Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Las normas sancionadoras en el nuevo Reglamento Comunitario de Protección de Datos

Las normas sancionadoras en el nuevo Reglamento Comunitario de Protección de Datos
Javier Puyol es el socio director de Puyol Abogados, una boutique legal especializada en el mundo de las nuevas tecnologías y el cumplimiento normativo. Confilegal.
12/6/2016 07:54
|
Actualizado: 16/6/2016 09:42
|

En esta noticia se habla de:

Tras la aprobación y posterior publicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en opinión del bufete de abogados Barrilero, las novedades más destacadas de este nuevo Reglamento son:

a).- Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro.

b).- La creación de la figura del Delegado de Protección de Datos (DPO ó Data Protection Officer).

c). Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento normativo.

d). La obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.

e). Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y autorización previa para determinados tipos de tratamiento.

f). Nuevas obligaciones de información al interesado, mediante un sistema de iconos armonizado para todos los países de la UE.

g). Incremento de la cuantía de las sanciones.

h). Aplicación del concepto «Ventanilla Única» (One-stop-shop), para que los ciudadanos interesados puedan efectuar trámites, aunque estos afecten a autoridades en la materia de otros estados miembros.

i). Establecimiento de obligaciones para nuevas categorías especiales de datos.

j). Nuevos principios en relación a las obligaciones de información: transparencia y minimización.

La introducción de todas estas novedades va a suponer que las empresas y entidades tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.

Por su parte, es de esperar que las medianas empresas, entidades y profesionales liberales que están obligados a cumplir con esta normativa, puedan contar con el soporte y las recomendaciones que lancen los diversos organismos y la Autoridad de Control en la materia.

REFLEXIONES

Y, es preciso dedicar las presentes reflexiones a la nueva regulación en materia sancionadora previsto en el nuevo texto reglamentario europeo. En su artículo 83 se parte del establecimiento de las condiciones generales para la imposición de multas de carácter administrativas. El legislador no ha dudado en determinas que las mismas se tienen que corresponder, básicamente, con una serie de características en su imposición. Así, las mismas han de ser:

a). Individuales.

b). Efectivas.

c). Proporcionadas

d). Disuasorias.

La responsabilidad de dicha actuación, y que la misma se ajuste a estas características predeterminadas, es evidente que recae en cada autoridad de control.

La nueva normativa establece una serie de circunstancias concurrentes en el ejercicio de esta función sancionadora, que debe ser tomadas en consideración por cada regulador, a la hora de establecer la sanción que corresponda en cada caso concreto y determinado, así como con relación al hecho material de fijar pormenorizadamente la cuantía de multa que se ha imponer.

Estas circunstancias agravatorias o limitativas de la responsabilidad administrativa del infractor son las que se citan a continuación:

a) La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) La intencionalidad o negligencia en la infracción.

c) Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d) El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32.

En dichos preceptos se regula la protección de datos desde el diseño, y por defecto, lo que implica que para la realización de un tratamiento que pueda ser considerad conforme a derecho deben tenerse en cuenta cuestiones tales como:

(i) el estado de la técnica,

(ii) el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento,

(iii) los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, y la obligación por parte del responsable del tratamiento de aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

Asimismo, ello conlleva, la obligación del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

Esta obligación se tiene que aplicar a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

En este mismo sentido, esta circunstancia modificativa de la responsabilidad del responsable y/o del encargado de tratamiento, debe ser modulada en función de la seguridad del propio tratamiento, y para ello se han de tener igualmente en consideración algunos aspectos, los cuales cita expresamente el Reglamento Comunitario de Protección de Datos, entre los que cabe señalar lo siguientes: el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

La seudonimización y el cifrado de datos personales;

La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

RIESGOS

Y para ello, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

e) Toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) Las categorías de los datos de carácter personal afectados por la infracción;

h) La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i) En caso de que las medidas indicadas en el artículo 58, apartado 2 del Reglamento Comunitario de Protección de Datos, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

j) La adhesión a códigos de conducta tal como se prevé en el artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, ambos del citado Reglamento, y, finalmente;

k) Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

MULTAS Y CUANTÍA

Las multas administrativas se tienen que imponer, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j), y que hacen referencia respectivamente a:

(i) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

(ii) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación; y

(iii) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

En dicho Reglamento se establece, asimismo, una regla concreta que delimita el resultado final de la multa a imponer, y que señala a tal efecto, que si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

En cuanto a la cuantía de las multas a imponer, estas se encuentran delimitadas en los apartados 4º y 5º del artículo 83 del Reglamento, donde se señala a tales efectos lo siguiente:

Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) las obligaciones del responsable y del encargado a tenor de los artículo 8 (condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información), articulo 11 (tratamiento que no requiere identificación); artículos 25 a 39 (protección de datos desde el diseño y por defecto, corresponsables del tratamiento, representantes de responsables o encargados del tratamiento no establecidos en la Unión, encargado de tratamiento, tratamiento bajo la autoridad del responsable o encargado del tratamiento, registro de actividades de tratamiento; cooperación con la autoridad de control, seguridad del tratamiento, notificación de una violación de la seguridad de los datos personales a una autoridad de control, comunicación de una violación de la seguridad de los datos personales al interesado, evaluación de impacto relativa a la protección de datos, consulta previa, delegado de protección de datos o DPO, la posición del DPO y funciones del DPO; certificación y organismo de certificación).

b) las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43 (certificación y organismo de certificación).

c) las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4 (supervisión de códigos de conducta aprobados).

Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos (principios relativos al tratamiento, licitud del mismo, condiciones para el consentimiento, y el tratamiento en las categorías especiales de datos personales).;

b) los derechos de los interesados a tenor de los artículos (transparencia y modalidades, información y acceso a datos personales, derecho de rectificación y supresión, derecho de oposición y decisiones individuales automatizadas);¡

c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional (principio general de transferencias, transferencias basadas en una decisión de adecuación, transferencias mediante garantías adecuadas, normas corporativas vinculantes o bcr’s, transferencias o comunicaciones no autorizadas por el derecho de la unión, y las excepciones para situaciones específicas).

Como se puede observar el Reglamento exclusivamente presta atención a criterios o cuestiones básicas, faltando específicamente dentro de su contenido las cuestiones atinentes a la graduación especifica de las sanciones, a la prescripción tanto de las infracciones como de las sanciones, el procedimiento sancionador, la potestad de inmovilización de los ficheros, y todo lo relativo a las infracciones de las Administraciones Públicas, lo que a la postre determina no sólo la vigencia de la Ley Orgánica 15/1.999, de 13 de diciembre, adaptada eso si a los criterios establecidos en el Reglamento Europeo de Protección de Datos, sino que incluso hay espacio para la vigencia de un reglamento de desarrollo de dicha Ley Orgánica, a los efectos de concretar todos aquellos extremos, que la nueva normativa jurídica no ha desarrollado.

Esta situación determina que la legislación local siga ocupando un importante especio en el ámbito de la regulación de la protección de datos de carácter personal, y por ende, que exista un importante recorte en la finalidad unificadora y homologadora de la normativa, en los términos previstos en el propio Reglamento Comunitario.

Finalmente, debe reprocharse en esta materia al legislador europeo que se ha preocupado mucho por el establecimiento de sanciones efectivas y disuasorias, y sin embargo, escasa o nula referencia se ha producido al desarrollo de la cultura de protección de datos entre los ciudadanos, y sobre todo entre las pymes, las grandes olvidadas de esta regulación, pero que sin embargo representan un 95% del tejido empresarial.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
    Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito