USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

11 criterios sancionadores que usarán...

11 criterios sancionadores que usarán las autoridades de protección de datos al imponer sanciones

  • 19-1-2018 | Wolters Kluwer
  • Sin duda, el tema de las sanciones es uno de los que más ha llamado la atención en la nueva regulación establecida por el RGPD. Te ofrecemos a continuación los criterios orientativos para determinar la imposición de una multa y la cuantía de la misma establecidos por el GT29, criterios que pueden ofrecer cierta previsibilidad sobre las consecuencias de una infracción a los responsables y encargados del tratamiento de datos.

Ante las grandes divergencias entre los regímenes sancionadores nacionales de la UE y a la vista de las cláusulas abiertas previstas en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (en lo sucesivo, RGPD), el Grupo de trabajo del art. 29 (en adelante GT29) adoptó en octubre de 2017 unas Directrices sobre la aplicación y fijación de multas administrativas a efectos del RGPD (LA LEY 6637/2016).

El GT29 ha indicado hasta once criterios orientaciones para determinar la imposición de una multa y la cuantía de la misma. Se trata de unos criterios que, si bien se dirigen a las autoridades de supervisión, son de especial interés también para los responsables y encargados del tratamiento, pues les permite poder tener cierta previsibilidad sobre las consecuencias de una infracción y, al mismo tiempo, seguridad jurídica.

Un análisis detallado de las sanciones en el RGPD, así como de todas las novedades que ofrece esta trascendental norma de aplicación directa en todos los Estados miembros de la Unión Europea, puedes encontrarla en el «Especial Protección de datos. Guía para afrontar la nueva regulación», valorado en 30,19 € pero que durante esta semana (hasta el 28 de enero) te ofrecemos gratuitamente para conmemorar el Día Europeo de la Protección de Datos. Accede a este enlace y descárgate gratis esta práctica Guía que te ayudará a enfrentarte a la nueva regulación con todas las garantías.

Te ofrecemos a continuación las pautas previstas en el art. 83.2 del RGPD (LA LEY 6637/2016) que ha desarrrollado el GT29 en los siguientes términos.

RGPD (LA LEY 6637/2016): Criterios del GT29 para determinar las multas y su cuantía
1 Naturaleza, gravedad y duración de la infracción

Al margen de la aparente contradicción en clasificación de infracciones graves y leves en el RGPD (LA LEY 6637/2016) y leves, graves y muy graves en el Anteproyecto de LOPD, las autoridades de supervisión tendrán que evaluar, separada o conjuntamente: a) por una parte, si se ha producido una infracción y; b) por otra parte, la sanción, ya sea una multa administrativa u otra, pudiendo ser esta última independiente o complementaria a la primera.

La gravedad de la infracción debe evaluarse en combinación con otros factores, incluyendo el GT29 en sus directrices los relativos al número de afectados, a la finalidad del tratamiento y al daño.

El GT29 considera que la duración puede ser indicativa de: a) una conducta intencionada del responsable del tratamiento, b) un fallo en la adopción de medidas preventivas apropiadas, o c) la incapacidad de adoptar las medidas técnicas y organizativas requeridas

2 Intencionalidad o negligencia en la infracción Un ejemplo de infracción intencional que se apunta en las directrices es el relativo a la venta de datos personales para fines de marketing cuando se haga como si se hubiera obtenido el consentimiento (opt-in) sin comprobar o desatendiendo las consideraciones de los interesados sobre cómo deberían ser utilizados sus datos.
3 Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados El GT29 apunta que la adopción de medidas o la falta de adopción de las mismas debe ser tenido en consideración por la autoridad de supervisión al decidir sobre la medida correctiva y el cálculo de la sanción que se imponga.
4 Grado de responsabilidad del responsable o encargado del tratamiento, según medidas técnicas u organizativas que hayan aplicado ex arts. 25 (LA LEY 6637/2016) y 32  RGPD (LA LEY 6637/2016) El GT29 destaca que el RGPD (LA LEY 6637/2016) ha introducido un nivel mucho mayor de responsabilidad (accountability) para el responsable. Se concreta en la adopción de medidas técnicas y organizativas e implica que debe evaluar de manera constante los medios a los que recurre sobre la base de las conclusiones derivadas de las correspondientes evaluaciones. Hay que preguntarse, en qué medida el responsable «hizo lo que se podía esperar que hiciera» considerando la naturaleza, las finalidades o el tamaño de la organización, en virtud de las obligaciones impuestas por el RGPD (LA LEY 6637/2016), así como las buenas prácticas, los códigos de conducta y las certificaciones.
5 Toda infracción anterior cometida por el responsable o el encargado del tratamiento (reincidencia) Toda infracción del RGPD (LA LEY 6637/2016), en sentido amplio, sería «relevante», tal y como resalta el GT29, para que la autoridad de supervisión realice su evaluación sobre si el responsable o el encargado del tratamiento tienen un nivel general de conocimiento insuficiente o son indiferentes ante las normas sobre protección de datos personales.
6 Grado de cooperación con la autoridad de control para poner remedio a la infracción y mitigar posibles efectos adversos de la infracción

Según el GT29, y ante el silencio del RGPD (LA LEY 6637/2016), dicha cooperación se deberá tener en consideración por las autoridades de supervisión a la hora de calcular la multa administrativa que se impondrá.

No obstante, cuando el responsable del tratamiento adopte medidas para evitar consecuencias en los derechos de las personas o minimizar el impacto que su infracción hubiera tenido en otro caso, entonces sí se tendrá en consideración para decidir sobre el tipo de medida correctiva sobre el mismo.

7 Categorías de los datos de carácter personal afectados por la infracción El GT29 incluye cuestiones tales como si los datos personales están directamente disponibles sin medidas técnicas de protección o si se han cifrado, siendo esto más bien una cuestión relativa a las medidas técnicas que hubieran adoptado el responsable y encargado del tratamiento para proteger los datos personales y no a las categorías de datos personales afectados por la infracción
8 Forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida En particular, el GT29 indica: a) por una parte, que la mera notificación de una violación de la seguridad de los datos personales no puede ser considerada como una atenuante o factor que mitigue la sanción por tratarse del cumplimiento de una obligación y; b) por otra parte, que debe considerarse la falta negligente de notificación o una notificación incompleta no puede dar lugar a que se cualifique la infracción como leve.
9 Cumplimiento de las medidas del art. 58.2 RGPD (LA LEY 6637/2016), cuando hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto El GT29 recuerda a las autoridades de supervisión que tengan en cuenta las medidas previas que hubieran adoptado en relación con el responsable o encargado del tratamiento, así como los contactos previos, haciendo referencia expresa al delegado de protección de datos
10 Adhesión a códigos de conducta o a mecanismos de certificación Como se ha señalado en el criterio 4, demuestran el grado de compromiso del responsable y encargado de tratamiento. Se regulan en los arts. 40 (LA LEY 6637/2016) y 42 RGPD (LA LEY 6637/2016), respectivamente.
11 Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso. Por ejemplo, indica el GT29, los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. En relación con esta previsión, el GT29 destaca que la obtención de un beneficio económico puede ser una prueba relevante de que debería imponerse una multa.

Fuente: Las sanciones en el RGPD (LA LEY 6637/2016): comentarios a las Directrices del Grupo de trabajo del artículo 29, Miguel RECIO GAYO (Diario La LEY, No 12, Sección Ciberderecho, 29 de Noviembre de 2017, Editorial Wolters Kluwer)

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll