Sanciones impuestas des de la entrada en vigor del nuevo RGPD

Introducción

A la luz de la reciente sanción impuesta por la autoridad de protección de datos francesa a Google, queremos revisar el marco de las sanciones de la normativa de protección de datos.

La implementación del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas ya ha dado sus frutos tanto desde la óptica positiva como negativa.

Su aplicación obligatoria el pasado 25 de mayo de 2018 supuso llevar a cabo un seguido de cambios para así, adecuarse a las nuevas obligaciones. Muchas empresas, pues, son las que a día de hoy ya prácticamente cumplen con toda la normativa y por lo tanto, podemos estar contentos con los resultados. Sin embargo, también se han impuesto las primeras multas en este ámbito.

Breve repaso

Antes de empezar a hablar propiamente de las sanciones es importante hacer un resumen muy rápido de las principales novedades que aportó el RGPD.

Nueva visión:
- Compliance
- Accountability
Nuevos principios:
- Minimización de los datos
- Limitación de la finalidad
- Exactitud de los datos
- Limitación del plazo de conservación
- De Seguridad
- De Transparencia
Nuevos derechos:
- Portabilidad de los datos
- Limitación del tratamiento
- Al acceso
- A la rectificación
- De supresión
- Al olvido
- De oposición
Nuevas obligaciones:
- Registro de actividades del tratamiento
- Protección de datos desde el diseño y por defecto
- Notificación de ‘violaciones de seguridad de datos’
- Medidas técnicas y organizativas
- Análisis de riesgos
- Evaluación de Impacto sobre la Protección de Datos
Nuevas figuras:
- Delegado de Protección de datos

Sanciones y multas

El artículo 83.2 del Reglamento especifica las multas que se impondrán en relación con la gravedad y tipo de infracción de que se trate. Recordemos que se ha eliminado la clasificación clásica de infracciónes leves, graves y muy graves. Sin embargo, nuestra LOPD mantiene la clasificación tradicional en su Título IX sobre el régimen sancionador.

Así pues, dicha clasificación se realizará en atención a distintos criterios como:

Naturaleza, gravedad y duración de la infracción
Intencionalidad o negligencia en la infracción
El grado de responsabilidad del encargado del tratamiento de datos. Se debe tener en cuenta las medidas técnicas y organizativas aplicadas para salvaguardar la información
Las infracciones anteriores cometidas
La categoría de los datos personales afectados
Venta de datos personales para el uso de fines publicitarios sin consentimiento de los interesados
Fallo en la adopción de medidas preventivas

Así pues, el nuevo RGPD deja claro que toda organización que trate datos personales deberá cumplir con todas las obligaciones que le afecten para garantizar el derecho a la protección de datos y así también evitar la posible imposición de sanciones.

Las sanciones pueden llegar a alcanzar los 20 millones de euros o el 4% de la facturación anual de la compañía o autónomo, dependiendo de la gravedad de la infracción y del número de personas afectadas; por lo que sin que sea el único o principal motivo para cumplir, es importante tenerlo en cuenta.

Sanciones complementarias

Hasta ahora hemos hablado de sanciones administrativas que se focalizan en el pago de multas o de un porcentaje de facturación de la empresa. Pero también se podrán imponer sanciones penales. La normativa establece la posibilidad de trascender la vía administrativa. Permite a los Estados Miembro imponer sanciones penales por el incumplimiento del RGPD.

Además, el afectado podrá reclamar también una indemnización por vía civil atendiendo a los daños o perjuicios sufridos cuandola persona interesada hayavisto afectados sus derechos por un mal uso de su información personal o una falta de medidas de seguridad. Dicha indemnización deberá ser pagada por el responsable del tratamiento de los datos.

Casos de sanciones hasta la fecha

Portugal

El primer caso de multa por incumplimiento del RGPD tubo lugar pasado medio año des de su obligada aplicación y fue en Portugal. El sancionado fue un Centro Hospitalario que permitió el acceso ilícito a datos clínicos. Así pues, la Agencia Portuguesa de Protección de Datos (CNPD) les impuso una multa de 400.000 euros tras su investigación realizada previo aviso por parte del Colegio Oficial de Médicos de Portugal.

En concreto, las infracciones cometidas fueron:

Violación del principio de integridad y confidencialidad
Violación del principio de minimización
Incapacidad para garantizar la confidencialidad de integridad de los datos

Alemania

Otra multa por incumplimiento de las normas referidas a la protección de los datos personales fue para una compañía alemana. Se trata de una empresa de mensajería que fue sancionada por haber filtrado más de 808.000 direcciones de correo electrónico. Y también, más de 1.8 millones de nombres de usuario y contraseñas. Así pues, se les impuso una multa de 20.000 euros.

Francia

Finalmente, otro caso muy reciente como ya hemos mencionado es el de la multa por incumplimiento del RGPD que fue impuesta por la Comisión Nacional de la Informática y las Libertades (CNIL) a Google. La CNIL consideró que el consentimiento en el tratamiento de datos de Google no está debidamente informado. Y, por lo tanto, puede llevar a la confusión de los usuarios. Además, también consideró que los permisos que el usuario da en el momento de crear una cuenta en Google no son lo suficientemente específicos. Así pues, les impuso una multa que ascendía a los 50 millones de euros siendo mayor sanción impuesta hasta el momento.

En resumen, las infracciones cometidas fueron:

Falta de transparencia
Información proporcionada insatisfactoria
Falta de consentimiento válido para la publicidad

Conclusiones

Todas estas multas revelan la importancia de aplicar correctamente las obligaciones impuestas por el nuevo Reglamento Europeo de Protección de Datos. Las cuantías pueden variar según el nivel de daño y violación causado, pero pueden llegar a ser muy costosas. Por lo tanto, es mejor hacer las cosas bien des del principio. Recordemos que las sanciones, además de tener un coste muy elevado también dañan los derechos de las personas y a la imagen corporativa de la compañía.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Bacaria

Sanciones impuestas des de la aprobación del nuevo RGPD

Introducción

Breve repaso

Sanciones y multas

Sanciones complementarias

Casos de sanciones hasta la fecha

Conclusiones

La Eurocámara aprueba una ley de intelig...

Líneas de acción en salud digital y priv...

3 de los hackers más famosos de la histo...

Agencia española de supervisión de Intel...

Bacaria

Servicios

Legal

Últimos posts

La Eurocámara aprueba una ley de inteligencia artificial – Parte 1

Líneas de acción en salud digital y privacidad de menores – Parte 1

3 de los hackers más famosos de la historia y sus hazañas