Régimen sancionador en la LO 3/2018 de protección de datos (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

       Como decíamos, el RGPD no ha sido demasiado conciso en cuanto a las actuaciones que pueden suponer la imposición de sanciones económicas y las cantidades a aplicar a cada infracción, si bien en el Considerando 148 indica que "A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías".

La norma europea en su artículo 83 establece las condiciones generales para la imposición de multas administrativas, el límite máximo y los criterios para fijar las multas administrativas, que la autoridad de control competente deberá determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular: a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción, así como la intencionalidad o negligencia en la infracción. Si las multas administrativas se imponen a personas que no son una empresa, la autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la multa el nivel general de ingresos prevaleciente en el Estado miembro así como la situación económica de la persona.

Además la imposición de las multas administrativas por cada autoridad de control garantizará, en cada caso individual, que sean efectivas, proporcionadas y disuasorias.

      La nueva LOPDGDD ha sido mucho más precisa y clara con respecto al régimen sancionador estableciendo los hechos constitutivos de infracciones y las sanciones, así como los plazos de prescripción de ambas, y los sujetos responsables en el Título IX de la norma. Téngase en cuenta que NO será de aplicación este régimen sancionador al Delegado de protección de datos, estando únicamente sujetos al mismo:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.

c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.

d) Las entidades de certificación.

e) Las entidades acreditadas de supervisión de los códigos de conducta.

Las infracciones se dividen, al igual que en la antigua regulación, en: Muy graves (art. 72), Graves (art. 73) y Leves (art. 74)  y prescribirán a los 3, 2 y 1 años respectivamente, si bien la iniciación del procedimiento sancionador, con conocimiento del interesado, interrumpirá la prescripción, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. A modo de resumen:

- Las infracciones muy graves son aquellas que suponen una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.5 del RGPD, y que tienen que ver con el uso de los datos para una finalidad diferente de la indicada, la omisión del deber de informar al interesado, la exigencia de un pago para poder acceder a los datos propios almacenados, la realización de transferencias internacionales sin garantía, o por ejemplo, entre muchas otras conductas, la vulneración del deber de confidencualidad del artículo 5 de la LOPDGDD.

- Las infracciones graves son aquellas que supongan una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.4 del RGPD, y que tengan que ver con datos de un menores recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, entre muchas otras, la contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas.

- Las infracciones leves son aquellas de carácter meramente formal, es decir, el resto de infracciones que no estén contempladas en las dos anteriores, y entre ellas podemos encontrar supuestos tales como la no transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por el RGPD, la exigencia del pago de un canon para facilitar al afectado la información obligatoria, disponer de un registro de actividades incompleto o, por ejemplo, entre muchas otras, no publicar los datos de contacto del Delegado de protección de datos cuando su nombramiento sea exigible.

Asi mismo, en cuanto a las sanciones, se establecen plazos de prescripción en base al importe de la misma. Dichos plazos comenzarán a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Se analizarán más a fondo las infracciones y sanciones en los temas correspondientes.