Abogados en Granada, Málaga y Jaén
De 300.000 euros a más de 2.000 millones de multa. Así se aplicará el nuevo régimen sancionador del RGPD
Una de las novedades más relevantes y difundidas del RGPD , que comenzará a ser aplicable el próximo 25 de mayo, es la importancia de las sanciones que prevé para las infracciones de su contenido.
Como se ha destacado ya en muchas ocasiones, el artículo 83 de Reglamento prevé que las empresas que infrinjan lo dispuesto por el mismo, podrán ser sancionadas, dependiendo de la infracción que se cometa, con multas administrativas de hasta 20 millones de euros como máximo (o por un importe equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía).
Ello es reflejo del espíritu anglosajón que impregna todo el Reglamento, que deja gran libertad a los responsables del tratamiento para organizar su política de protección de datos, pero que prevé graves sanciones para el caso de que se incumplan sus prescripciones. No en vano el Considerando 7 del RGPD prevé que el establecimiento de un marco europeo de protección de datos «sólido y coherente» debe ir respaldado por una «ejecución estricta» de sus disposiciones, lo que puede incluir incluso sanciones penales, según sus Considerandos 149 y 152.
Por ello, a fin de poner de relieve la importancia que pueden llegar a alcanzar estas sanciones en la práctica, nos ha parecido un juego interesante intentar calcular el importe que habrían alcanzado algunas de las más recientes y difundidas multas impuestas a algunas muy conocidas empresas nacionales y extranjeras, de haberse cometido bajo la nueva normativa.
Naturalmente esto no deja de ser un pequeño divertimento con finalidad orientativa, al que hemos querido dotar del mayor rigor posible, si bien debemos advertir de que:
- Salvo que se indique lo contrario, no se han aplicado ninguna de las distintas circunstancias que según el art. 83.2 RGPD habrá que tener «debidamente en cuenta» para graduar la sanción a imponer «en cada caso individual». Sin embargo, para mayor claridad, se han incorporado las circunstancias que la propia AEPD o los tribunales han tenido en cuenta en cada caso.
- Por tanto, en cada uno de los casos que presentamos habrá de interpretarse dicho precepto a la luz del Considerando 148 cuando señala que debe prestarse «especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante».
No hay que olvidar que el número 1 del artículo 83 establece igualmente que, al imponer estas multas, las autoridades de control deben garantizar que sean «en cada caso individual efectivas, proporcionadas y disuasorias».
El buen criterio del lector sabrá aplicar esos principios a cada uno de los casos que aquí presentamos. En cambio hemos incluido una necesaria referencia a la tipificación de las infracciones y sanciones previstas en el proyecto de Ley Orgánica de Protección de Datos (LOPD), actualmente en tramitación en el Congreso. Finalmente, en cuanto al «volumen de negocio total anual global del ejercicio financiero anterior» al que se refiere el art. 83, números 4 y 5, se ha tenido en cuenta únicamente las cifras disponibles de 2016, que lógicamente no se corresponden exactamente con las del ejercicio anterior a aquel en el que se impusieron las respectivas sanciones, pero que nos han parecido las más útiles para un hipotético caso futuro.
Algunos casos (notables) recientes
A lo largo de los últimos meses la AEPD ha informado de la imposición de sanciones a varias de las grandes compañías tecnológicas, como Facebook, WhatsApp y Google, por diversas infracciones en materia de protección de datos de sus usuarios.
En concreto, destacan las sanciones de 1.200.000 € impuestas a Facebook por tratar datos, incluso de categoría especial, sin el consentimiento de sus titulares y la sanción de 300.000 euros a Google, por recoger datos de redes wifi con sus vehículos de Street View, sin el consentimiento de los titulares.
Igualmente, por tomar un ejemplo de empresa nacional, El Corte Inglés, fue sancionada por una infracción leve en la misma materia.
Veamos cómo podrían haber resultado estas sanciones de acuerdo con el RGPD.
Sanción a Facebook por una infracción muy grave y dos infracciones graves de la LOPD
Según la AEPD se trata de la sanción más elevada impuesta por este organismo a una entidad por un único procedimiento.
Dadas las circunstancias concurrentes en el caso, parece que de acuerdo con el RGPD el importe de la sanción también se acercaría a los máximos previstos (medidas de ponderación aparte).
Sanción a Google por captar datos personales a través de redes WiFi con los coches de su servicio Street View
Sanción a El Corte Inglés por ceder datos de sus clientes sin su consentimiento
Este es el caso que presenta una mayor diferencia entre la sanción impuesta conforme a la actual legislación (confirmada por la Audiencia Nacional) y la que podría recaer conforme al RGPD.
Por ello entendemos que la posibilidad de graduación de la sanción de la que dispone la AEPD, en virtud del artículo 45 de la LOPD , debería jugar con mayor intensidad, dada la naturaleza de los hechos y las medidas adoptadas por la empresa con carácter inmediato.
