Sanciones y medidas correctivas en materia de protección de datos
Temas
Sanciones y medidas corre...n de datos
Ver Indice
»

Última revisión

Sanciones y medidas correctivas en materia de protección de datos

Tiempo de lectura: 14 min

Relacionados:

Orden: administrativo

Fecha última revisión: 14/09/2023

Tiempo de lectura: 14 min


El artículo 84 del RGPD, en cuanto a las sanciones, establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83 del referido reglamento.

En el sistema español, es el artículo 76 de la LOPDGDD donde se referencian las sanciones en materia de protección de datos.

Consecuencias de infringir la normativa de protección de datos

El artículo 82 del RGPD reconoce el derecho a indemnización por los daños materiales e inmateriales sufridos como consecuencia de una infracción de la normativa en protección de datos por parte del responsable o encargado del tratamiento. Asimismo, estos sujetos también responderán de los daños y perjuicios causados en las operaciones de tratamiento que no cumplan con lo establecido en el RGPD, quedando exentos si demostraran que no son los responsables del hecho causante.

A este respecto es importante citar la sentencia del TJUE dictada en el asunto C-300/21, de 4 de mayo de 2023, ECLI:EU:C:2023:370, que se pronuncia sobre la interpretación del art. 82.1 del RGPD y entiende que la mera infracción de las disposiciones de dicho reglamento no es suficiente para reconocer un derecho a indemnización, si no que la interpretación literal del artículo nos lleva a entender necesarios tres requisitos:

  • Tratamiento de datos personales en infracción de las disposiciones del RGPD.
  • Daños y perjuicios sufridos por el interesado.
  • Una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.

Fundamentándose en lo anterior, se establece una regulación exhaustiva de un sistema sancionador que castiga la comisión de infracciones en materia de protección de datos, reconociendo la imposición de multas administrativas. A tal efecto, el artículo 83 del RGPD establece que la autoridad de control tiene que garantizar que las multas se apliquen de manera individual a cada caso, así como, que sean efectivas, proporcionadas y disuasorias. Asimismo, en su séptimo apartado indica que «sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro».

Esta norma termina su capítulo VIII, relativo a los «Recursos, responsabilidad y sanciones», con el artículo 84 del RGPD que reconoce la potestad de los Estados miembros para establecer sus propias normas en materia de sanciones aplicables a las infracciones de tal reglamento, «(...) en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias».

Atendiendo al citado precepto, el artículo 76 de la LOPDGDD recoge:

«1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.

4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.

Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos, se estará a su normativa de aplicación».

Sanciones en materia de protección de datos personales

Para conocer qué medidas se pueden imponer en materia de protección de datos es imprescindible acudir al art. 76 de la LOPDGDD que, a su vez, nos remite al art. 83 del RGPD, en este sentido, se prevé lo siguiente:

1. En cuanto a las sanciones previstas:

- El apartado 4 del mencionado artículo 83 sanciona con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, las siguientes infracciones:

• El incumplimiento de las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43 del RGPD. Estos preceptos se refieren a las obligaciones relativas a los consentimientos de niños en relación con servicios de la sociedad de la información, a los tratamientos que no requieren identificación, a la protección de datos desde el diseño y por defecto, a la representación y cooperación, a los registros, las que afectan al EIPD, al DPD, a los procedimientos de certificación, etc. 

Las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43 del RGPD.

Las obligaciones del organismo de supervisión a tenor del artículo 41, apartado 4, del RGPD, que establece la obligación de tomar medidas oportunas en caso de infracción del código por un responsable o encargado del tratamiento, incluida la suspensión o exclusión de este, debiendo informar de las mismas y de su razonamiento a la autoridad de control competente.

- El apartado 5 del mencionado artículo 83 sanciona, con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, las siguientes infracciones:

• No respetar los principios básicos para el tratamiento de datos, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9 del RGPD

• No respetar los derechos de los interesados a tenor de los artículos 12 a 22 del RGPD.

• No cumplir las obligaciones en relación a las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49 del RGPD.

• No cumplir con las obligaciones impuestas en virtud del derecho de los Estados miembros que se adopten con arreglo al capítulo IX del RGPD, que regula aquellas situaciones específicas de tratamiento.

• El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, del RGPD o el no facilitar acceso, en incumplimiento del artículo 58, apartado 1, del RGPD.

- El apartado 6 del mencionado artículo 83 sanciona el incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58.2 del RGPD, «con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía». En relación a este artículo, es conveniente recordar los poderes correctivos de las autoridades de control —en el caso español, la AEPD— recogidos en el art. 58.2 del RGPD:

«2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales; f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional».

A TENER EN CUENTA. Las infracciones previstas en estos apartados se recogen de manera más pormenorizada en el apartado correspondiente a las infracciones

2. En cuanto a los criterios en la imposición de multas administrativas, el artículo 83.2 del RGPD configura las siguientes normas:

- Las multas se impondrán atendiendo a las circunstancias de cada caso individual.

- Las multas podrán imponerse a título adicional o sustitutivo de las medidas acordadas por la autoridad de control en virtud de su poder correctivo (medidas señaladas en el art. 58.2 del RGPD).

- Se deberá tener en cuenta al decidir la imposición de la multa:

• La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.

• La intencionalidad o negligencia en la infracción.

• Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.

• El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 («Protección de datos desde el diseño y por defecto») y 32 del RGPD («Seguridad del Tratamiento»).

