Читать книгу Anuario de Derecho Administrativo 2018 - Miguel Ángel Recuerda Girela - Страница 11

De lo anteriormente expuesto cabe extraer las siguientes consideraciones:

1. El sujeto infractor y, por tanto, a quien se le va a imponer la multa, es quien decide sobre el diseño del proyecto o tratamientos, no quien meramente los ejecuta. En el caso de un grupo multinacional originario de un tercer país, ello genera el riesgo de que tanto la matriz extranjera como la filial puedan ser sujetos responsables o que sea únicamente la matriz a quien se considere sujeto infractor. Como algunas de las circunstancias que modulan la responsabilidad son subjetivas (volumen de negocio, obtención de beneficios, etc.) pueden darse casos en que la cuantía de la multa se incremente por el hecho de recaer en una sociedad del grupo y no en otra. Tal es el caso de las dos resoluciones objeto de comentario, en las que las dos matrices fueron sancionadas y no sus filiales en España, teniéndose en cuenta el volumen de negocio y el beneficio de la matriz, no de la filial (al menos en una de las resoluciones), para justificar la imposición de la multa en la cuantía más elevada. Por tanto, la valoración del riesgo del importe de la multa, requeriría cierta cautela aun cuando la empresa no tenga un gran volumen de negocio o beneficios en España pues si pertenece a un grupo empresarial en el que sí concurren dichas circunstancias, seguiría existiendo el riesgo de que la multa se incremente por estos motivos.

2. Las dos resoluciones son consecuencia de la actividad de investigación realizada de oficio por parte de la AEPD, no como respuesta a una denuncia de un afectado. Por tanto, cabe recomendar a aquellas entidades que reciban un número bajo de solicitudes de ejercicio de derechos y de reclamaciones que no bajen la guardia con el pretexto de que en la práctica no van a resultar sancionadas pues la inspección de oficio puede afectarlas y determinar el inicio de un procedimiento sancionador.

3. Ninguna de las dos resoluciones analizadas toma en consideración todos los criterios legales para la fijación del importe de la multa. Ello significa que, a juicio de la AEPD, no tienen que concurrir todos ellos para que la empresa se vea sancionada con la cuantía máxima del rango que corresponda a su infracción. Por ejemplo, se puede no ser reincidente en la comisión de infracciones de la misma naturaleza y sin embargo ser sancionado con un importe máximo de multa.

4. La apreciación de la concurrencia de algunas de las circunstancias para la cuantificación de la multa no requiere, a juicio de la AEPD, una concreta demostración ni justificación detallada. Por ejemplo, en la resolución de GOOGLE no se especifica la relación de causalidad entre la infracción cometida y el perjuicio causado, ni los daños reales (económicos, morales, etc.), ni las personas que los sufrieron; etc. De hecho, desde un punto de vista formal, ambas resoluciones dedican un elevado número de páginas a la descripción de los hechos y de los fundamentos (entre ochenta y noventa páginas). Sin embargo, la parte relativa a la aplicación de los criterios para la fijación del importe de la multa apenas llega a dos o cuatro páginas, en las que buena parte de su contenido es una reproducción de la normativa aplicable. Por tanto, el sujeto responsable no siempre va a obtener una justificación detallada y concreta de una decisión tan importante como es la determinación del importe de la multa, sobre todo cuando esta se fija en su cuantía máxima, lo que le obliga a interpretar la información que se le proporcione. A ello nos referimos con mayor detalle en los puntos siguientes.

5. Cabe entender que el perfil de empresas más expuestas a que las circunstancias moduladoras del importe de la multa se apliquen como agravantes y, por tanto, con mayor riesgo de alcanzar el importe máximo, sería en principio aquellas que: (i) realicen tratamientos masivos de datos, considerando no solo el número de estos sino también de personas, ámbito geográfico, etc.; (ii) que tengan un elevado volumen de negocio en el grupo empresarial; y (iii) que obtengan beneficios a nivel general, es decir, incluso aunque no se den en una filial española.

6. Asimismo, en principio, aquellas infracciones que provengan de un inadecuado diseño del proyecto o actividad de tratamiento de datos, parecen las más expuestas a ser sancionadas con importes máximos. En los dos casos analizados los hechos que dieron lugar a la infracción se originaron en la configuración de los tratamientos: cómo y cuándo recabar el consentimiento; qué datos se recogen y qué se hace con ellos; etc. Ello pone de manifiesto la importancia de la protección de datos desde el diseño, es decir, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento (artículo 25 RGPD).

7. Con el RGPD, a partir del 25 de mayo de 2018 existirán circunstancias adicionales para calcular el importe de la multa: las medidas adoptadas para paliar los daños; la cooperación con la autoridad de control (AEPD); la notificación de la infracción a dicha autoridad; la adhesión a códigos de conducta o mecanismos de certificación; etc. En este nuevo escenario, cabe entender que resultará clave la existencia en la organización de recursos y procesos que le permitan responder a tiempo y de forma proactiva ante una eventual infracción, mitigando daños y haciendo posible la cooperación con la Administración.

8. Entrando en el comentario específico de los criterios aplicados en las dos resoluciones analizadas:

- El carácter continuado de la infracción se aprecia cuando esta ha tenido lugar durante dos años y se tiene en cuenta si ha seguido cometiéndose durante la fase de investigación. Por ejemplo, en el caso de FACEBOOK, se explica que la infracción continuó durante el año de investigación. Por tanto, plazos relativamente cortos de infracción continuada pueden utilizarse para incrementar el importe de la multa.

- Para el volumen de los tratamientos se tiene en cuenta no sólo el número de datos sino también de interesados y el ámbito geográfico. El RGPD menciona expresamente el número de personas afectadas como criterio modulador de la responsabilidad. Cabe apreciar un paralelismo entre esta interpretación de la AEPD y la del Grupo de Trabajo del Artículo 29 (WP29) sobre el concepto de tratamientos a gran escala que el RGPD contempla para imponer diversas obligaciones (nombramiento de un delegado de protección de datos, realización de evaluaciones de impacto relativas a la protección de datos, etc.). Así, el WP29 afirma que no es posible dar un número concreto de la cantidad de datos ni del número de personas afectadas para determinar que un tratamiento sea a gran escala1). Para esta evaluación el WP29 recomienda que se valoren los siguientes factores:

El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.

El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.

La duración o permanencia de la actividad de procesamiento de datos.

La extensión geográfica de la actividad de procesamiento de datos.

En definitiva, los criterios para la decisión sobre el importe de la multa cobran una importancia de primer orden ante los nuevos límites máximos del RGPD. Las dos resoluciones analizadas ponen de manifiesto la relevancia de incorporar el análisis relativo al derecho a la protección de datos desde el diseño mismo de las actividades y proyectos que conlleven un tratamiento de datos de carácter personal. También evidencian que cualquier organización con un cierto volumen de tratamientos y de negocio, ya sea por la empresa constituida en España o por la matriz extranjera, se ve expuesta al riesgo de que la multa se acerque a los límites máximos. En todo caso, cabe recomendar que las circunstancias determinantes del importe de la multa se tomen en consideración a la hora de valorar el riesgo de una eventual infracción, con el fin de disponer de todos los elementos en juego y tomar la mejor decisión.

*

El contenido de este trabajo refleja exclusivamente el parecer de su autor y no constituye opinión profesional ni asesoramiento jurídico alguno.

1

WP 243, «Guía sobre los Delegados de Protección de Datos («DPOs»)», adoptada por el WP29 el 13 de diciembre de 2016.