Sanciones y medidas correctivas en materia de protección de datos en la LO 3/2018 (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

El artículo 82 del RGPD reconoce el derecho a indemnización por los daños materiales e inmateriales sufridos como consecuencia de una infracción de la normativa en protección de datos por parte del responsable o encargado del tratamiento. Asimismo, estos sujetos también responderán de los daños y perjuicios causados en las operaciones de tratamiento que no cumplan con lo establecido en el RGPD, quedando exentos si demostraran que no son los responsables del hecho causante.

Fundamentándose en lo anterior, se establece una regulación exhaustiva de un sistema sancionador que castiga la comisión de infracciones en materia de protección de datos, reconociendo la imposición de multas administrativas. A tal efecto, el artículo 83 del RGPD establece que la autoridad de control tiene que garantizar que las multas se apliquen de manera individual a cada caso, así como, que sean efectivas, proporcionadas y disuasorias. Asimismo, en su séptimo apartado indica que «sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro».

Esta norma termina con su capítulo VIII relativo a los «Recursos, responsabilidad y sanciones», en concreto, con el artículo 84 del RGPD que reconoce la potestad de los Estados miembros para establecer sus propias normas en materia de sanciones aplicables a las infracciones de tal reglamento, «en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias».

Atendiendo al citado precepto, el artículo 76 de la LOPDGDD recoge:

«1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.

4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.

Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos, se estará a su normativa de aplicación».

Para conocer qué medidas se pueden imponer en materia de protección de datos es imprescindible acudir al art. 76 de la LOPDGDD que, a su vez, nos remite al art. 83 del RGPD, en este sentido, se prevé lo siguiente:

1. En cuanto a las sanciones previstas:

- El apartado 4 del mencionado artículo 83 sanciona con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, las siguientes infracciones:

• El incumplimiento de las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43 del RGPD. Estos preceptos se refieren a las obligaciones relativas a los consentimientos de niños en relación con servicios de la sociedad de la información, a los tratamientos que no requieren identificación, a la protección de datos desde el diseño y por defecto, a la representación y cooperación, a los registros, las que afectan al EIPD, al DPD, a los procedimientos de certificación, etc. 

• Las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43 del RGPD.

• Las obligaciones del organismo de supervisión a tenor del artículo 41, apartado 4, del RGPD, que establece la obligación de tomar medidas oportunas en caso de infracción del código por un responsable o encargado del tratamiento, incluida la suspensión o exclusión de este, debiendo informar de las mismas y de su razonamiento a la autoridad de control competente.

- El apartado 5 del mencionado artículo 83 sanciona, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, las siguientes infracciones:

• No respetar los principios básicos para el tratamiento de datos, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9 del RGPD. 

• No respetar los derechos de los interesados a tenor de los artículos 12 a 22 del RGPD.

• No cumplir las obligaciones en relación a las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49 del RGPD.

• No cumplir con las obligaciones impuestas en virtud del derecho de los Estados miembros que se adopten con arreglo al capítulo IX del RGPD, que regula aquellas situaciones específicas de tratamiento.

• El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, del RGPD o el no facilitar acceso, en incumplimiento del artículo 58, apartado 1, del RGPD.

- El apartado 6 del mencionado artículo 83 sanciona el incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58.2 del RGPD, «con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía». En relación a este artículo, es conveniente recordar los poderes correctivos de las autoridades de control —en el caso español, la AEPD— recogidos en el art. 58.2 del RGPD:

«2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales; f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional».

A TENER EN CUENTA. Las infracciones previstas en estos apartados se recogen de manera más pormenorizada en el apartado correspondiente a las infracciones. 

2. En cuanto a los criterios en la imposición de multas administrativas, el artículo 83.2 del RGPD configura las siguientes normas:

- Las multas se impondrán atendiendo a las circunstancias de cada caso individual.

- Las multas podrán imponerse a título adicional o sustitutivo de las medidas acordadas por la autoridad de control en virtud de su poder correctivo (medidas señaladas en el art. 58.2 del RGPD).

- Se deberá tener en cuenta al decidir la imposición de la multa:

• La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.

• La intencionalidad o negligencia en la infracción.

• Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.

• El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 («Protección de datos desde el diseño y por defecto») y 32 del RGPD («Seguridad del Tratamiento»).

• Toda infracción anterior cometida por el responsable o el encargado del tratamiento.

• El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.

• Las categorías de los datos de carácter personal afectados por la infracción.

• La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.

• El cumplimiento de las medidas indicadas en el artículo 58, apartado 2, del RGPD cuando hayan sido ordenadas previamente en relación con el mismo asunto.

• La adhesión a códigos de conducta o a mecanismos de certificación. 

• Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. En este sentido, el art. 76.2 de la LOPDGDD añade los siguientes factores:

«a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

f) La afectación a los derechos de los menores.

g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado».

3. En relación al concurso en la comisión de infracciones, añade el apartado 3 del artículo 83 del RGPD que, si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del RGPD, la cuantía total de la multa administrativa no debe ser superior a la cuantía prevista para las infracciones más graves.

Otras aclaraciones que recoge el artículo 83 del RGPD en la ejecución del sistema sancionador son:

• El ejercicio de la autoridad de control en materia sancionadora estará sujeto al respeto del derecho a la tutela judicial efectiva a las garantías procesales de conformidad con el derecho de la UE y de los EEMM.
• Si no hubiera un régimen sancionador en materia de protección de datos establecido por el derecho de un Estado miembro podrá aplicarse el artículo 83 del RGPD, quedando la incoación de la multa en manos de la autoridad de control competente y su imposición corresponderá a los tribunales nacionales competentes.