Aproximación al nuevo régimen sancionador del Reglamento General de protección de datos a partir del 25 de mayo.
- Autor: Jose Candamio
- Materia: Laboral
- Fecha: 23/04/2018

El próximo 25 de mayo de 2018 entrará en vigor el Reglamento (UE) 2016/679 de 27 de Abr DOUE (Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y derogación de la Directiva 95/46/CE (Reglamento general de protección de datos)). En la entrada de esta semana respondemos a dos preguntas:
- ¿Qué nos encontraremos con la aplicación de su artículo 83, RGPD, en relación con la imposición de multas administrativas?
- ¿El art. 82, RGPD, abre la puerta a las indemnización por los daños y perjuicios sufridos?
Sin duda lo más llamativo del nuevo RGPD es la existencia de multas administrativas de hasta «20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía». Es decir, el volumen de negocio será un factor relevante para la imposición de sanciones a aplicar.
Igualmente, en mi opinión, resulta de gran interés la posibilidad de los afectados por un tratamiento ilícito de datos personales de exigir indemnizaciones por daños y perjuicios.
Artículo 83. Condiciones generales para la imposición de multas administrativas
- Cada autoridad de control garantizará que la imposición de las multas administrativas
La imposición de las multas administrativas con arreglo al artículo de análisis se fija en función del tipo de infracción cometida, -siguiendo los criterios establecidos en losa apartados 4, 5 y 6- y su graduación en base a criterios como su naturaleza, gravedad, duración, intencionalidad, etc -siguiendo los criterios establecidos en el apartado 2-.
- Imposición de multas administrativas en función de las circunstancias de cada caso individual a título adicional o sustitutivo de otras medidas. Criterios de graduación
Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, -a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j)-. Para decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrán en cuenta los siguientes parámetros:
- a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
- b) la intencionalidad o negligencia en la infracción;
- c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
- d) el grado de responsabilidad del responsable o del encargado del tratamiento. En este supuesto se tendrán en cuenta las medidas técnicas u organizativas aplicadaas aplicado en virtud de los artículos 25 y 32, RGPD.
- e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
- f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
- g) las categorías de los datos de carácter personal afectados por la infracción;
- h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
- i) cuando las medidas indicadas por cada autoridad de control -siguiendo el art. 58.2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
- j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación -aprobados con arreglo al art. 42-, y
- k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
- Incumplimiento de forma intencionada o negligente por parte del responsable o encargado del tratamiento de datos
Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.
- Multas administrativas en relación a las infracciones
-multas de 10 000 000 EUR o 2 % del volumen de negocio total anual en caso de empresas
Las infracciones de las disposiciones siguientes se sancionarán, en función de las circunstancias de cada caso individual, con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
- las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
- las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
- las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
-multas de 20.000.000 EUR o 4 % del volumen de negocio total anual en caso de empresas
Las infracciones de las disposiciones siguientes se sancionarán, en función de las circunstancias de cada caso individual, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
- los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
- los derechos de los interesados a tenor de los artículos 12 a 22;
- las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49;
- toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;
- el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.
- multas por incumplimiento de las resoluciones de la autoridad de control
El incumplimiento de las resoluciones de la autoridad de control - establecidos en el art. 58.2-, se sancionará, en función de las circunstancias de cada caso individual, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
- Multas administrativas a autoridades y organismos públicos
Sin perjuicio de los poderes correctivos de las autoridades de control - establecidos en el art. 58.2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.
- Garantías procesales adecuadas
El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.
- Aplicación supletoria de las multas administrativas del RGPD
Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable.
Artículo 82. Derecho a indemnización y responsabilidad
- Derecho a indemnización y responsabilidad
La norma europea es clara «Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento general de protección de datos tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos». O dicho de otro modo, cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el Reglamento.
A este respecto se matiza:
- El responsable o encargado del tratamiento estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
- Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a la normativa, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.
- Cuando, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Civil Nº 140/2015, AP - Asturias, Sec. 5, Rec 160/2015, 20-05-2015
Orden: Civil Fecha: 20/05/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 140/2015 Num. Recurso: 160/2015
-
Sentencia CIVIL Nº 490/2016, AP - Cantabria, Sec. 2, Rec 350/2016, 28-09-2016
Orden: Civil Fecha: 28/09/2016 Tribunal: Ap - Cantabria Ponente: Arsuaga Cortazar, Jose Num. Sentencia: 490/2016 Num. Recurso: 350/2016
-
Sentencia Civil Nº 54/2012, AP - Madrid, Sec. 10, Rec 660/2011, 25-01-2012
Orden: Civil Fecha: 25/01/2012 Tribunal: Ap - Madrid Ponente: Illescas Rus, Angel Vicente Num. Sentencia: 54/2012 Num. Recurso: 660/2011
-
Sentencia Civil Nº 7/2016, AP - Asturias, Sec. 6, Rec 488/2015, 17-01-2016
Orden: Civil Fecha: 17/01/2016 Tribunal: Ap - Asturias Ponente: Riaza Garcia, Jaime Num. Sentencia: 7/2016 Num. Recurso: 488/2015
-
Sentencia Civil Nº 163/2015, AP - Asturias, Sec. 5, Rec 176/2015, 08-06-2015
Orden: Civil Fecha: 08/06/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 163/2015 Num. Recurso: 176/2015
-
Infracciones en materia de protección de datos (LOPDGDD y RGPD)
Orden: Administrativo Fecha última revisión: 23/01/2019
Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74). Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...
