USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

Las sanciones en el RGPD: comentarios...

Las sanciones en el RGPD: comentarios a las Directrices del Grupo de trabajo del artículo 29

Miguel RECIO GAYO

Doctorando y Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU

Diario La Ley, Nº 12, Sección Ciberderecho, 29 de Noviembre de 2017, Editorial Wolters Kluwer

LA LEY 17487/2017

Normativa comentada
Ir a Norma Regl. 2016/679 UE, de 27 Abr. (protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -Reglamento general de protección de datos-)
Comentarios
Resumen

Dadas las divergencias existentes a nivel nacional y la importancia de las multas administrativas para garantizar la aplicación efectiva del RGPD, el Grupo de trabajo del art. 29 ha publicado unas directrices sobre la determinación e imposición de multas administrativas en las que se pronuncia sobre los principios relativos a los poderes correctivos de las autoridades de supervisión y los criterios que éstas aplicarán en virtud del art. 83.2 del RGPD.

I. Introducción

Las multas administrativas adquieren una relevancia notoria en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (1) (citado también en lo sucesivo como RGPD o el Reglamento) ya que, para algunos Estados miembros son una novedad y, en cualquier caso, son uno de los elementos clave para proteger de manera efectiva el derecho fundamental a la protección de datos personales.

Con respecto a la Directiva 95/46/CE (LA LEY 5793/1995) (2) , que en buena medida se limitaba a indicar, en su art. 24, que para garantizar su plena aplicación los Estados miembros determinarían «las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva», la aproximación que se hace en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) a las multas administrativas, como parte del repertorio de posibles sanciones, están destinadas a la consecución del mencionado objeto de protección efectiva.

Al respecto, actualmente existen divergencias significativas y llamativas en los regímenes sancionadores nacionales, pudiendo destacar por ejemplo el hecho de que algunos Estados miembros no tuvieran previstas las multas administrativas como sanciones en caso de incumplimiento. Es así que el Reglamento intenta armonizar esta materia, siendo las cláusulas abiertas una de las cuestiones críticas en las que habrá que ver qué impacto tendrá para la aplicación de la propia norma europea.

Considerando lo anterior, el Grupo de trabajo del art. 29 (en adelante GT29) adoptó y publicó a comienzos del pasado mes de octubre unas Directrices sobre la aplicación y fijación de multas administrativas a efectos del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (3) . En estas Directrices el GT29 desarrolla los cuatro principios aplicables a los poderes correctivos que tienen las autoridades de supervisión y los criterios de evaluación a aplicar en virtud del art. 83.2 del RGPD (LA LEY 6637/2016).

II. Cuatro principios aplicables a los poderes correctivos

Conforme a las directrices del GT29, los cuatro principios que las autoridades de protección de datos o supervisión tienen que observar cuando ejerzan sus poderes correctivos son los que se presentan a continuación.

Principio 1. El incumplimiento del Reglamento debería dar lugar a la imposición de «sanciones equivalentes»

Garantizar la protección efectiva de los datos personales en toda la Unión Europea y hacerlo de manera coherente dependen también, como apuntan respectivamente los considerandos 11 (LA LEY 6637/2016) y 13 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) , de que «las infracciones se castiguen con sanciones equivalentes».

Al respecto, el GT29 destaca que el concepto de «equivalencia» es clave para determinar el alcance de las obligaciones que tienen las autoridades de supervisión por lo que se refiere a asegurar la consistencia en el uso de sus poderes correctivos previstos en el art. 58.2 (LA LEY 6637/2016) en general y a la aplicación de las multas administrativas en particular.

Sin perjuicio de lo anterior, es necesario tener en consideración que el término «equivalente» no se define en el Reglamento y tampoco el GT29 presenta una definición del mismo. Debe entenderse que no implica que las sanciones que, en su caso, pudieran imponer diversas autoridades de supervisión tengan que ser las mismas, sino que las mismas sean similares y eficaces. Al respecto, cabría aplicar aquí, por analogía, el razonamiento del Tribunal de Justicia de la Unión Europea en el caso Schrems (LA LEY 133806/2015), ya prestando atención a que el objetivo es, precisamente, el que pretende alcanzarse al exigir un nivel adecuado a terceros países y que busca «garantizar el cumplimiento de las exigencias derivadas de esa Directiva entendida a la luz de la Carta, deben ser eficaces en la práctica para garantizar una protección sustancialmente equivalente a la garantizada en la Unión» (4) .

