En anteriores publicaciones ya tratamos las novedades del nuevo Reglamento Europeo de Protección de Datos y sus sanciones en caso de incumplimiento. El post del día de hoy sirve como añadido al anterior “ Las Sanciones en el RGPD Parte I” y viene a cumplimentar lo entonces expuesto, esta vez con las cuantías de las sanciones.
Como veíamos anteriormente el artículo 83.2 del nuevo Reglamento Europeo de Protección de Datos realiza la graduación de las sanciones en función de:
- Naturaleza, gravedad y duración
- Medidas adoptadas para paliar los daños
- Intencionalidad o negligencia
- Grado de responsabilidad
- Infracciones anteriores.
- Categoría de los datos afectados.
- Adhesión a códigos de conducta.
- Agravantes o atenuantes aplicables al caso
Pues bien, es en ese mismo artículo 83, en su apartado 4º, donde el Reglamento establece las cuantías de las sanciones por inadaptación o incumplimiento y para lo cual establece en primer lugar que:
- Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
- a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
- b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
- c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
Analicemos que tipo de infracciones podrían dar lugar a multas de hasta 10.000.000 eur o del 2% del volumen de negocio anual en caso de ser empresa, es decir, las denominadas sanciones graves.
En esta categoría se engloban las sanciones por incumplimiento en materias como la falta de obtención del consentimiento paterno cuando se trata de información sobre menores sin capacidad de consentir, la falta de implementación de medidas de seguridad, la no realización de una evaluación de impacto, la no designación de un delegado de protección de datos en aquellos casos en los que se requiera o la falta de cooperación con la autoridad de control.
También se contienen en esta categoría los incumplimientos por parte del encargado del tratamiento así como la no notificación en casos de violaciones de seguridad.
Por otro lado encontramos las sanciones muy graves que pueden implicar sanciones de hasta 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía cuando no se cumplan por ejemplo los principios básicos para el tratamiento, incluidos los requisitos para el consentimiento ( licitud, consentimiento y tratamiento en las categorías especiales de datos personales).
Se enmarcan aquí los incumplimientos a las normas establecidas por el Estado miembro que aplique a cada caso, los incumplimientos en materia de transferencias de datos personales a terceros países o no informar a los interesados en aquellos casos en los que se obtengan sus datos o no contar con el consentimiento explícito del mismo.
Como vemos el nuevo Reglamento Europeo de Protección de Datos en general ha usado tanto su nueva normativa como su tipología de sanciones con el objetivo de abrir el margen de interpretación a cada caso particular, a su vez se mencionan cuantías capaces de causar grandes perjuicios en aquellas empresas que se vean en una posición de incumplimiento. Esto no responde más que a un intento de desarrollar una normativa que disuada de su incumplimiento por lo elevado de sus sanciones.
Desde eDefense coincidimos en que pueden parecer cuantías un tanto extremas, pero ha de tenerse en cuenta que el nuevo RGPD persigue darle de una vez por todas una protección blindada y eficaz a aquello que es lo más sensible de entre todas las materias, los datos personales. Por ello recomendamos seguir trabajando de cara a implantar la nueva normativa y conseguir así entre todos un marco seguro en la protección de datos.
