Читать книгу Derecho digital - José F. Estévez - Страница 36
XII. ¿CUÁLES SON INFRACCIONES Y SANCIONES EN LAS QUE MI EMPRESA PUEDE INCURRIR? AUTOR: «AMAYA GARCÍA»
ОглавлениеEl régimen sancionador se regula en vigente se regula en el Capítulo VIII del RGPD, bajo el título recursos, responsabilidad y sanciones.
De acuerdo con el citado texto, el régimen sancionador se endurece considerablemente, de tal modo que en función del tipo de obligación que se incumplan, en virtud del artículo 83 de la norma, la autoridad de control competente podrá imponer las siguientes multas:
a) Multa administrativa de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, en caso de incumplimiento de las obligaciones:
- relativas a las condiciones aplicables al consentimiento del niño en relación con servicios de la sociedad de la información (artículo 8);
- relativas a tratamientos que no requieran identificación (artículo 11);
- relativas a la protección de datos desde el diseño y por defecto, así como a las obligaciones correspondientes a Responsables, Corresponsables y/o Encargados del Tratamiento (artículos 25 a 29), registro de las actividades del tratamiento, cooperación con la autoridad de control, seguridad de los datos personales (artículos 32 a 34), evaluaciones de impacto (artículos 35-36), delegado de protección de datos (artículos 38 y 39).
b) Multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, en caso de incumplimiento de las obligaciones relativas a:
- los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento (artículos 5 a 9);
- los derechos de los interesados (12 a 22);
- las transferencias de datos personales a un destinatario en un tercer país o una organización internacional (artículos 44 a 49);
- toda obligación establecida en virtud del Derecho de los Estados miembros;
- el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control (artículo 58).
No obstante lo anterior, es cierto que se contemplan otras sanciones que podrán adoptar las autoridades de control, pues, en virtud del artículo 58.2 del Reglamento, dichas autoridades podrán, imponer otro tipo de sanciones, que sustituirán a la sanción económica o irá aparejada a la misma, según las circunstancia de cada caso concreto:
a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el Reglamento;
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el Reglamento;
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;
e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales;
h) retirar una certificación u ordenar al organismo de certificación que retire una certificación que haya emitido, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;
i) imponer una multa administrativa consistente en una sanción económica;
j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
En cuanto a las circunstancias atenuantes o agravantes, en relación con la sanción aplicable en cada caso individual, el artículo 83.2 señala que para la decisión sobre la imposición de la multa y su cuantía se deberán tener en cuenta, entre otras, las siguientes circunstancias:
a) la naturaleza, gravedad y duración de la infracción;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de lo dispuesto en el RGPD;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción; h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
h) la adhesión a códigos de conducta o a mecanismos de certificación aprobados con arreglo al RGPD, o
i) cualquier otro factor agravante o atenuante aplicable a las circunstancias del casos, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
Respecto a las autoridades de control competentes para tratar las reclamaciones que se puedan presentar, el artículo 56.2 establece que cada autoridad de control será competente para tratar una reclamación que le sea presentada o una posible infracción del Reglamento, si se refiere a un establecimiento situado en su Estado Miembro o únicamente afecte de manera sustancial a interesados en su Estado Miembro.
Asimismo, sin perjuicio del correspondiente procedimiento sancionador iniciado por la autoridad de control, el artículo 82 del Reglamento, reconoce el derecho a los afectados se indemnizados por los daños y perjuicios materiales o inmateriales que se les causen como consecuencia de la comisión de una infracción del Reglamente. De acuerdo con el apartado 6 de dicho artículo, las acciones judiciales en ejercicio del derecho a la indemnización por daños y perjuicios se presentarán ante los tribunales competentes con arreglo al derecho de los Estados Miembros.
Por otra parte, cabe hacer una referencia a cuales son los tipos de infracciones más habituales a las que se enfrenta la Agencia. En este sentido, no hay hasta la fecha una Memoria de la AEPD que incluya procedimientos sancionadores aplicando el RGPD, por lo que nos referimos a infracciones y sanciones más habituales de la derogada LOPD.