Lo anterior implicaría también que, a la vista de la divergente realidad a nivel nacional, podría darse la situación en la que una autoridad de supervisión pueda imponer una multa administrativa, porque dichas multas estén previstas en su ordenamiento jurídico nacional, y otra tuviera que imponer, en su caso, una sanción que tenga un efecto equivalente a las multas administrativas, por no estar previstas éstas en su ordenamiento jurídico. Es esta una cuestión que el GT29 apunta en una nota a pie de página en sus directrices, pero de gran importancia, ya que ponen de manifiesto que pueden existir supuestos específicos de interrelación entre el Reglamento, como instrumento jurídico del Derecho de la Unión Europea, y el derecho nacional por lo que se refiere a los poderes de las autoridades de supervisión.

En concreto, el GT29 se refiere expresamente en este caso al considerando 151 del RGPD (LA LEY 6637/2016), que comienza indicando que «Los ordenamientos jurídicos de Dinamarca y Estonia no permiten las multas administrativas según lo dispuesto en el presente Reglamento». El considerando explica también cómo se aplicarían en estos casos dichas multas administrativas por las respectivas autoridades judiciales y concluye que «los tribunales nacionales competentes deben tener en cuenta la recomendación de la autoridad de control que incoe la multa».

En cualquier caso, el Reglamento (UE) 2016/679 garantiza que las autoridades de supervisión sean independientes a la hora de tomar una decisión sobre qué medidas correctivas aplicarán en virtud del art. 58.2 (LA LEY 6637/2016), lo que no impide que deba preverse que éstas deban aplicar «sanciones equivalentes» en casos similares. Esto, obviamente, requerirá un alto nivel de cooperación entre las autoridades de supervisión.

En definitiva, de lo que se trata es de que cuando se produzca un incumplimiento del RGPD se impongan «sanciones equivalentes» por las autoridades de supervisión que tengan un efecto equivalente aunque dichas sanciones consistieran en multas administrativas u otras. Y, en cualquier caso, como menciona el considerando 151 (LA LEY 6637/2016)ya citado, las «multas impuestas deben ser efectivas, proporcionadas y disuasorias».

Principio 2. Las multas administrativas deben ser efectivas, proporcionadas y disuasorias

Que las multas administrativas, al igual que cualquier otra medida correctiva que pueda imponer una autoridad de supervisión, sean efectivas, proporcionadas y disuasorias es tanto un principio como una obligación, ya que el apartado 1 del art. 83 del RGPD (LA LEY 6637/2016) indica que «cada autoridad de control garantizará que la imposición de las multas administrativas» por las infracciones previstas en los apartados 4 a 6 de dicho artículo «sean en cada caso individual efectivas, proporcionadas y disuasorias».

Y como con cualquier otra medida correctiva, se trata, tal como explica en sus directrices el GT29, por una parte, de que las multas administrativas respondan adecuadamente a la naturaleza, gravedad y consecuencias de la infracción, teniendo que evaluar las autoridades de supervisión todos los hechos del caso de manera coherente y objetiva y, por otra parte, de que dichas multas administrativas sirvan en última instancia para reestablecer el cumplimiento con las normas, sancionar el comportamiento ilícito, o ambas.

Es decir, como expone el GT29, cualquier medida correctiva que una autoridad de supervisión decida aplicar, incluidas la multa administrativa, tiene que ser efectiva, proporcionada y disuasoria. Y tendrá que serlo, como se indica en las directrices, tanto en los casos nacionales, es decir, «en el territorio de su Estado miembro» [art. 55 del Reglamento (UE) 2016/679 (LA LEY 6637/2016)] como en casos que impliquen un tratamiento transfronterizo, que es definido en el apartado 23 del artículo del Reglamento como «el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro» [letra a)] o bien «el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro» [letra b)].

Esto último tiene una especial importancia para los responsables o encargados del tratamiento que realicen dichos tratamientos transfronterizos, ya que con la aplicación del RGPD en caso de infracciones similares a otras que hayan sido sancionadas por las autoridades de supervisión, deberían poder prever las consecuencias, en términos de sanción aplicable, de la infracción que hayan cometido. Es más, quizás podría llegar a darse el caso de que un infractor recurriese la sanción que le sea impuesta en términos de desproporcionalidad si se consideran las sanciones que, para casos similares, hayan impuesto otras autoridades de supervisión en aplicación del Reglamento (UE) 2016/679 (LA LEY 6637/2016).

