15.10.2015
El Régimen sancionador en materia de Protección de Datos – 2ª Parte
El régimen sancionador en materia de Protección de Datos de caracter personal, ha sufrido importantes modificaciones tras la aprobación del nuevo Reglamento Europeo. Recordemos que éste será aplicable a partir del próximo 25 de mayo de 2.018. Esta norma de rango comunitario tiene un alcance general, y en parte desplaza a nuestra Ley Orgánica de Protección de Datos (LOPD) de 1.999. Para la adaptación a las nuevas exigencias, se prevé una nueva regulación estatal. En este sentido, el pasado junio, el Ministerio de Justicia, presentó la primera versión del Anteproyecto de la nueva Ley Orgánica de Protección de Datos.
El principal objetivo del nuevo régimen sancionador, es alcanzar una armonización normativa en el ámbito europeo. Trata de rectificar el sistema anterior, que dotaba de un amplio margen de libertad a los Estados miembros, dando lugar a los llamados “paraísos de datos”.
Novedades en el Régimen Sancionador de Protección de Datos.
El Reglamento General de Protección de Datos (RGPD), introduce las siguientes novedades:
- Los sujetos:
Se amplían los sujetos pasivos de la relación jurídica sancionadora. Como novedad, se incluyen a los organismos de certificación y a los organismos de supervisión de los códigos de conducta. Estos organismos adquieren un gran protagonismo, ya que mediante su supervisión, certifican el cumplimiento de los requisitos impuestos por la normativa.
- Régimen:
Una de las grandes novedades, es que desaparece la clasificación de las infracciones y sanciones en leves, graves y muy graves. Aunque sigue distinguiendo de la clase de infracción, en virtud de la cuantía que impone en caso de incumplimiento.
Tipificación remisiva expresa
En este sentido, el RGPD no prevé de forma expresa las conductas tipificadas. Sino que determina que el incumplimiento de las obligaciones que han de respetar los sujetos, dará lugar a la infracción. Es lo que denomina la doctrina “tipificación remisiva expresa”.
El artículo 83 del RGPD, describe las condiciones generales para la imposición de multas administrativas. Se impondrán, en función de cada caso individual, teniendo en cuenta una serie de factores que modularán el alcance de las mismas. A título enunciativo podemos destacar:
– Naturaleza, gravedad y duración de la infracción.
– Intencionalidad.
– Grado de responsabilidad del responsable.
– Categoría de los datos personales afectados por la infracción, entre otras.
El artículo 83, en su apartado 4, prevé multas administrativas de: “hasta los 10.000.000 de euros cuando se trata de persona física ó, si se trata de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total global del ejercicio financiero anterior, optándose por la de mayor cuantía.” Son aplicables en caso de incumplimiento, en materia de consentimiento de menores, normativa relativa al registro de las actividades del tratamiento, entre otras.
El apartado 5, del citado artículo, incrementa la multa administrativa a “20.000.000 millones de euros como máximo, o tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total global del ejercicio financiero anterior, optándose por la de mayor cuantía.” Esta sanción se prevé, a título de ejemplo: para casos de incumplimiento en materia de los principios básicos para el tratamiento de los datos, los derechos de los interesados, o transferencias de datos personales.
Disuasión del incumplimiento de la normativa
Este régimen está pensado para las multinacionales del sector de la tecnología, con la finalidad de disuadirles en el incumplimiento de la normativa. Sin embargo, algunos autores defienden la importancia de aplicar el principio de proporcionalidad, que defiende el propio Reglamento. En este sentido, se debe tener en cuenta, a la mayoría de los posibles sujetos sometidos al régimen, tales como personas físicas o pequeñas y medianas empresas.
En conclusión, son importantes las novedades introducidas en la materia, tales como la ampliación de los sujetos pasivos, el incremento de las sanciones ó la desaparición de la tipificación de éstas.
Régimen Sancionador Severo
Por último, el régimen sancionador previsto en nuestro país, ya podía clasificarse de gran dureza, por lo no será complicada la adaptación al nuevo régimen. En todo caso, habrá que tener en cuenta que nuestra LOPD aún será aplicable, para los casos que no se hayan previsto de forma expresa en el Reglamento.
Bibliografía: “Reglamento General de Protección de Datos. Hacia un nuevo modelo de privacidad.” José Luis Piñar Mañas.