Sanciones impuestas des de la aprobación del nuevo RGPD

Introducción

A la luz de la reciente sanción impuesta por la autoridad de protección de datos francesa a Google, queremos revisar el marco de las sanciones de la normativa de protección de datos.

La implementación del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas ya ha dado sus frutos tanto desde la óptica positiva como negativa.

Su aplicación obligatoria el pasado 25 de mayo de 2018 supuso llevar a cabo un seguido de cambios para así, adecuarse a las nuevas obligaciones. Muchas empresas, pues, son las que a día de hoy ya prácticamente cumplen con toda la normativa y por lo tanto, podemos estar contentos con los resultados. Sin embargo, también se han impuesto las primeras multas en este ámbito.

Breve repaso

Antes de empezar a hablar propiamente de las sanciones es importante hacer un resumen muy rápido de las principales novedades que aportó el RGPD.

  • Nueva visión:
    • Compliance
    • Accountability
  • Nuevos principios:
    • Minimización de los datos
    • Limitación de la finalidad
    • Exactitud de los datos
    • Limitación del plazo de conservación
    • De Seguridad
    • De Transparencia
  • Nuevos derechos:
    • Portabilidad de los datos
    • Limitación del tratamiento
    • Al acceso
    • A la rectificación
    • De supresión
    • Al olvido
    • De oposición
  • Nuevas obligaciones:
    • Registro de actividades del tratamiento
    • Protección de datos desde el diseño y por defecto
    • Notificación de ‘violaciones de seguridad de datos’
    • Medidas técnicas y organizativas
    • Análisis de riesgos
    • Evaluación de Impacto sobre la Protección de Datos
  • Nuevas figuras: 

Sanciones y multas

El artículo 83.2 del Reglamento especifica las multas que se impondrán en relación con la gravedad y tipo de infracción de que se trate. Recordemos que se ha eliminado la clasificación clásica de infracciónes leves, graves y muy graves. Sin embargo, nuestra LOPD mantiene la clasificación tradicional en su Título IX sobre el régimen sancionador.

Así pues, dicha clasificación se realizará en atención a distintos criterios como:

  • Naturaleza, gravedad y duración de la infracción
  • Intencionalidad o negligencia en la infracción
  • El grado de responsabilidad del encargado del tratamiento de datos. Se debe tener en cuenta las medidas técnicas y organizativas aplicadas para salvaguardar la información
  • Las infracciones anteriores cometidas
  • La categoría de los datos personales afectados
  • Venta de datos personales para el uso de fines publicitarios sin consentimiento de los interesados
  • Fallo en la adopción de medidas preventivas

Así pues, el nuevo RGPD deja claro que toda organización que trate datos personales deberá cumplir con todas las obligaciones que le afecten para garantizar el derecho a la protección de datos y así también evitar la posible imposición de sanciones.

Las sanciones pueden llegar a alcanzar los 20 millones de euros o el 4% de la facturación anual de la compañía o autónomo, dependiendo de la gravedad de la infracción y del número de personas afectadas; por lo que sin que sea el único o principal motivo para cumplir, es importante tenerlo en cuenta.

Sanciones complementarias

Hasta ahora hemos hablado de sanciones administrativas que se focalizan en el pago de multas o de un porcentaje de facturación de la empresa. Pero también se podrán imponer sanciones penales. La normativa establece la posibilidad de trascender la vía administrativa. Permite a los Estados Miembro imponer sanciones penales por el incumplimiento del RGPD.

Además, el afectado podrá reclamar también una indemnización por vía civil atendiendo a los daños o perjuicios sufridos cuandola persona interesada hayavisto afectados sus derechos por un mal uso de su información personal o una falta de medidas de seguridad. Dicha indemnización deberá ser pagada por el responsable del tratamiento de los datos.

Casos de sanciones hasta la fecha

Portugal

El primer caso de multa por incumplimiento del RGPD tubo lugar pasado medio año des de su obligada aplicación y fue en Portugal. El sancionado fue un  Centro Hospitalario que permitió el acceso ilícito a datos clínicos. Así pues, la Agencia Portuguesa de Protección de Datos (CNPD) les impuso una multa de 400.000 euros tras su investigación realizada previo aviso por parte del Colegio Oficial de Médicos de Portugal.

En concreto, las infracciones cometidas fueron:

  • Violación del principio de integridad y confidencialidad
  • Violación del principio de minimización
  • Incapacidad para garantizar la confidencialidad de integridad de los datos

Alemania

Otra multa por incumplimiento de las normas referidas a la protección de los datos personales fue para una compañía alemana. Se trata de una empresa de mensajería que fue sancionada por haber filtrado más de 808.000 direcciones de correo electrónico. Y también, más de 1.8 millones de nombres de usuario y contraseñas. Así pues, se les impuso una multa de 20.000 euros.

 Francia

Finalmente, otro caso muy reciente como ya hemos mencionado es el de la multa por incumplimiento del RGPD que fue impuesta por la Comisión Nacional de la Informática y las Libertades (CNIL) a Google. La CNIL consideró que el consentimiento en el tratamiento de datos de Google no está debidamente informado. Y, por lo tanto, puede llevar a la confusión de los usuarios. Además, también consideró que los permisos que el usuario da en el momento de crear una cuenta en Google no son lo suficientemente específicos. Así pues, les impuso una multa que ascendía a los 50 millones de euros siendo mayor sanción impuesta hasta el momento.

En resumen, las infracciones cometidas fueron:

  • Falta de transparencia
  • Información proporcionada insatisfactoria
  • Falta de consentimiento válido para la publicidad

Conclusiones

Todas estas multas revelan la importancia de aplicar correctamente las obligaciones impuestas por el nuevo Reglamento Europeo de Protección de Datos. Las cuantías pueden variar según el nivel de daño y violación causado, pero pueden llegar a ser muy costosas. Por lo tanto, es mejor hacer las cosas bien des del principio. Recordemos que las sanciones, además de tener un coste muy elevado también dañan los derechos de las personas y a la imagen corporativa de la compañía.