Además, el propio GT29, reconociendo que en la práctica la legislación nacional puede establecer, en cada caso, requisitos adicionales sobre el procedimiento sancionador que tendrá que aplicar la autoridad de supervisión correspondiente, llama la atención sobre que dichos requisitos no podrán ser una traba para alcanzar la efectividad, proporcionalidad y disuasión.

Será necesario, no obstante, esperar a la aplicación a partir del 25 de mayo de 2018 para poder saber qué se entiende exactamente por sanciones efectivas, proporcionadas y disuasorias, si bien el GT29 adelanta que a efectos de imponer multas las autoridades de supervisión usarán la definición del concepto de empresa (undertaking) que ha creado el Tribunal de Justicia de la Unión Europea a efectos de aplicación de los arts. 101 (LA LEY 6/1957) y 102 del Tratado de Funcionamiento de la Unión Europea (LA LEY 6/1957) (LA LEY 6/1957). En concreto, el considerando 150 del Reglamento indica que «Si las multas administrativas se imponen a una empresa, por tal debe entenderse una empresa con arreglo a los artículos 101 (LA LEY 6/1957)102 del TFUE (LA LEY 6/1957)».

Principio 3. Evaluación «en cada caso específico»

Previamente a exponer el tercer principio, y dado que el mismo se desarrolla a partir del art. 83 del RGPD (LA LEY 6637/2016), el GT29 incluye dos notas importantes. La primera es la relativa a la aproximación armonizada de las infracciones del Reglamento, incluyéndose el listado de las mismas en los apartados 4 a 6 del art. 83. El objetivo de dicha armonización es dar respuesta al hecho de que las multas administrativas pueden imponerse como respuesta a un amplio rango de infracciones. Y la segunda es que deja en manos de los Estados miembros la posibilidad de extender la aplicación del citado artículo a las instituciones y organismos públicos, es decir, a sus Administraciones Públicas, así como que la ley nacional permita o incluso ordene la imposición de multa en caso de infracción de otras disposiciones distintas a las incluidas en los apartados del art. 83 mencionados.

A la vista del Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) que el Consejo de Ministros remitió a las Cortes Generales para su tramitación parlamentaria, y que fue publicado en el Boletín Oficial de las Cortes Generales del 24 de noviembre de 2017 (5) , España ha optado por no establecer multas administrativas para las Administraciones Públicas, además de otros responsables o encargados del tratamiento enumerados en el apartado 1 del art. 77, si bien «la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento», debiendo establecerse en la citada resolución «las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido», tal como se indica en el apartado 2 del citado artículo.

Sin perjuicio de que durante la tramitación parlamentaria se pudiera producir alguna modificación al Proyecto de Ley Orgánica de LOPD, resulta claro que aunque no se prevean multas administrativas para las Administraciones Públicas, la autoridad de supervisión competente, ya sea la Agencia Española de Protección de Datos, la autoridad autonómica correspondiente en cada caso o el Consejo General del Poder Judicial «respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza» [art. 236 nonies de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LA LEY 1694/1985)], se apercibirá a las mismas en caso de infracción y, además, se podrán imponer otras medidas correctivas. Apercibimiento y medidas correctivas adicionales, tales como ordenar al infractor a que se ajuste a las disposiciones del Reglamento (UE) 2016/679 (LA LEY 6637/2016) «de una determinada manera y dentro de un plazo especificado» u ordenar la retirada de una certificación, que se encuentran previstas en el art. 58.2 (LA LEY 6637/2016) del mismo.

Por lo que se refiere en particular al tercer principio, es el relativo a que la autoridad de control competente hará una evaluación en cada caso específico, que parte de lo previsto en el art. 83.2 (LA LEY 6637/2016) cuando indica que «al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta […]». Y las directrices hacen referencia también en este punto al considerando 148, que menciona, por una parte, la necesidad de prestar «especial atención» a varios factores relativos a la infracción cometida y, por otra parte, que la sanción que se imponga cumpla con «garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías».