-
Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.
Orden: Administrativo Fecha última revisión: 30/01/2019
La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 03/02/2020
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...
-
Protección de intereses vitales como base jurídica de legitimación en materia de protección de datos
Orden: Administrativo Fecha última revisión: 07/02/2019
Todo tratamiento de datos, para ser lícito, necesita apoyarse en una base que lo legitime, establecida conforme a Derecho.Tal y como establece el artículo 6 del RGPD, el tratamiento será lícito cuando sea necesario para proteger intereses vitales...
-
Relaciones electrónicas entre las Administraciones Públicas
Orden: Administrativo Fecha última revisión: 28/12/2020
Las relaciones electrónicas entre las Administraciones Públicas vienen reguladas en los artículos 155-158 Capítulo IV del Título III de la Ley 40/2015, de 1 de octubre. El esquema es el siguiente: Artículo 155. Transmisiones de datos entre Ad...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Formulario de contrato de confidencialidad en ámbito de investigación/innovación (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 21/01/2019
ACUERDO PREVIO DE [DESCRIPCION] EN EL ÁMBITO DE LA INVESTIGACIÓN/INNOVACIÓN Y SU CONFIDENCIALIDAD(Acuerdo de Confidencialidad)REUNIDOSDe una parte, [NOMBRE_EMPRESA] (en adelante Empresa), con CIF [CIF], y domicilio [DIRECCION], [POBLACION], [CODIG...
-
Modelo de contestación a solicitud de ejercicio de derecho de oposición al tratamiento (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
[NOMBRE_EMPRESA]CIF/NIF [NUMERO][DIRECCION][TELEFONO][CORREO_ELECTRONICO] ASUNTO: CONTESTACIÓN AL EJERCICIO DEL DERECHO DE OPOSICIÓNEstimado Sr./Sra.:Acusamos recibo de su solicitud de fecha [FECHA], mediante el que ejercita su derecho de oposici...
-
Formulario para ejercicio del derecho de supresión. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
EJERCICIO DEL DERECHO DE SUPRESIÓN DATOS DEL RESPONSABLE DEL TRATAMIENTO.Nombre / razón social: [NOMBRE_EMPRESA]Dirección de la Oficina (Servicio ante el que se ejercita el derecho de acceso): [DIRECCION]C.Postal: [CODIGO_POSTAL]Localidad: [LOCAL...
-
Formulario para ejercicio del derecho a la portabilidad de datos personales (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
EJERCICIO DEL DERECHO A LA PORTABILIDAD DE LOS DATOS DATOS DEL RESPONSABLE DEL TRATAMIENTO.Nombre / razón social: [NOMBRE_EMPRESA]Dirección de la Oficina (Servicio ante el que se ejercita el derecho de acceso): [DIRECCION]C.Postal: [CODIGO_POSTAL]...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: ¿Está permitida la publicación de listas de morosos en tablones de la comunidad, ascensores, etc., antes incluso de que la junta de propietarios acuerde la liquidación de la deuda?
Fecha última revisión: 05/07/2013
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: Instalación de cámaras de vigilancia en un edificio
Fecha última revisión: 24/07/2013
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 10/09/2018
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal gar...
PLANTEAMIENTO¿Está permitida la publicación de listas de morosos en tablones de la comunidad, ascensores, etc., antes incluso de que la junta de propietarios acuerde la liquidación de la deuda?RESPUESTASiANÁLISISConforme indica el 2.1 ,LOPD, el ...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada ...
PLANTEAMIENTOPara instalar cámaras de seguridad en un edificio, ¿qué legislación hay que seguir?RESPUESTALa instalación de cámaras de vigilancia es muy habitual, como protección frente a posibles robos por ejemplo.Para la instalación de cá...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que ,en innumerables ocasiones, los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para “conservar”...
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 28/04/2014
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 24/01/2013
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 04/07/2018
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 03/01/2018