RGPD (III): Infracciones y sanciones

Por Albert Noguer

El Derecho Administrativo sancionador español se configura, en su inmensa totalidad, en diferenciar las infracciones en leves, graves y muy graves. Luego, en función de la graduación de la infracción, se aplica una sanción más o menos gravosa según el caso. La actual Ley Orgánica de Protección de Datos, sin ir más lejos, actúa de esta forma.

No obstante, este régimen general de infracciones y sanciones salta por los aires con el Reglamento General de Protección de Datos, otorgando un poder a la autoridad de control (AEPD) –al parecer del autor- totalmente desproporcionado.

Antes de analizar el régimen sancionador comunitario aplicable a partir de mayo de 2018, debemos comprender el background de la cuestión. Y este no es otro que el análisis coste-beneficio. En la actualidad y bajo algunos supuestos –especialmente en multinacionales- salía más a cuenta infringir la normativa que no tomar aquellas medidas necesarias para solventar la situación. Tampoco resultaba justificado, según algunos autores con los que discrepo, que se haya solucionado el tema que una PYME tuviera la misma sanción que una multinacional. Bajo este pretexto, el legislador comunitario ha optado por un régimen durísimo de sanciones para el sector privado.

En primer lugar –y solo para el sector privado-, no hay una tipificación de las conductas punibles en leves, graves y muy graves. Y, en segundo lugar, las multas pueden llegar al 4% de facturación de una empresa. Veamos el régimen sancionador poco a poco.

Los artículos que regulan las infracciones y sanciones son los artículos 83 y 84 RGPD. En primer lugar, se determina que la autoridad de control deberá interponer sanciones proporcionadas, efectivas y disuasorias (83.1 RGPD).

Para ello, el texto normativo (artículo 83.2 RGPD) prevé que deberá graduar la sanción en base a:

  • Naturaleza, gravedad y duración (números afectados, nivel de los daños, perjuicios, etc…)
  • Medidas adoptadas para paliar los daños
  • Intencionalidad o negligencia
  • Grado de responsabilidad, habida cuenta de las medidas técnicas / organizativas adoptadas.
  • Infracciones anteriores.
  • Categoría de los datos afectados.
  • Adhesión a códigos de conducta.
  • Etc…

Las cuantías de las sanciones se regulan en los artículos 83.4, 83.5 y 83.6 RGPD. En ellas se establece que las infracciones relacionadas por cada epígrafe se sancionarán de forma proporcionada, efectiva y disuasoria con multas máximas de 10 o 20 millones de euros o, tratándose de una empresa, una cuantía equivalente al 2 o 4% del máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por el de mayor cuantía.

Este amplísimo margen de maniobra de la autoridad de control (imaginemos el 4% de una multinacional) como multa administrativa y por una normativa de, a veces, tan difícil cumplimiento, nos lleva a un lugar de absoluto desconocimiento y preocupación. Veremos pues, qué rol adopta la AEPD en la adopción de nuevas sanciones.

El RGPD también da margen a los Estados Miembros para que adopten infracciones y sanciones adicionales a las que están en el Reglamento que son, en todo caso, inamovibles. No obstante, dada la tardanza y el estado prematuro en la tramitación de protección de datos –no entrará en vigor el 25 de mayo, creando una situación de inseguridad jurídica alarmante- no estamos a día de hoy en condiciones de anunciar si habrá infracciones adicionales a las establecidas en el texto comunitario.

 En cuanto al sector público, el RGPD da libertad a los Estados para que determinen si se aplica una advertencia (como hasta ahora recogía la LOPD) o también una sanción económica. En un principio, el Proyecto de Ley –ahora en discusión; bajo enmiendas- prevé que las autoridades públicas seguirán sin tener sanciones económicas. No obstante, el Consejo de Estado aconsejó al Gobierno que adoptara algún tipo de medida pecuniaria contra la administración pública; haciendo especial hincapié a los hechos del referéndum catalán del 1 de octubre (censo).

Veremos si los partidos políticos, en estas enmiendas, cambian el régimen sancionador de la administración pública. ¿Se atreverán?