La evaluación se deberá hacer, según indica en sus directrices el GT29, siguiendo los criterios establecidos en el art. 83 del RGPD. (LA LEY 6637/2016)

Además de la referencia al citado artículo, el GT29 menciona en sus directrices varios considerandos y artículos que refuerzan esta aproximación, y que son los siguientes: a) «La investigación a raíz de una reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto» (considerando 141 (LA LEY 6637/2016)), b) «Los poderes de las autoridades de control deben ejercerse de conformidad con garantías procesales adecuadas establecidas en el Derecho de la Unión y los Estados miembros, de forma imparcial, equitativa y en un plazo razonable. En particular, toda medida debe ser adecuada, necesaria y proporcionada con vistas a garantizar el cumplimiento del presente Reglamento, teniendo en cuenta las circunstancias de cada caso concreto» (considerando 129 (LA LEY 6637/2016)), y c) «tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación» [art. 57.1.f) (LA LEY 6637/2016)].

En cualquier caso, se trata de que cuando las autoridades de supervisión decidan qué medida(s) aplicar para sancionar alguna de las infracciones previstas en los apartados 4 a 6 del art. 83 (LA LEY 6637/2016), lo hagan teniendo en consideración todas las medidas correctivas, incluyendo la imposición de multas administrativas. Y en este último caso podría ser una multa administrativa por sí sola o junto con alguna medida correctiva conforme al art. 58.2 del Reglamento (UE) 2016/679 (LA LEY 6637/2016).

Como parte de este principio, el GT29 se refiere también a la posible situación en la que exista un conflicto derivado de una objeción pertinente y motivada por una o varias autoridades de control interesadas acerca del proyecto de decisión de la autoridad de control principal (art. 60, apartado 4, del RGPD (LA LEY 6637/2016)). En dicho caso, conforme al art. 65.1.a) del Reglamento, (LA LEY 6637/2016) será el Comité Europeo de Protección de Datos el que adoptará una decisión vinculante al respecto.

Si la objeción pertinente y motivada plantea el cumplimiento de una medida correctiva con el Reglamento, entonces la decisión del Comité Europeo de Protección de Datos deberá pronunciarse también sobre cómo se aplican los principios de efectividad, proporcionalidad y disuasión en la multa administrativa propuesta en el proyecto de decisión de la autoridad de supervisión competente. Las directrices que el Comité Europeo de Protección de Datos publique sobre la aplicación del art. 65 del RGPD (LA LEY 6637/2016) en las que deberán proporcionar detalles adicionales y específicos sobre su decisión vinculante.

Sin perjuicio de lo anterior, habrá que ver cómo actúa en dichos casos el Comité Europeo de Protección de Datos, ya que el mismo «estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos». Es decir, habrá que ver cómo se articula la adopción de la decisión vinculante sin que las partes involucradas, autoridad principal y autoridad(es) interesada(s), participen en dicha decisión vinculante. Se trata de una cuestión que ni el Reglamento ni las directrices del GT29 tratan, por lo que habrá que esperar a las ya mencionadas directrices que el Comité Europeo de Protección de Datos emita sobre el art. 65 del Reglamento (LA LEY 6637/2016).

Por último, en sus directrices, el GT29 pone de manifiesto que las multas «no son el último recurso» que tienen las autoridades de supervisión, pero que tampoco «deben ser tímidas» a la hora de imponerlas, siempre y cuando ello no afecte a su efectividad.

Principio 4. Cooperación entre las autoridades de supervisión

Lograr que las autoridades de supervisión aseguren una mejor aplicación y cumplimiento del Reglamento (UE) 2016/679 (LA LEY 6637/2016) requiere una aproximación armonizada a las multas administrativas para lo que es necesario que las autoridades de supervisión cooperen e intercambien información.

La cooperación entre dichas autoridades les permitirá también expresar su acuerdo sobre la aplicación del art. 83 del Reglamento (LA LEY 6637/2016) y la misma es clave ante una situación como la actual, en la que tanto algunos poderes como, en su caso, la imposición de multas administrativas, es una novedad para algunos Estados miembros, no siendo así el caso de España dado que la legislación de protección de datos ya había previsto las mismas y las autoridades de protección de datos de nuestro país cuentan con una amplia experiencia en la materia. Dicha experiencia podría, y debería, servir de guía para otras autoridades de protección de datos.

