Las sanciones en el RGPD - Parte I | eDefense ®

Las sanciones en el RGPD – Parte I

Desde hace ya varias semanas venimos compartiendo con vosotros la importancia de cumplir y adecuar nuestra empresa a los requisitos establecidos por el nuevo Reglamento Europeo de Protección de Datos. Hasta ahora todas las menciones eran realizadas con mención a un futuro cercano. Pues bien, ese futuro ha llegado, ya hemos alcanzado el famoso y/o temido mes de mayo y por lo tanto los nuevos cambios que afectan a la LOPD 2018 pasan a ser ya un requisito obligatorio.

En anteriores publicaciones os hemos ido explicando las claves para adaptarnos a la nueva Protección de Datos de 2018 así como los requisitos para que nuestra web cumpla con la normativa. Estos posts respondían a la faceta preventiva de la información y en contraposición hoy os traemos un pequeño detalle informativo sobre qué puede pasar si no se cumple con el nuevo RGPD, es decir, qué sanciones puede esperar una empresa ante la no adaptación a tiempo.

Las infracciones y sus correspondientes sanciones vienen especificadas en los artículos 83 y 84 del nuevo Reglamento Europeo de Protección de Datos.

En su apartado 2º, el artículo 83 establece la graduación que debe seguirse para imponer las multas en las cuantías que veremos más adelante en próximas publicaciones. Dicha graduación es la siguiente:

  • En función de la naturaleza, gravedad y duración de la infracción y teniendo en cuenta el número de afectados, el nivel de los daños causados, los perjuicios ocasionados, etc…

 

  • La intencionalidad o negligencia en la infracción

 

  • Las medidas que haya podido tomar el encargado del tratamiento para paliar los daños arriba mencionados y la cooperación con la autoridad de controlen cuanto a la puesta en conocimiento de la misma de la infracción.

 

  • La responsabilidad por los daños del responsable o del encargado del tratamiento, teniendo en cuenta para ello las medidas técnicas u organizativas que hubiesen aplicado

 

  • Número de infracciones anteriores

 

  • La categoría de los datos afectados

 

  • La adhesión a códigos de conducta

 

  • Cualquier agravante o atenuante aplicable según las circunstancias del caso

La graduación es clara, las sanciones serán mayores en función de cuanto mayor sea el daño generado, entendiendo por esto si se ha afectado a una única persona o en global a todos aquellos de los cuales se manejaba información y a su vez el tipo de daño que se genere. No debe ser la sanción igual para casos en los que se pueda perder información y esta pérdida pueda genera perjuicios a la empresa, que para casos en los cuales esa información se ve comprometida y accesible a terceros, rompiendo de esta manera la estricta confidencialidad de la relación entre encargado y responsable y comprometiendo la protección de datos de la empresa. Claramente una intencionalidad y dolo será sancionada con mayor severidad que una negligencia. A su vez la responsabilidad será gradual en función del reparto de responsabilidades realizado durante el tratamiento.

En casos de sanción se tendrá en cuenta que el encargado hubiese tomado las medidas necesarias para minimizar el daño causado. Estas medidas comprenden desde la capacidad de restaurar el acceso a datos en caso de incidencias o la continua verificación y evaluación de la eficacia de las medidas técnicas y organizativas tomadas a fin de garantizar la seguridad del tratamiento.

Si a pesar de todo ello se produjera una infracción y por consiguiente un daño, la sanción no será igual en caso de que el encargado haya puesto dicha infracción en conocimiento de la autoridad de control de manera voluntaria.

Como vemos, siendo esta la línea general del nuevo reglamento, el nuevo Reglamento Europeo de Protección de Datos regula permitiendo margen de interpretación, de manera que cada autoridad de control pueda imponer las multas que considere en función de las características específicas de cada caso concreto. En este sentido los Estados miembros tienen la potestad de adoptar infracciones y sanciones adicionales a las especificadas en el propio Reglamento Europeo de Protección de Datos aunque de momento y con la nueva normativa todavía joven en aplicación, es muy pronto para que los Estados hayan siquiera tomado medidas adicionales cuando las principales apenas han sido aplicadas.

En cuanto a las cuantías de las sanciones es preciso mencionar que la nueva Protección de Datos hace una distinción entre si se es empresa o no, pero este tema lo trataremos en próximas publicaciones.

Otros artículos que pueden interesarte.

Software
Tiffany De La Torre García

Legislación del Software

Antes de adentrarnos en el mundo de la regulación del software, conviene recordar brevemente a qué hacemos referencia cuando nos referimos al Software. Pues bien, a nivel nacional en España debemos acudir a la Ley 2/2019, de 1 de marzo, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado

Leer más
Software
Antonela Coloma

Qué es un SLA y para qué sirve

¿Qué es un acuerdo de nivel de servicios? Un service legal agreement (SLA), también conocido como acuerdo de nivel de servicios (ANS) es un contrato de proveedor de servicios y un cliente, en el que definen los tipos y las normas de los servicios que se van a ofertar. Quedan establecidas así las responsabilidades y

Leer más
Edefense
Tiffany De La Torre García

Contratos tecnológicos ¿Qué son?

Los contratos tecnológicos son acuerdos legales que regulan el uso de tecnología y servicios informáticos. Estos contratos pueden ser muy variados, desde acuerdos de licencias de software hasta contratos de servicios de hosting y alojamiento en la nube. En este artículo, hablaremos sobre algunos aspectos importantes a tener en cuenta al redactar y firmar un

Leer más
Ir arriba