? ¿Está tu empresa adaptada correctamente a la LOPD ? Desde Talento Protec te podemos ayudar. Ponte en contacto con nosotros y podremos resolverte cualquiera de tus dudas.
#RGPD #LOPD #reglamentoeuropeodeprotecciondedatos #protecciondedatos #consultoreslopd #talentoprotec