En cualquier caso, el poder sancionador de las autoridades de supervisión estará sujeto a la revisión de las autoridades jurisdiccionales en cada Estado miembro, de manera que tanto responsables como encargados del tratamiento podrán recurrir las resoluciones de las autoridades de supervisión en caso de discrepancia.

Las directrices del GT29 mencionan también que se trata tanto de la cooperación entre autoridades de supervisión como con la Comisión Europea, recurriendo a tal fin a los mecanismos previstos en el Reglamento (UE) 2016/679 y que servirán para intercambios, formales e informales, de información entre las mismas.

Por último, queda claro que las directrices del GT29 no son definitivas, por lo que se refiere tanto a los principios como a la evaluación de los criterios aplicables a las multas administrativas, ya que en las mismas se apunta la posibilidad de actualización en el futuro con base en la experiencia práctica e información intercambiada por las autoridades de supervisión. La experiencia práctica que algunas autoridades de supervisión han acumulado actualmente es relevante, pero resulta claro que a partir del 25 de mayo de 2018 asistiremos a nuevos casos que darán lugar a un nuevo capítulo en el Derecho europeo de protección de datos por lo que se refiere al ejercicio de los poderes de aquéllas.

III. Criterios de evaluación previstos en el artículo 83.2 del Reglamento

Si bien las directrices del GT29 se dirigen a las autoridades de supervisión, por lo que se refiere en particular a las orientaciones que ofrece aquél sobre la evaluación de los criterios a aplicar para determinar la imposición de una multa y la cuantía de la misma, son de especial interés también para los responsables y encargados del tratamiento, ya que ello les permite poder tener (cierta) previsibilidad sobre las consecuencias de una infracción y, al mismo tiempo, seguridad jurídica.

Sobre dichos criterios, el GT29 desarrolla los previstos en el art. 83.2 del RGPD (LA LEY 6637/2016) y lo hace en los términos que se exponen a continuación.

1. La naturaleza, gravedad y duración de la infracción

A) La naturaleza de la infracción

Comparado con nuestra (todavía vigente) Ley Orgánica 15/1999 (LA LEY 4633/1999), el Reglamento (UE) 2016/679 (LA LEY 6637/2016) implicaría simplificar la clasificación de las infracciones, al preverse, por una parte, multas administrativas de «10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía» para las infracciones que se indican en el art. 83.4 del Reglamento (LA LEY 6637/2016) y, por otra parte, «20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía» para las infracciones que se indican en el art. 83.5 del Reglamento. (LA LEY 6637/2016) Es decir, el Reglamento distingue entre infracciones leves, aunque únicamente utiliza este término en el considerando 148 (LA LEY 6637/2016), e infracciones graves, pero no entre leves, graves y muy graves.

No obstante, el Proyecto de Ley Orgánica de Protección de Datos mantiene la clasificación de infracciones muy graves (art. 72), infracciones graves (art. 73) e infracciones leves (art. 74). Por lo que se refiere a la aplicación de las sanciones y medidas correctivas, el apartado 1 del art. 76 menciona que aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del art. 83 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) y el apartado 2 del art. 76 incluye criterios adicionales, en virtud de la posibilidad prevista en el art. 83.2.k) del Reglamento (LA LEY 6637/2016).

La clasificación que se hace en el Proyecto de Ley Orgánica de Protección de Datos no es contraria al Reglamento (UE) 2016/679, ya que como se explica en las directrices del GT29 haciendo referencia a su art. 83.2 (LA LEY 6637/2016), las autoridades de supervisión pueden «evaluar los hechos del caso a la luz de los criterios generales establecidos en el art. 83.2» y «decidir que en el caso particular haya una mayor o menor necesidad de reaccionar con una medida correctiva en forma de multa». Y esto es, precisamente, lo que da lugar a que el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal contemple sanciones muy graves, graves y leves, pudiendo imponerse la sanción de apercibimiento cuando la evaluación que haga la autoridad de supervisión concluya que la infracción es leve, tal como se explica dicho concepto en el considernado 148 del Reglamento (UE) 2016/679 (LA LEY 6637/2016).

