INTRODUCCIÓN
Volvemos a poner en marcha nuestro blog hablando del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas, en adelante RGPD. Y en concreto, nos vamos a centrar en las sanciones y multas que imponen por el incumplimiento de sus preceptos siguiendo un caso que se ha resuelto recientemente por la Agencia Española de Protección de datos.
No es de extrañar que el nuevo RGPD imponga sanciones más elevadas que la LOPD. Ya que aún existiendo normativas centradas en la protección de datos desde 1992 con la LORTAD -la primera ley de protección de dato- no todas las organizaciones, públicas o privadas, han tomado conciencia de su importancia.
SANCIONES Y MULTAS
El nuevo RGPD deja claro que toda organización que haga uso de datos personales en su actividad puede ser penalizado con sanciones. No importa si es a nivel autónomo, pyme o gran empresa, etc. Dichos castigos pueden llegar a alcanzar los 20 millones de euros o el 4% de la facturación anual de la compañía o autónomo, dependiendo de la gravedad de la infracción y del número de personas afectadas.
El artículo 83.2 del Reglamento especifica las multas que se impondrán en relación con la gravedad y tipo de infracción de que se trate. Recordemos que se ha eliminado la clasificación clásica de infracción entre leves, graves y muy graves. Así pues, dicha clasificación se realizará en atención a distintos criterios como:
- Naturaleza, gravedad y duración de la infracción
- Intencionalidad o negligencia en la infracción
- El grado de responsabilidad del encargado del tratamiento de datos. Se debe tener en cuenta las medidas técnicas y organizativas aplicadas para salvaguardar la información
- Las infracciones anteriores cometidas
- La categoría de los datos personales afectados
- Venta de datos personales para el uso de fines publicitarios sin consentimiento de los interesados
- Fallo en la adopción de medidas preventivas
SANCIONES COMPLEMENTARIAS
Hasta ahora hemos hablado de sanciones administrativas que se focalizan en el pago de multas o de un porcentaje de facturación de la empresa. Pero también se podrán imponer sanciones penales. La normativa establece la posibilidad de trascender la vía administrativa. Permite a los Estados Miembro imponer sanciones penales por el incumplimiento del RGPD.
Además, el afectado podrá reclamar también una indemnización por vía civil atendiendo a los daños o perjuicios sufridos. Se trata de la persona que ha visto afectados sus derechos por un mal uso de su información personal o una falta de medidas de seguridad. Dicha indemnización deberá ser pagada por la persona responsable del tratamiento de los datos.
EJEMPLO A LA PRÁCTICA
Recientemente se ha resuelto un caso de multa por infracción en el tratamiento de datos personales protagonizado por la operadora Jazztel. Resulta que se le ha impuesto una multa de 30.000€ a cada una de las empresas de telemarketing subcontratadas por Orange. El motivo era por realizar llamadas publicitarias a clientes ofreciendo los productos de su anterior marca, Jazztel.
Cada una de las multas proviene de una sentencia distinta. La primera se fundamenta en la demanda de un cliente de Jazztel que interpuso ante la AEPD. En ella, daba aviso de las reiteradas llamadas telefónicas que recibía a pesar de formar parte del listado de clientes de exclusión de acciones publicitarias. La llamada Lista Robinson. Además, ante el constante recibimiento de llamadas, decidió enviar un email al defensor del usuario de Jazztel. En el mensaje pedía que procedieran a la exclusión de sus datos.
Y en segundo lugar, encontramos la sentencia del caso contra Crosseling Operadores 3.9. SLU, la cual subcontrataba sus servicios con Global Telemarketing. En concreto, la empresa demandó a la AEPD y también a la propia Orange España. La Audiencia Nacional reiteró la condena impuesta por la AEPD. Además, exoneró a Orange España de cualquier responsabilidad por no haber autorizado la subcontratación de los servicios de telemarketing que firmó Corosseling con Global.
CONCLUSIONES
Así pues, es muy importante cumplir con la normativa para evitar tener que pagar seberas multas. Pero sobretodo porque es hora de que nos sensibilicemos con la protección de la privacidad y los datos personales de los interesados. Como siempre decimos en Global Legal Data: cumplir con la protección de datos es, además de una obligación legal, una apuesta de valor para la organización.