Quiénes pueden ser sancionados por el nuevo GDPR/RGPD
2 de junio de 2018
Quiénes pueden ser sancionados por el nuevo GDPR/RGPD
El nuevo GDPR/RGPD, que entra en vigor el día 25 de mayo, establece que son los responsables y encargados del tratamiento los que responderán de las infracciones por incumplimiento del Reglamento que se sancionará con multas administrativas. No obstante, en caso de infracción leve, o si la multa a imponer fuese una carga desproporcionada para una persona física, en lugar de esta sanción puede imponerse un apercibimiento.
Responsables y Encargados
Se define como Responsable a la persona física o jurídica que determine los fines y medios del tratamiento Así, por ejemplo, una Asesoría será la responsable de los datos personales relativos a sus empleados y a sus clientes; un autónomo será responsable del tratamiento de los datos personales de sus clientes y un hotel será responsable del fichero de sus huéspedes.
El Encargado será la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Indemnización de daños y perjuicios
Una novedad importante es que el Reglamento establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento.
No obstante un encargado responderá sólo por los causados por el tratamiento cuando no haya cumplido con las obligaciones del Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
Además, tanto responsables como encargados, estarán exentos de responsabilidad si demuestran que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Si alguno de ellos paga una indemnización total por el perjuicio ocasionado, tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados.
Régimen sancionador
Este nuevo Reglamento da a las sanciones impuestas de una finalidad disuasoria con el fin de que actúen como elemento de presión para que las empresas o entidades cumplan con la regulación contenida en el mismo. De ahí que establezca también el apercibimiento como alternativa a
Para determinar la sanción correspondiente debe atenderse a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante.
En cuanto al importe, las sanciones van, en el caso de infracciones graves, desde multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
Las muy graves se sancionarán con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
Además, cada país puede establecer normas en materia de otras sanciones aplicables a las infracciones del Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad y adoptar todas las medidas necesarias para garantizar su observancia.
Cuadro comparativo Sanciones LOPD y RGPD/GDPR
Infracción leve
- LOPD: 900 € - 40.000 €
- RGPD/GDPR. No hay cuantía mínima
Infracción grave
- LOPD: 40.001 € - 300.000 €
- RGPD/GDPR: Hasta 10.000.000 € o, si es empresa, cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior (la de mayor cuantía)
Infracción muy grave
- LOPD: 300.001 € - 600.000 €
- RGPD/GDPR: Hasta 20.000.000 € o, si es empresa, cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior (la de mayor cuantía).
Responsabilidad proactiva (accountability)
Aunque no entra dentro del régimen sancionador como tal, el reglamento incorpora la llamada responsabilidad proactiva, que se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales y que se plasma en la necesidad de que las empresas o entidades adopten medidas para garantizar el debido cumplimiento de la normativa de protección de datos y sean capaces de acreditarlo.
En caso contrario deberán hacer frente a las importantes sanciones económicas establecidas en el Reglamento que, como se ha visto, pueden incluso, poner en riesgo la pervivencia de la empresa.
Reglamento 679/2016 de 27 abril de 2016. EDJ 2017/48900