Y dicho apercibimiento podrá ser aplicable también en otros casos, debiendo considerarse al respecto que el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal indica en su art. 76.3 que «Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el art. 83.2 del Reglamento (UE) 2016/679 (LA LEY 6637/2016)». En concreto, las directrices del GT29 destacan que se trata de una potestad de las autoridades de supervisión, no estando obligadas a ello.

En concreto, el considerando 148 del Reglamento (LA LEY 6637/2016) hace referencia al apercibimiento en el caso de las personas físicas, cuando imponer una multa resultase desproporcionado para la misma. Al respecto, como simple apunte, cabe recordar que el apercibimiento podría haber resultado adecuado en el caso de la señora Linqvist, la catequista sueca que fue multada por publicar datos personales de sus compañeros en una parroquia a través de una página web que ella misma había creado en su domicilio y con su ordenador personal con la finalidad de que los feligreses pudieran acceder fácilmente a cierta información, y que dio nombre a uno de los casos más famosos y citados de la jurisprudencia del Tribunal de Justicia de la Unión Europea en materia de protección de datos (asunto C-101/01 (LA LEY 404/2004)).

El GT29 explica también en sus directrices que no se establezca una cifra específica, sino una cuantía máxima, lo que indica que existirá una menor gravedad en algunos casos y explica que el Proyecto de Ley Orgánica de Protección de Datos prevea tanto una clasificación de infracciones como tramos de sanciones que van desde sanciones inferiores a 40.000 euros hasta superiores a 300.000 euros, según lo previsto en el art. 78, relativo a la prescripción de las sanciones.

En cualquier caso, las autoridades de supervisión tendrán que evaluar, separada o conjuntamente, por una parte, si se ha producido una infracción y, por otra parte, la sanción, ya sea una multa administrativa u otra, pudiendo ser esta última independiente o complementaria a la primera. Un claro ejemplo de una sanción complementaria sería, siguiendo con el Proyecto de Ley Orgánica de Protección de Datos, la previsión de que se publiquen en el Boletín Oficial del Estado «la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica» (art. 76.4).

B) La gravedad de la infracción

Sobre la gravedad de la infracción, el GT29 hace referencia a los factores previstos en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) y señala que la gravedad de la infracción debe evaluarse en combinación con otros factores, incluyendo el GT29 en sus directrices los relativos al número de afectados, a la finalidad del tratamiento y al daño.

En cuanto al número de afectados, el GT29 señala que debe ser tenido en consideración para poder determinar si se trata de un hecho aislado o si se trata de una infracción más sistémica. No obstante, las directrices aclaran que un hecho aislado puede afectar a muchos interesados, de manera que se trata de atender todas las circunstancias del caso, incluyendo el número de afectados, ya sea el número de registros en una base de datos, de usuarios de un servicio, de clientes o en proporción con la población de un país.

Y por lo que se refiere a otro de los factores relevantes, el relativo a la finalidad del tratamiento, el GT29 indica que también debe ser evaluado prestando atención a los dos componentes nucleares de este principio que son la finalidad del tratamiento y el uso compatible de los datos personales.

Por último, el daño que hayan sufrido los interesados es otro de los factores relevantes, según el GT29, debiendo considerarse los riesgos para los derechos y libertades de las personas, tal como se explica en el considerando 75 del Reglamento (LA LEY 6637/2016). Por tanto, los daños que hayan sufrido o que podrían sufrir los interesados como consecuencia de la infracción, deben ser tenidos en cuenta por las autoridades de supervisión a la hora de determinar la sanción, si bien queda claro, como se indica en las directrices, que cualquier compensación por daños no les corresponde a las mismas y que la imposición de la multa no depende de la capacidad de la autoridad de supervisión para establecer una relación causal entre la infracción y la pérdida material.

C) La duración de la infracción

El GT29 apunta en sus directrices que la misma puede ser indicativo, por ejemplo, de: a) una conducta intencionada del responsable del tratamiento, b) un fallo en la adopción de medidas preventivas apropiadas, o c) la incapacidad de adoptar las medidas técnicas y organizativas requeridas. Se trata, por tanto, de un listado ejemplificativo de posibles situaciones que las autoridades de supervisión podrán tener en consideración.

2. La intencionalidad o negligencia en la infracción

Además de explicar qué se entiende tanto por intencionalidad como por negligencia, el GT29 incluye algunas circunstancias y ejemplos a considerar por las autoridades de supervisión a la hora de determinar si la infracción fue intencional o negligente.

