El nuevo Reglamento de Protección de datos (GDPR) es una realidad inminente. Su entrada en vigor está prevista para el 25 de mayo de este año y dibuja un marco más exigente que el revisto por la Directiva 95/46. La nueva normativa obliga a sustituir el sistema actual, que pasa de ser estático y predeterminado, a un nuevo sistema que exige una autoevaluación singular y proactiva.
Entre las novedades más reseñables de la regulación se encuentra la cuestión sancionadora, y es que con la nueva normativa se produce un incremento y un endurecimiento en la cuantía de las multas, según los expertos, considerable. En la presente entrevista analizamos con los expertos de Laffer Abogados, Álvaro Reig y Cristina García-Borreguero, estas y otras muchas modificaciones y, sobre todo, su implicación en la empresa.
Efectivamente uno de los principales cambios sobre los que descansa el RGPD es el principio de responsabilidad activa o accountability como se conoce en los países anglosajones, y el mismo puede quedar en papel mojado si no va acompañado de un férreo y efectivo régimen sancionador; en particular, los adjetivos que emplea el RGPD a la hora de hablar de las sanciones es que éstas sean “efectivas, proporcionadas y disuasorias”.
Asimismo, el RGPD establece que, dentro de las dos formas de calcular las sanciones económicas, se optará siempre por la que arroje una mayor cuantía, con lo que queda clara la importancia de la materia y la seriedad y rigor con la que quiere que se lleve a cabo su cumplimiento.
Todavía es pronto para cotejar las implicaciones cuantitativas de este nuevo régimen sancionador, y habrá que estar a la naturaleza, gravedad y duración de la infracción, entre otros criterios, para determinar el tipo de incumplimiento ante el que nos encontramos, aunque todo apunta a que nos encontramos ante un recrudecimiento de las sanciones económicas.
Con la nueva regulación que entrará en vigor el próximo día 25, dejamos atrás el esquema que contempla actualmente la Ley 15/99, que establecía una distinción entre incumplimiento leve, grave y muy grave y pasamos a una clasificación dual de los incumplimientos en función de la cuantía de las multas: de los 93 artículos del RGPD -excluyendo las disposiciones finales-el incumplimiento de 19 de ellos (el 20%) pueden suponer multas de hasta 10.000.000 de euros o el 2% del volumen de facturación total global anual, optándose por la de mayor cuantía; y el incumplimiento de otros 15 artículos (más del 16%) pueden suponer multas de hasta 20.000.000 de euros o el 4% del volumen de facturación total global anual, optándose igualmente por la de mayor cuantía.
Dichos porcentajes se disparan si eliminamos de la ecuación los “artículos neutros” (ie definiciones, objeto de la ley, ámbito de aplicación, etc.).
No obstante, las cifras anteriores son máximos, y la propia norma establece criterios para su graduación como hemos indicado, e incluso, para las personas físicas cabe la posibilidad de imponer apercibimientos en los casos más leves.
Sin duda. Una rápida comparativa permite llegar a la conclusión de la importancia que desde la UE se otorga a la protección de datos de las personas físicas.
La máxima sanción económica que establece el actual régimen sancionador aplicable de la LOPD 15/99 -que de forma supletoria seguirá resultando de aplicación en todo aquello que no contradiga el RGPD- asciende a 600.000 euros; por su parte, la cuantía máxima que entrará en vigor el próximo 25 de mayo en caso de incumplimiento de los preceptos del RGPD asciende a 20.000.000 de euros o, al 4% del volumen de negocio, pero no de la empresa en cuestión sino del Grupo de empresas del que forme parte el responsable o el encargado del tratamiento, optándose por el de mayor cuantía.
Para hacernos una idea, el grupo empresarial del infractor debería facturar más de 500.000.000 de euros para que los porcentajes indicados sean más gravosos que la barrera de los 10 ó 20 millones de euros indicada.
A nuestro juicio, un error muy grave sería no revisar la forma en que se obtuvo el consentimiento de los interesados con anterioridad al inicio de la aplicación del RGPD, ya que los tratamientos iniciados antes del 25 de mayo solamente serán legítimos si el consentimiento se prestó por parte del titular de los datos del modo que prevé el propio RGPD.
Asimismo, no informar a los interesados de forma concisa, transparente y con un lenguaje claro y sencillo sobre la base jurídica del tratamiento, o sobre cada una de las finalidades del tratamiento.
Finalmente, consideramos que obstaculizar el ejercicio de los derechos del interesado (ARCO +2) o la falta de información a la hora de realizar transferencias internacionales serían otros errores muy graves susceptibles de una sanción económica de hasta 20.000.000 € o de una cuantía equivalente al 4% de la facturación anual.
De manera absoluta. La intención del nuevo régimen sancionador es utilizar las sanciones como una herramienta eficaz para que las diferentes organizaciones cumplan con la normativa aplicable y para que sean conscientes de las consecuencias que podría suponer un tratamiento ilícito de los datos personales de una persona.
Efectivamente, los Estados miembros tendrán la posibilidad de imponer sanciones penales por infracciones al RGPD en caso de que consideren que es la vía más apropiada para perseguir la acción reguladora. Además, dichas sanciones penales pueden autorizar la privación de los beneficios obtenidos en infracción del Reglamento.
Tendremos que estar atentos a la normativa nacional para seguir el desarrollo de esta potestad concedida.
