El Reglamento Europeo de Protección de Datos paso a paso X: Infracciones, sanciones y demás acciones en materia de protección de datos.

por

publicado el 29 noviembre 2016

Categorías: Abogado / Abogados / Abogados TICs / Agencia Proteccion Datos / Derechos Fundamentales / Iurismatica / Normativa / Privacidad / Protección de Datos

El Reglamento Europeo de Protección de Datos paso a paso X: Infracciones, sanciones y demás acciones en materia de protección de datos. Finalizo la serie de publicaciones sobre el reglamento que sirve par auna primera aproximación dejando para el final de la serie, quizá lo menos grato pero no por ello importante, como son las infracciones y sanciones. Os recuerdo que hemos ido analizando los aspectos más importantes del Reglamento Europeo de Protección de Datos: Transferencias internacionales de datos, Códigos de conducta y certificaciones en materia de protección de datos, la Evaluación de Impacto relativa a la protección de datos, la importante figura del Delegado de Protección de Datos (DPO), las brechas de seguridad, el responsable y el encargado de tratamiento, la privacidad de datos desde el diseño y por defecto, los derechos a la limitación del tratamiento y a la portabilidad de los datos, los principios de consentimiento e información y de los derechos de acceso y supresión o derecho al olvido.

A falta de que conozcamos como se regulará definitivamente aquí el tema de las infracciones y sanciones, está claro que el Reglamento otorga una gran fuerza sancionadora a las autoridades de control, pero no sólo desde el punto de vista de la cuantía de las sanciones, sino que también por la posibilidad de establecer otras medidas correctivas como, por ejemplo, la limitación territorial de un tratamiento, o incluso la posibilidad de prohibir a una empresa el tratamiento de los datos.

Sin emabrgo, es cierto que llama mucho la atención la cuantía que se establece en el Reglamento para el caso de cometer una infracción en la aplicación del mismo, el Reglamento establece 2 tipos de sanciones según la infracción:

  • 10millones€ máximo o 2% máximo del volúmen total anual global del ejercicio financiero anterior en el caso de infracciones de medidas de seguridad, consentimiento menores, etc.
  • 20millones€ máximo o 4% máximo del volúmen total anual global del ejercicio financiero anterior en el caso de infracciones de principios básicos del reglamento europeo como son la obtención del consentimiento, la licitud de los tratamientos, etc.

Es cierto que también la graduación de las sanciones es muy amplia y que el Reglamento otorga un amplio márgen de maniobra a las autoridades de control, estableciendo que las multas se pondrán imponer en función de cada caso individual, según circunstancias como son la intencionalidad, negligencia, medidas para paliar daños, cooperación, tipología de datos afectados, etc.

El reglamento recuerda además, que no sólo la persona afectada podrá optar por denunciar ante la autoridad de control sino que además le otorga un derecho a indemnización cuando haya sufrido daños y perjucios por parte del responsable o del encargado de tratamiento. Si bien dichos daños se deberán de probar, y seguramente se judicializarán, si antes no estaba claro la posibilidad de solicitar la misma, ahora se tiene vía directa para solicitarla. Buen momento también para las empresas aseguradoras y los riesgos añadidos del tratamiento de datos personales.

Acciones colectivas. Asimismo se abre otra vía para la representación de afectados por tratamientos de datos a través de asociaciones sin ánimo de lucro o entidades equivalentes. Las asociaciones de usuarios/as podrán actuar en representación de las personas que así lo deseen. Nuevas vías a explorar y nuevos caminos y oportunidades para los expertos en la materia

¿veremos en España la posibilidad de multas a la Administración Pública? Lo dudo, pero el Reglamento abre la puerta a esta posibilidad, dejando a los Estados que lo regulen según sus intereses.