Un ejemplo de infracción intencional que se apunta en las directrices es el relativo a la venta de datos personales para fines de marketing cuando se haga como si se hubiera obtenido el consentimiento (opt-in) sin comprobar o desatendiendo las consideraciones de los interesados sobre cómo deberían ser utilizados sus datos.

Y otras circunstancias a considerar para determinar la intencionalidad o no de la infracción son, según apunta el GT29, el incumplimiento de políticas aplicables, el error humano o el fallo en no aplicar actualizaciones técnicas a tiempo. Evitar estos fallos mediante acciones como la adopción, implementación, revisión y actualización de medidas técnicas y organizativas es clave para que el responsable o, en su caso, el encargado del tratamiento, se alejen de la zona de riesgo de incumplimiento. Es decir, la aproximación basada en el riesgo requiere supervisión constante, mediante la aplicación de controles adecuados.

3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados

Se trata de evaluar aquellas medidas que el responsable o el encargado del tratamiento hayan adoptado cuando se ha producido una infracción para mitigar los daños y perjuicios derivados de la misma.

El GT29 apunta que la adopción de medidas o la falta de adopción de las mismas debe ser tenido en consideración por la autoridad de supervisión al decidir sobre la medida correctiva y el cálculo de la sanción que se imponga. Es decir, se trata tanto de factores que agravan o disminuyen la sanción como de un criterio a considerar en la determinación de cuál es la medida correctiva a aplicar.

Y habrá que ver, tal como se indica en las directrices, cuál es el impacto que pudiera tener la autoincriminación, lo que según el GT29 ha supuesto que en algunos casos las autoridades de supervisión hayan mostrado algún grado de flexibilidad cuando los responsables y encargados del tratamiento han admitido su infracción y han adoptado medidas para corregir o minimizar el impacto de sus incumplimientos.

4. El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32

El GT29 destaca el hecho de que el RGPD haya introducido un nivel mucho mayor de responsabilidad (accountability) para el responsable en comparación con la Directiva 95/46/CE (LA LEY 5793/1995). Dicha responsabilidad, que se concreta en la adopción de medidas técnicas y organizativas, implica que tenga que evaluar de manera constante los medios a los que recurre sobre la base de las conclusiones derivadas de las correspondientes evaluaciones.

Por tanto, las autoridades de supervisión tienen que preguntarse, según el GT29, en qué medida el responsable «hizo lo que se podía esperar que hiciera» («did what it could be expected to do») considerando la naturaleza, las finalidades o el tamaño de la organización, en virtud de las obligaciones impuestas por el RGPD. Y al respecto deben tenerse también presentes las buenas prácticas, los códigos de conducta y las certificaciones.

5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento

Al respecto, toda infracción del RGPD, en sentido amplio, sería «relevante», tal y como resalta el GT29, para que la autoridad de supervisión realice su evaluación sobre si el responsable o el encargado del tratamiento tienen un nivel general de conocimiento insuficiente o son indiferentes ante las normas sobre protección de datos personales.

6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción

Según el GT29, y ante el silencio del RGPD, dicha cooperación se deberá tener en consideración por las autoridades de supervisión a la hora de calcular la multa administrativa que se impondrá.

No obstante, cuando el responsable del tratamiento adopte medidas para evitar consecuencias en los derechos de las personas o minimizar el impacto que su infracción hubiera tenido en otro caso, entonces sí se tendrá en consideración para decidir sobre el tipo de medida correctiva sobre el mismo.

Lo que en ningún caso se considerará es la obligación de cooperación que, por ley, tiene el responsable del tratamiento con respecto a la autoridad de supervisión.

7. Las categorías de los datos de carácter personal afectados por la infracción

Sobre este apartado el GT29 únicamente indica algunos ejemplos de datos sensibles haciendo referencia a los arts. 9 (LA LEY 6637/2016)y 10 del Reglamento (LA LEY 6637/2016).

No obstante, cabe destacar que el GT29 incluye cuestiones tales como si los datos personales están directamente disponibles sin medidas técnicas de protección o si se han cifrado, siendo esto más bien una pregunta a realizar en cuanto a las medidas técnicas que hubieran adoptado el responsable y encargado del tratamiento para proteger los datos personales y no en cuanto a las categorías de datos personales afectados por la infracción.

