Aplicando el RGPD: quién, cuánto, cómo, a quién y qué se sanciona

Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), se han ido sucediendo las noticias  por las que compañías con presencia internacional y de reconocido prestigio han sido sancionadas como consecuencia del incumplimiento de la normativa. De este modo, desde el 25 de mayo de 2018 se ha tenido oportunidad de analizar el grado de cumplimiento normativo de las empresas y cómo han ido adoptando el RGPD, además de cómo afronta el regulador la imposición de sanciones.  A fecha de este artículo, un total de 23 autoridades de control ya han impuesto sanciones y penalizaciones que ascienden a una cantidad total cercana a los 117.000.000€ por incumplimientos de la normativa de protección de datos.

¿Quién sanciona?: Consecuencias de incumplir el RGPD

Cada Estado Miembro dispone de una o varias autoridades de control que se encargan de velar por la aplicación y cumplimiento del RGPD. Entre las diferentes competencias que el Reglamento les atribuye se encuentra el poder correctivo, que incluye la facultad de sancionar aquellas actividades que infrinjan lo dispuesto en el RGPD.

RGPD artículo

Cuánto: ¿Cuál es la cuantía máxima por la que puedo llegar a ser sancionado?

Del extenso listado de sanciones impuestas por las diferentes autoridades de control europeas, que parten de importes como los 90€, destaca por su elevada cuantía, la multa impuesta a Google. La Comisión Nacional de Informática y Libertades (CNIL), el organismo encargado de velar por la protección de datos en Francia, sancionó en enero del 2019 a Google LLC con una multa de 50 millones euros. En un ejercicio de síntesis, podríamos concluir que los motivos por los que Google fue sancionado son los siguientes: por (i) falta de transparencia dado las dificultades que tenían los usuarios de Google para acceder a la información, (ii) información insuficiente y deficiente en torno al tratamiento de datos personales y (iii) la falta de una base de legitimación para el tratamiento de anuncios personalizados. Como consecuencia de lo anterior, y al incumplir algunos de los principios esenciales del RGPD, el CNIL impuso a la compañía californiana una multa récord, y que parecía tener fines ejemplificativos.

rgpd sanciones

A pesar de ser la sanción firme más elevada hasta la fecha, las infracciones atribuidas a Google podrían haber derivado en una cuantía mucho mayor, teniendo en cuenta el RGPD. Debe recordarse que uno de los principales cambios que ha supuesto la entrada del RGPD es el régimen sancionador. De conformidad con la nueva normativa, evadir los preceptos legales del RGPD puede suponer multas de hasta 20 millones de euros o 4% de la facturación global de la compañía. Así, con la introducción de este nuevo régimen sancionador lejos quedan las tablas de correspondencias entre el artículo infringido y la multa a pagar que se habían popularizado bajo la extinta Ley Orgánica de Protección de datos 15/1999 (LOPD).

¿Cómo?: Criterios de graduación del RGPD

En consecuencia con lo anterior, las sanciones con el RGPD son mucho menos “previsibles” y vendrán determinadas en función de los siguientes criterios:

  • la infracción cometida;
  • el volumen de negocio del infractor;
  • el grado de intencionalidad y negligencia en la infracción;
  • el grado de responsabilidad del Responsable y/o Encargado del Tratamiento;
  • si existe o no reincidencia;
  • categoría de datos personales y el volumen de datos que se ha visto expuesto;
  • si se ha notificado y colaborado con la autoridad de control;
  • la adhesión a Códigos de Conductas y
  • otros factores tales como beneficios obtenidos, pérdidas evitadas…

¿A quién se sanciona por el RGPD?

Como ejemplo de una aplicación más estricta de este nuevo régimen sancionador, podemos citar dos propuestas de sanción de la autoridad de protección de datos del Reino Unido (ICO) que, en caso de materializarse, claramente desbancarían la multa impuesta a Google. Es el caso de las empresas de British Airways y Marriott International, Inc  y las brechas de seguridad a las que se vieron expuestas, que afectaron a un elevado volumen de datos personales. En ambos casos, el ICO consideró que no se disponía de las medidas adecuadas para garantizar la seguridad de los sistemas de dichas compañías, por lo que propuso unas elevadas sanciones, de 204.600.000€  en el caso de British Airways y 110.390.200 € a Marriot International, Inc.

¿Cómo sanciona la Agencia Española de Protección de datos?

rgpd sanciones

Si focalizamos nuestra atención en España, se ha podido comprobar como nuestra autoridad de control se ha mostrado especialmente activa en la materia de analizar el cumplimiento y adaptación del RGPD. Así, del listado de sanciones, podemos afirmar cómo la Agencia Española de Protección de Datos (AEPD) ha sido con creces la autoridad de control europea que más ha hecho uso de su potestad sancionadora con un total de 43 sanciones.

Qué: Principales motivos por los que se sanciona en Europa

A modo de conclusión, y tal como se desprende de los diferentes ejemplos expuestos, no se puede afirmar que exista un numerus clausus de motivos por los que las autoridades europeas puedan hacer uso de su ius puniendi, ya que pueden existir tantas sanciones como incumplimientos que se deriven de la normativa. No obstante, de la lectura de las diferentes sanciones interpuestas podemos extraer aquellos motivos principales donde las autoridades de control están poniendo el foco en el momento de sancionar:

  • el incumplimiento del establecimiento de medidas de seguridad adecuadas para el tratamiento de los datos;
  • la falta de una base de legitimación que habilite al tratamiento de datos personales;
  • el incumplimiento de los principios relativos de tratamiento del RGPD;
  • las violaciones y brechas de seguridad, y en concreto la falta de notificación de las mismas;
  • no atender a los derechos de protección de datos ejercidos por los interesados,
  • la falta de transparencia e incumplimientos derivados del deber de informar y
  • la inexistencia de un adecuado contrato de encargo de tratamiento que regule la relación entre el responsable y encargado del tratamiento.

Conclusiones

Empezábamos este artículo haciendo referencia a las elevadas multas que han tenido que asumir las diferentes empresas que han incumplido el RGPD. Sin embargo, este hecho no nos puede parecer lejano y aislado a nuestra realidad, ya que el RGPD y su régimen sancionador, están siendo aplicados por las diferentes autoridades de control europea independientemente de la categoría empresarial, el sector al que se pertenece o el volumen de negocio. Hecho que certifica lo anterior son las casi 200 sanciones impuestas a diferentes organizaciones europeas o los 117.000.000€ acumulados por las diferentes sanciones en materia de protección de datos. Pese a que hemos sido testigos de multas millonarias no podemos olvidar que con el nuevo sistema el castigo por infringir la normativa europea puede implicar sanciones mucho mayores.

Como hemos visto, las multas impuestas son bastantes dispares entre sí y van en función del incumplimiento, la autoridad competente de analizar el caso, los criterios de graduación, la interpretación que se haga de la norma y las circunstancias particulares de cada caso. No obstante, del análisis realizado podemos extraer que las infracciones más recurrentes derivan de: no sustentar los tratamientos llevados a cabo en una correcta base legitimadora, en no tener en cuenta los principios generales y en deficiencias en las medidas de seguridad. En consecuencia, al evaluar nuestro grado de cumplimiento deberemos tener muy presentes aquellas actuaciones que están siendo objeto de más procedimientos sancionadores.

Por último, se debe tener en cuenta que el cumplimiento de la normativa no solo puede evitarnos cuantiosas sanciones, sino puede suponer una clara ventaja competitiva, siendo uno de los pilares y condiciones sine qua non que tienen en cuenta las empresas en el momento de contratar a un proveedor.