No obstante, valga este análisis para identificar aquellos aspectos más conflictivos en esta materia, probada cuenta que los principios sobre los que se asienta el RGPD; salvo mejor opinión, son los mismos en los que se asentaba la regulación anterior. Huelga decir, que continua siendo necesario proporcionar información y obtener el consentimiento para tratar datos de carácter personal, como se analiza en el presente capítulo.
Así, de acuerdo con las Memorias anuales de actividad de la AEPD de los últimos años, los sectores y ámbitos en los que más denuncias se han recibido y más investigaciones se efectuaron son el sector de las telecomunicaciones, financiero, utilities (energía y agua) y videovigilancia.
En cuanto al tipo de infracciones cometidas, las más habituales son por fraude, como altas en servicios sin contar con el consentimiento de los interesados, principalmente en el caso de altas en servicios de telecomunicaciones y energía eléctrica, o derivadas de situaciones de mora o impagos, esto es, la inclusión indebida en ficheros de solvencia patrimonial y crédito o la reclamación de deudas no ciertas.
En cuanto a la inclusión de datos de carácter personal en ficheros de solvencia patrimonial y crédito, en muchas ocasiones, los procedimientos sancionadores iniciados por la AEPD se basan en la ausencia de reclamación previa de la deuda necesaria para la posterior comunicación de datos del deudor al fichero de solvencia patrimonial y crédito. En este sentido, tal y como se recoge en la Memoria de Actividad de la AEPD del año 2015, durante dicho ejercicio se consolidó:
“ (…) el criterio de considerar documentación suficiente, a efectos de lo previsto en el artículo 38.3 del RLOPD, la aportación de una serie de documentos que vendrían a acreditar el cumplimiento de requerimiento de pago con anterioridad a la inclusión en ficheros comunes de solvencia. Esta serie de requisitos, o para ser más exactos, fases de la trazabilidad del envío efectivo con diligencia, se podrían resumir en:
1. carta referenciada e individualizada a nombre del denunciante con detalle de la deuda y advertencia de que su impago puede ocasionar la inclusión en ficheros de morosidad;
2. certificado de tercera/s entidad/es independiente/s que acredite su generación, impresión y puesta en correos;
3. documento acreditativo del correspondiente gestor postal de dicha recepción para su tramitación y
4. certificado de un control auditable de la devolución de dicho requerimiento”
Destacan, asimismo, los procedimientos sancionadores iniciados con motivos de comunicaciones comerciales no solicitadas o publicidad que no permite darse de baja u oponerse a la recepción de más comunicaciones. En este sentido, cabe destacar que la AEPD, considera que la inclusión de la referencia a la posibilidad de oponerse al envío, sin que el procedimiento no funcione, no es suficiente para cumplir con la norma.
Otro de los ámbitos en los que se reciben denuncias en la AEPD es el de las relaciones de carácter laboral, de este modo, muchos procedimientos sancionadores versan sobre despidos basados en el acceso por parte del empresario al correo electrónico de sus empleados o la monitorización de su actividad. En este sentido, cabe destacar que la postura que la jurisprudencia y la propia AEPD mantienen, en este tipo de situaciones, es que el empresario podrá acceder a correos, internet e incluso a los datos de localización del GPS instalado en vehículos de empresa, siempre y cuando, los trabajadores hayan sido previamente informados de la existencia de dichos controles por parte del empresario.
En cuanto al tratamiento de datos de menores por centros educativos proliferan las denuncias por la publicación de fotos de alumnos menores de edad sin consentimiento de los padres. En este sentido, cabe destacar, que los menores de 13 años no pueden consentir el tratamiento de sus datos de carácter personal, siendo necesario el consentimiento de sus tutores o padres para la recogida y tratamiento de dichos datos.