8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida

En particular, el GT29 indica, por una parte, que la mera notificación de una violación de la seguridad de los datos personales no puede ser considerada como una atenuante o factor que mitigue la sanción por tratarse del cumplimiento de una obligación y, por otra parte, que debe considerarse la falta negligente de notificación o una notificación incompleta no puede dar lugar a que se cualifique la infracción como leve.

9. Cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas

El GT29 recuerda a las autoridades de supervisión que tengan en cuenta las medidas previas que hubieran adoptado en relación con el responsable o encargado del tratamiento, así como los contactos previos, haciendo referencia expresa al delegado de protección de datos.

10. La adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42

En la medida en que un responsable o encargado del tratamiento que incumpla se hubiera adherido a códigos de conducta aprobados en virtud del art. 40 (LA LEY 6637/2016)o adoptado mecanismos de certificación acreditada conforma al art. 42 (LA LEY 6637/2016), el GT29 considera que en dichas circunstancias podrían ser sopesadas por la autoridad de supervisión a la hora de imponer una sanción, si bien esta última puede, finalmente, decidir una sanción al margen de la que hubiera recibido el infractor en virtud del correspondiente esquema de autorregulación.

Es decir, en ocasiones podría ocurrir que la sanción impuesta por el organismo de supervisión del código de conducta u otro esquema de autorregulación sea considerada por la autoridad de supervisión como una medida efectiva, proporcionada y disuasoria suficiente en el caso particular sin necesidad de imponer medidas correctivas específicas, incluyendo multas administrativas, por parte de dicha autoridad.

11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción

Se trata de un cajón de sastre en el que cabrían cualesquiera otros elementos o factores que deberían ser tenidos en consideración por las autoridades de supervisión a la hora de decidir sobre la oportunidad de una multa administrativa.

En relación con esta previsión, el GT29 destaca que la obtención de un beneficio económico puede ser una prueba relevante de que debería imponerse una multa.

IV. Conclusiones

Las multas administrativas en caso de infracción del Reglamento (UE) 2016/679 (LA LEY 6637/2016) son una novedad para algunos Estados miembros de la Unión Europea y son también uno de los elementos esenciales que se prevén en el mismo para garantizar su cumplimiento, que debe servir en este último caso para conseguir una protección efectiva del derecho fundamental a la protección de datos de carácter personal. Estas dos razones son las que han llevado, fundamentalmente, al GT29 a dedicar unas de sus directrices a la imposición y establecimiento de las mismas.

Como sanción, las autoridades de supervisión deberán imponer multas administrativas que resulten ser «equivalentes», incluso a otras medidas correctivas distintas; deberán ser efectivas, proporcionadas y disuasorias; evaluando en cada caso específico los factores establecidos en el art. 83.2 del RGPD (LA LEY 6637/2016) y, por último, deberán cooperar entre sí para una mejor aplicación y cumplimiento del citado Reglamento.

Incluso cuando las directrices se dirigen a las autoridades de supervisión, se convierten en un instrumento adecuado para que responsables y encargados del tratamiento puedan prever, en su caso, las consecuencias de sus incumplimientos.

Y será a partir del próximo 25 de mayo de 2018 cuando podamos ver cómo estas multas administrativas son aplicadas por las autoridades de supervisión, incluso por la Agencia Española de Protección de Datos que cuenta ya con una amplia experiencia en la materia, así como qué papel tiene el Comité Europeo de Protección de Datos.

(1)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos (LA LEY 6637/2016)), DO L 119, de 4 de mayo de 2016.

Ver Texto
(2)

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (LA LEY 5793/1995), relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, DO L 281, de 23 de noviembre de 1995.

Ver Texto
(3)

Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679, WP 253. Consultadas, en inglés, en http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889

Ver Texto
(4)

Sentencia del Tribunal de Justicia (Gran Sala), de 6 de octubre de 2015. Asunto C-362/14 (LA LEY 133806/2015). Apartado 74.

Ver Texto
(5)

Boletín Oficial de las Cortes Generales, Congreso de los Diputados, XII Legislatura, Serie A: Proyectos de Ley, 24 de noviembre de 2017. Consultado en http://www.congreso.es/public_oficiales/L12/CONG/BOCG/A/BOCG-12-A-13-1.PDF#page=1

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll