Cuando se infringe la normativa de protección de datos personales cabe la posibilidad de que la autoridad de control imponga al infractor una sanción administrativa, cuya cuantía dependerá del tipo y grado de la infracción.
El Reglamento General de Protección de Datos (RGPD) plantea como objetivo «la protección efectiva de los datos personales en la Unión» y ello exige «que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal», es decir, se faculta a los Estados miembros para que, a través de sus respectivas autoridades de control, puedan imponer sanciones en caso de infracción de la normativa de protección de datos, configurándose el régimen de infracciones como un sistema de refuerzo en la aplicación de dicha normativa.
Las sanciones, incluidas las multas administrativas, se impondrán en función de las circunstancias de cada caso, de forma efectiva, proporcionada y disuasoria.
El RGPD establece en su artículo 83 apartados 4 y 5 los máximos a imponer por infracción:
- De 10.000.000 € como máximo, o tratándose de una empresa una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando se incumplan las obligaciones previstas en el artículo 83.4 del RGPD.
- De 20.000.000 € como máximo, o tratándose de una empresa una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, cuando se incumplan las obligaciones previstas en el artículo 83.5 del RGPD.
Clasificación de las sanciones
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en su Título IX (artículos 70 a 78) establece el régimen sancionador aplicable, manteniendo la distinción de infracciones y sanciones por su gravedad, y regulando cuestiones no contempladas en el RGPD, como los plazos de prescripción o la estipulación de la imposición de apercibimiento en el supuesto de vulneración de normas sobre protección de datos por parte de las Administraciones Públicas.
De manera sucinta, debemos saber que las infracciones se dividen en:
a) Muy graves:
- Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el artículo 83.5 del RGPD y 72 de la LOPDGDD.
- Prescriben a los tres años.
b) Graves:
- Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el artículo 83.4 del RGPD y 73 de la LOPDGDD.
- Prescriben a los dos años.
c) Leves:
- Son de carácter meramente formal y se regulan en el artículo 74 de la LOPDGDD.
- Prescriben al año.
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla (artículo 78.2 de la LOPDGDD).
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
Sujetos pasivos sometidos al régimen sancionador
En cuanto a los sujetos pasivos sometidos al régimen sancionador, decir que de la lectura, un tanto farragosa, del artículo 83.4 del RGPD y del artículo 70 de la LOPDGDD se desprende que pueden serlo:
- El responsable del tratamiento.
- El encargado del tratamiento.
- Los representantes de los responsables y encargados del tratamiento no establecidos en la Unión.
- Organismos o entidades de certificación por vulneración de los artículos 42 y 43 del RGPD.
- Organismos de supervisión de los códigos de conducta por vulneración del artículo 41.4 del RGPD.
Cabe llamar la atención que el delegado de protección de datos (DPD) no se ve sometido al régimen sancionador. No obstante, si el cargo de DPD es desempeñado por un profesional cabría una demanda de responsabilidad civil por daños y perjuicios si su actuación fue negligente. No será responsable ante la autoridad de control, pero lo será ante quien le contrató y designó como DPD en atención a su especial cualificación.
Graduación y atenuación de las sanciones
Al tiempo de imponer una sanción, la autoridad de control tendrá en cuenta las siguientes circunstancias:
- La naturaleza, gravedad y duración de la infracción, así como el número de afectados y el nivel de los daños y perjuicios que hayan sufrido.
- Las categorías de los datos de carácter personal afectados.
- La intencionalidad o negligencia en la infracción.
- Cualquier medida tomada por el responsable o el encargado del tratamiento para paliar los daños y perjuicios ocasionados.
- El grado de responsabilidad del encargado del tratamiento habida cuenta de las medidas técnicas y organizativas que haya aplicado en virtud de los artículos 25 y 32 del RGPD.
- Toda infracción anterior cometida.
- El grado de cooperación con la autoridad de control para mitigar los posibles efectos adversos de la infracción.
- La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular, si el responsable o el encargado del tratamiento notificaron la infracción y, en tal caso, en qué medida.
- El cumplimiento de las medidas indicadas en el artículo 58.2 del RGPD cuando hayan sido ordenadas previamente en relación con el mismo asunto.
- La adhesión a códigos de conducta o a mecanismos de certificación convenientemente aprobados.
- Cualquier otro factor agravante o atenuante como, por ejemplo, los beneficios financieros obtenidos o las pérdidas evitadas.
Asimismo, atendiendo al artículo 76 apartado 2 de la LOPDGDD, se tendrán en cuenta:
- El carácter continuado de la infracción.
- La vinculación de la actividad del infractor con el tratamiento de datos personales.
- Los beneficios obtenidos como consecuencia de la comisión de la infracción.
- La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
- La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción que no puede imputarse a la entidad absorbente.
- La afectación a los derechos de los menores.
- Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
- El sometimiento del responsable o encargado del tratamiento, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.
Además de la multa administrativa, cabe la posibilidad de que el responsable o el encargado del tratamiento sean condenados a pagar una indemnización a los afectados por los daños y perjuicios ocasionados.
El RGPD prevé en su artículo 58, apartado 2, letras a) a h) y j) una serie de medidas adicionales o sustitutivas a las multas.
La presunción de inocencia del presunto infractor
El principio de presunción de inocencia garantiza que no puede imponerse sanción alguna si no existe una actividad probatoria de cargo que en la apreciación de los órganos o autoridades llamadas a resolver destruya dicha presunción.
En ningún caso, la presunción de inocencia significa que, existiendo una prueba de cargo suficiente obtenida en base a medios probatorios lícitos, el sancionado esté exento de presentar una contraprueba o explicación racional y convincente tendente a justificar su conducta (Sentencia Audiencia Nacional, Sala de lo Contencioso-administrativo, Sección 1ª, de 8 de octubre de 2003, Rec. 1365/2001)
En definitiva, ampararse en la presunción de inocencia cuando hay indicios claros de infracción es una mala estrategia.
Atenuantes y eximentes
En el año 2017 el grupo de «hackers» La Nueve, vinculado al movimiento «Anonymous», atacó los servidores del Sindicato Unificado de la Policía (SUP), quedando expuestos los datos personales (nombre y apellidos y parcialmente anonimizados los datos de dirección de correo electrónico y DNI, entre otros) de 17.790 asistentes a cursos organizados por el SUP. Al mismo tiempo, se descubrió que La Nueve llevaba infiltrada desde el año 2013.
Como consecuencia de ello, la AEPD inició actuaciones de investigación por una infracción grave, que se sanciona con un mínimo de 40.000 €.
La autoridad de control archivó el expediente sancionador, perdonando la sanción al responsable, por su diligencia tras la brecha de seguridad. Con el fin de minimizar los daños, de inmediato cerró la página web y presentó denuncia ante la Policía alertando del ciberataque, además registró la brecha de seguridad dejando constancia de la incidencia producida, sus consecuencias y efectos, las medidas correctoras aplicadas, procedimientos realizados e informó en plazo a la autoridad de control de la brecha de seguridad. A mayor abundamiento, la AEPD tuvo en cuenta que la situación económica del infractor era grave, al contar con créditos pendientes de pago y numerosas deudas con la Administración Tributaria, a lo que habría que sumar sus cargas familiares (esposa e hijos). No pensemos que siempre se condonan las multas, pero sí se reducen considerablemente cuando se cumplen las referidas circunstancias. Dejo enlazada aquí la resolución comentada de la AEPD.
La moraleja es que para evitar o minimizar las sanciones el camino pasa por actuar prudentemente, tratando de minimizar los daños y actuando con transparencia ante la autoridad de control.