Desde hace ya varias semanas venimos compartiendo con vosotros la importancia de cumplir y adecuar nuestra empresa a los requisitos establecidos por el nuevo Reglamento Europeo de Protección de Datos. Hasta ahora todas las menciones eran realizadas con mención a un futuro cercano. Pues bien, ese futuro ha llegado, ya hemos alcanzado el famoso y/o temido mes de mayo y por lo tanto los nuevos cambios que afectan a la LOPD 2018 pasan a ser ya un requisito obligatorio.
En anteriores publicaciones os hemos ido explicando las claves para adaptarnos a la nueva Protección de Datos de 2018 así como los requisitos para que nuestra web cumpla con la normativa. Estos posts respondían a la faceta preventiva de la información y en contraposición hoy os traemos un pequeño detalle informativo sobre qué puede pasar si no se cumple con el nuevo RGPD, es decir, qué sanciones puede esperar una empresa ante la no adaptación a tiempo.
Las infracciones y sus correspondientes sanciones vienen especificadas en los artículos 83 y 84 del nuevo Reglamento Europeo de Protección de Datos.
En su apartado 2º, el artículo 83 establece la graduación que debe seguirse para imponer las multas en las cuantías que veremos más adelante en próximas publicaciones. Dicha graduación es la siguiente:
- En función de la naturaleza, gravedad y duración de la infracción y teniendo en cuenta el número de afectados, el nivel de los daños causados, los perjuicios ocasionados, etc…
- La intencionalidad o negligencia en la infracción
- Las medidas que haya podido tomar el encargado del tratamiento para paliar los daños arriba mencionados y la cooperación con la autoridad de controlen cuanto a la puesta en conocimiento de la misma de la infracción.
- La responsabilidad por los daños del responsable o del encargado del tratamiento, teniendo en cuenta para ello las medidas técnicas u organizativas que hubiesen aplicado
- Número de infracciones anteriores
- La categoría de los datos afectados
- La adhesión a códigos de conducta
- Cualquier agravante o atenuante aplicable según las circunstancias del caso
La graduación es clara, las sanciones serán mayores en función de cuanto mayor sea el daño generado, entendiendo por esto si se ha afectado a una única persona o en global a todos aquellos de los cuales se manejaba información y a su vez el tipo de daño que se genere. No debe ser la sanción igual para casos en los que se pueda perder información y esta pérdida pueda genera perjuicios a la empresa, que para casos en los cuales esa información se ve comprometida y accesible a terceros, rompiendo de esta manera la estricta confidencialidad de la relación entre encargado y responsable y comprometiendo la protección de datos de la empresa. Claramente una intencionalidad y dolo será sancionada con mayor severidad que una negligencia. A su vez la responsabilidad será gradual en función del reparto de responsabilidades realizado durante el tratamiento.
En casos de sanción se tendrá en cuenta que el encargado hubiese tomado las medidas necesarias para minimizar el daño causado. Estas medidas comprenden desde la capacidad de restaurar el acceso a datos en caso de incidencias o la continua verificación y evaluación de la eficacia de las medidas técnicas y organizativas tomadas a fin de garantizar la seguridad del tratamiento.
Si a pesar de todo ello se produjera una infracción y por consiguiente un daño, la sanción no será igual en caso de que el encargado haya puesto dicha infracción en conocimiento de la autoridad de control de manera voluntaria.
Como vemos, siendo esta la línea general del nuevo reglamento, el nuevo Reglamento Europeo de Protección de Datos regula permitiendo margen de interpretación, de manera que cada autoridad de control pueda imponer las multas que considere en función de las características específicas de cada caso concreto. En este sentido los Estados miembros tienen la potestad de adoptar infracciones y sanciones adicionales a las especificadas en el propio Reglamento Europeo de Protección de Datos aunque de momento y con la nueva normativa todavía joven en aplicación, es muy pronto para que los Estados hayan siquiera tomado medidas adicionales cuando las principales apenas han sido aplicadas.
En cuanto a las cuantías de las sanciones es preciso mencionar que la nueva Protección de Datos hace una distinción entre si se es empresa o no, pero este tema lo trataremos en próximas publicaciones.