Sanciones impuestas por el nuevo RGPD

El pasado 25 de mayo pasó a ser de aplicación obligatoria el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la Directiva 95/46/CE (en adelante, RGPD). En él se establecen duras sanciones para aquellos que deciden no cumplir con sus mandatos de forma establecida. Recordemos la importancia de cumplir con las normas impuestas en la sociedad para conseguir un mayor funcionamiento social y una eficaz seguridad jurídica.

En una sociedad en donde la tecnología y el uso de las redes sociales aumenta a pasos de gigante, es vital proteger a la sociedad para que no sufran ataques cibernéticos. Phishing, malware, troyanos, spyware, virus y muchos otros, son los más frecuentes hoy en día. Así pues, el nuevo RGPD ha impuesto severas sanciones para aquellos que deciden ser free-riders y no cumplir con lo dispuesto. El régimen sancionador se encuentra regulado en el artículo 83 y siguientes del RGPD.

 >Derecho a reclamar

El capítulo VIII, artículo 77 del RGPD regula el derecho a cualquier ciudadano europeo a poner en conocimiento al organismo competente la vulneración de uno de sus derechos fundamentales en materia de protección de datos. Así pues, si dispone de las pruebas correspondientes que acreditan la vulneración podrá reclamar que se imponga al infractor la multa determinada con el fin que cese la infracción. El nuevo RGPD pretende establecer endurecer el régimen sancionador aplicable para así hacer efectiva la protección de los ciudadanos, y en especial, sus datos personales.

>Autoridad de control

El artículo 77 habla de poner en conocimiento la infracción ante una Autoridad de Control, pero… ¿qué es realmente? Pues resulta que el nuevo RGPD obliga a cada uno de los Estados Miembro a designar una institución pública que vele de forma proactiva por la imposición efectiva del Reglamento.

En el caso de España, dicha autoridad de control será la Agencia Española de Protección de Datos. Ella será la encargada de investigar la obtención, tratamiento, uso y también la seguridad de los datos personales de todos los ciudadanos europeos que residen en nuestro estado.

 >Características de las Multas

Las condiciones generales para imponer las multas se encuentran reguladas en el artículo 83 RGPD y son de carácter administrativo. Así pues, las principales características son:

 

 

 

 

 

 

 

>Criterios para imponer sanciones

Además, se han previsto un seguido de criterios para determinar el tipo de sancionar que se debe imponer a cada caso, siguiendo unas pautas generales para garantizar la igualdad de trato, legalidad y transparencia que son:

  • Gravedad de la infracción
  • Intencionalidad o negligencia
  • Medidas adoptadas
  • Grado de responsabilidad
  • Cooperación con la autoridad de control
  • Categoría de los datos
  • Forma en que la autoridad tuvo el conocimiento de la infracción
  • Adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados
  • Cualquier infracción anterior cometida por el responsable o el encargado de tratamiento
  • Cualquier otro factor agravante o atenuante

>Tipo de sanciones

Las sanciones que el nuevo reglamento de protección de datos ha previsto son principalmente económicas y las podemos clasificar en dos grupos:

1.Multa que puede llegar a los 10.000.000€ o el 2% del volumen de negocio global del último año cuando incurren las siguientes causas:

  • La Vulneración de las obligaciones del responsable y del encargado
  • Vulneración de obligaciones de certificación
  • La Vulneración de obligaciones de control

2.Multa de hasta 20.000.000 o el 4% del volumen de negocio global del último año cuando incurren las causas:

  • Vulneración de los principios básicos de tratamiento
  • Vulneración de los derechos de los interesados
  • Transferencia a terceros países
  • Incumplimiento de una resolución

Sin embargo, debemos tener en cuenta que también cabe la posibilidad que las agencias de protección de datos pueden enviar avisos a las empresas. Es decir, podrán enviar-les requerimientos, advertencias, apercibimientos e incluso órdenes de cese en determinadas actividades de tratamiento de datos personales.