Читать книгу Anuario de Derecho Administrativo 2018 - Miguel Ángel Recuerda Girela - Страница 10

Una vez expuesto sucintamente el contenido de las dos resoluciones objeto de comentario, a continuación se analizan los criterios normativos de graduación de la responsabilidad en el régimen sancionador de protección de datos. En este punto, debemos acudir a la legislación especial sobre la materia contenida en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Los criterios para la determinación del importe de una sanción (artículo 45.4 LOPD) se citan añadiendo «FB»·y/o «GL» cuando se han aplicados en las resoluciones de los casos de FACEBOOK y GOOGLE respectivamente:

- El carácter continuado de la infracción: FB y GL.

- El volumen de los tratamientos efectuados: FB y GL.

- La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal: FB y GL.

- El volumen de negocio o actividad del infractor: FB y GL.

- Los beneficios obtenidos como consecuencia de la comisión de la infracción: FB y GL.

- El grado de intencionalidad: FB.

- La reincidencia por comisión de infracciones de la misma naturaleza.

- La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas: GL.

- La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

- Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora: en GL, el hecho de que las infracciones son el resultado de un sistema de recogida y tratamientos de datos diseñados por la propia entidad.

Además, el apartado 5 del artículo 45 de la LOPD contempla la posibilidad de reducir la escala en la que preceda inmediatamente en gravedad, si se aprecia alguna de las siguientes circunstancias: cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho; regularización de la situación irregular; conducta del afectado que puede inducir a la infracción; reconocimiento espontáneo de la culpabilidad; o procesos societarios de fusión por absorción no siendo imputable la infracción a la entidad absorbente. En GL se valoró y se descartó la posibilidad de reducir la escala por cuanto los hechos determinantes de la infracción se producen de forma sistemática en contra de las normas de protección de datos personales sin que la entidad hubiese adoptado las cautelas y protocolos precisos para ajustar sus procesos a dichas normas, según consta en la resolución.

Por su parte el RGPD enumera las siguientes circunstancias para fijar el importe de las multas, que serán de directa aplicación a partir del 25 de mayo de 2018 en los Estados miembro (artículo 83 RGPD):

- Criterios recogidos en la LOPD y que por tanto cabe entender que permanecen:

La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido. Si bien la redacción es diferente, en principio parece que podemos ver un sentido análogo a determinadas circunstancias ya previstas en la LOPD.

La intencionalidad o negligencia en la infracción.

Toda infracción anterior cometida por el responsable o el encargado del tratamiento.

El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32. Podría ser similar al criterio de la LOPD relativo a disponer de procedimientos adecuados de actuación en la recogida y tratamiento de datos.

Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

- Nuevos criterios:

Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.

El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de esta. Cabe entender que es un criterio más exigente que el relativo a la regularización de la situación.

Las categorías de los datos de carácter personal afectados por la infracción.

La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida. Cabe entender que es un criterio más exigente que el relativo al reconocimiento espontáneo de la culpabilidad.

El cumplimiento de medidas correctivas ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto.

La adhesión a códigos de conducta o a mecanismos de certificación.

Como puede apreciarse, ya no se menciona la circunstancia relativa al volumen de negocio, que pasa a constituir un elemento para el cálculo de la multa, no para agravar o atenuar la responsabilidad del infractor. Tampoco se recoge la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal, si bien este criterio podría reconducirse a través de otras circunstancias moduladoras de la responsabilidad, como «cualquier otro factor agravante o atenuante». La conducta del afectado o la comisión de la infracción por una entidad absorbida no se citan en el RGPD. En principio cabe entender que al menos la conducta del afectado (titular de los datos) podría seguir aplicándose como atenuante en aquellos casos en que este participe de manera deliberada y consciente en los hechos objeto de sanción.

En el momento de escribirse este comentario está en tramitación en las Cortes Generales el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Su artículo 76.2 contempla precisamente las circunstancias moduladoras de la responsabilidad existentes en la LOPD y que no están expresamente mencionadas en el RGPD, a las que nos hemos referido:

- El carácter continuado de la infracción (frente a la mera duración contemplada en el RGPD).

- La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

- Los beneficios obtenidos como consecuencia de la comisión de la infracción (mencionados como otros factores en el RGPD).

- La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

- La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

Las dos últimas circunstancias citadas ya no servirían para reducir la escala de gravedad, a diferencia de la LOPD vigente. No obstante, cabe insistir, se trata de una norma en tramitación, por lo que habrá que esperar a su promulgación para conocer el texto definitivo.