• Toda infracción anterior cometida por el responsable o el encargado del tratamiento.

• El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.

• Las categorías de los datos de carácter personal afectados por la infracción.

• La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.

• El cumplimiento de las medidas indicadas en el artículo 58, apartado 2, del RGPD cuando hayan sido ordenadas previamente en relación con el mismo asunto.

• La adhesión a códigos de conducta o a mecanismos de certificación

• Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. En este sentido, el art. 76.2 de la LOPDGDD añade los siguientes factores:

«a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado».

3. En relación al concurso en la comisión de infracciones, añade el apartado 3 del artículo 83 del RGPD que, si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del RGPD, la cuantía total de la multa administrativa no debe ser superior a la cuantía prevista para las infracciones más graves.

CUESTIÓN

¿Puede eximirse de responsabilidad a una empresa si la brecha de seguridad fuese provocada por la actuación negligente de una empleada?

No, el Tribunal Supremo en su STS n.º 188/2022, de 15 de febrero, ECLI:ES:TS:2022:543, señala que: «No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilizaciónutilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilizaciónutilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso», y recuerda que las personas jurídicas responden por la actuación de sus empleados o trabajadores.

Otras aclaraciones que recoge el artículo 83 del RGPD en la ejecución del sistema sancionador son:

  • El ejercicio de la autoridad de control en materia sancionadora estará sujeto al respeto del derecho a la tutela judicial efectiva a las garantías procesales de conformidad con el derecho de la UE y de los EEMM.
  • Si no hubiera un régimen sancionador en materia de protección de datos establecido por el derecho de un Estado miembro podrá aplicarse el artículo 83 del RGPD, quedando la incoación de la multa en manos de la autoridad de control competente y su imposición corresponderá a los tribunales nacionales competentes. 

Si bien el cálculo del importe de la multa queda a discreción de la autoridad de control, con sujeción a las normas previstas en el RGPD, con el fin de armonizar la metodología que utilizan estas autoridades al calcular el importe de la multa, el Consejo Europeo de Protección de datos (CEPD) ha adoptado, el 24 de mayo de 2023, las Directrices 04/2022 sobre el cálculo de las multas bajo el RGPD. Dicha metodología consiste en cinco pasos:

  • Paso 1.- Identificación de las operaciones de tratamiento en el caso y evaluación de la aplicación del art. 83.3 del RGPD. Esto es, el primer paso consiste en identificar la conducta e infracciones en que se basa la multa, teniendo en cuenta que pueden darse casos de infracciones concurrentes. Por lo tanto, es importante establecer primero:
    • Si las circunstancias deben considerarse o no como una o múltiples conductas sancionables.
    • En caso de una conducta, si esta conducta da lugar o no a una o varias infracciones.
    • En caso de una conducta que dé lugar a múltiples infracciones, la imputación de una infracción excluye la atribución de otra infracción o si deben imputarse entre sí.
  • Paso 2.- Encontrar el punto de partida para el cálculo posterior basado en una evaluación de:
    • La clasificación en el art. 83, apartados 4 a 6, del RGPD.
    • La gravedad de la infracción con arreglo al art. 83.2 letras a), b) y g) del RGPD.
    • El volumen de negocios de la empresa como un elemento pertinente a tener en cuenta con vistas a imponer una multa efectiva, disuasoria y proporcionada, de conformidad con el art. 83.1 del RGPD.
  • Paso 3.- Evaluar las circunstancias agravantes y atenuantes relacionadas con el comportamiento pasado o presente del responsable/encargado del tratamiento y aumentar o disminuir la multa en consecuencia.
  • Paso 4.- Identificación de los máximos legales pertinentes para las diferentes operaciones de tratamiento. Los aumentos aplicados en pasos anteriores o siguientes no pueden exceder esta cantidad.
  • Paso 5.- Analizar si el importe final de la multa calculada cumple los requisitos de efectividad, disuasión y proporcionalidad, tal como exige el art. 83.1 del RGPD y aumentando o disminuyendo la multa en consecuencia.

A TENER EN CUENTA. A lo largo de los pasos mencionados, debe tenerse en cuenta que el cálculo de una multa no es un mero ejercicio matemático. Más bien, las circunstancias del caso específico son los factores determinantes que conducen a la cantidad final, que puede ser, en todos los casos, cualquier cantidad hasta el máximo legal e incluido.

LIBROS Y CURSOS RELACIONADOS

Tratado de protección de datos personales
Disponible

Tratado de protección de datos personales

José Luis Domínguez Álvarez

29.75€

28.26€

+ Información

Vademecum | PROTECCIÓN DE DATOS (DESCATALOGADO)
Disponible

Vademecum | PROTECCIÓN DE DATOS (DESCATALOGADO)

Editorial Colex, S.L.

55.00€

16.50€

+ Información

Suscripción más de 250 formularios para PYMES
Disponible

Suscripción más de 250 formularios para PYMES

Editorial Colex, S.L.

100.00€

95.00€

+ Información

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)
Disponible

Protección de datos en comunidades de propietarios. Paso a paso (DESCATALOGADO)

Dpto. Documentación Iberley

12.75€

6.38€

+ Información

Reglamento General de Protección de Datos (RGPD)
Disponible

Reglamento General de Protección de Datos (RGPD)

Editorial Colex, S.L.

3.65€

3.47€

+ Información