Las empresas se enfrentan a multas millonarias ante la futura regulación europea de protección de datos

Las empresas se enfrentan a multas millonarias ante la futura regulación europea de protección de datos

|
20/5/2017 04:58
|
Actualizado: 19/5/2017 19:14
|

El nuevo Reglamento General de Protección de Datos (RGPD) incrementará, desde el 25 de mayo de 2018, los riesgos que asume toda organización en el tratamiento de datos personales. En concreto, las organizaciones se enfrentan a tener que abonar multas por hasta 20 millones de euros, o en su caso, el 4% de sus ventas anuales mundiales en caso de negligencia. CONFILEGAL ha querido recabar diferentes opiniones sobre este tema que preocupa a las empresas.

Cuestiones como el no atender los derechos de los ciudadanos, las cesiones inconsentidas de datos a terceros, el uso de datos para finales diferentes a las señaladas o el no tener habilitación legal para el tratamiento de datos o el no atender las violaciones de las medidas de seguridad son algunas de las situaciones que podrían generar multas millonarias a las empresas. A ellos hay que añadir derechos nuevos como a la portabilidad, cambio de operador o el ya conocido derecho al olvido.

Las sanciones que fija la nueva normativa comunitaria pueden implicar también la prohibición del tratamiento de datos –lo que para algunos negocios puede conllevar el cese de su actividad-; o la suspensión de las transferencias internacionales de datos. De igual modo, las empresas, que tienen obligación de comunicar las brechas de seguridad que sufran, pueden ser objeto de demandas colectivas (“class actions”) por parte de los afectados.

“Los datos personales puede pasar, de ser un activo de gran valor económico, a convertirse en un activo tóxico para las organizaciones que no adopten las medidas apropiadas para mitigar los riesgos de incumplimiento de esta nueva normativa. El incremento del riesgo que se asume no deriva únicamente del giro del régimen sancionador, sino también de la adopción de un sistema de autoevaluación y de responsabilidad proactiva”, sostiene Blanca Escribano, socia de CMS Albiñana & Suarez de Lezo.

El nuevo reglamento comunitario, que entrará en vigor dentro de un año en nuestro país, busca un mayor control de los ciudadanos sobre sus datos; dotar al conjunto de países miembros de la Unión Europea de un marco más homogéneo; y adaptarse al nuevo contexto digital, entre otros objetivos.

Sanciones desconocidas hasta el momento

Para José Luis Piñar, exdirector de la Agencia Española de Protección de Datos, estas sanciones se dividen en dos bloques “una hasta diez millones de euros y el 2 por ciento del volumen total anual global de facturación de la empresa y otra hasta 20 millones y el 4 por ciento de ese volumen global de la empresa. Son unas cuantías desconocidas hasta este momento si se hace la lectura del articulo 83 de este Reglamento Europeo”, aclara.

En opinión de este experto se plantean dos cuestiones “la primera, el incremento sustancial de las multas respecto a la situación actual y otra que se podría plantear si es o no constitucional en el  modelo español el establecer esta horquilla tan amplia”. Nuestro interlocutor recuerda una sentencia del Tribunal Constitucional la 175/2012 que admitía esas horquillas tan amplias en ciertos casos. “Estas sanciones van a generar un gran poder discrecional en las autoridades de protección de datos, mucho mayor que el actual”.

Piñar recuerda que el citado Reglamento Europeo establece unos criterios generales para imponer las multas y una serie de supuestos o de criterios que tendrán que tener en cuenta las propias autoridades “estas van desde la gravedad de la infracción, intencionalidad, medidas tomadas para solventar la situación creada por la infracción,  la cooperación que la empresa realice con la autoridad de control. Circunstancias que tendrán que valorarse antes de la implantación de dichas sanciones”.

Habrá que ver en procedimientos transfronterizos cuál es la autoridad competente que al final se encarga de imponer a las empresas dichas sanciones

En este escenario de un año que queda para la entrada de vigor de la nueva normativa europea en protección de datos este experto, Catedrático de Derecho Administrativo de la Universidad CEU San Pablo y Presidente de la Sección 3 de Derecho Público de la Comisión de General  Codificación  no cree que haya muchos cambios a nivel de sanciones en el propio texto del Reglamento “El futuro Comité Europeo de Protección de Datos, antes Grupo de Trabajo del Artículo 29 quizás podría fijar algunas directrices sobre esta cuestión sin menoscabar la potestad de las autoridades de control de cada país”.

Nuestro interlocutor confirma a CONFILEGAL que el nuevo texto de la Ley Orgánica de Protección de Datos (LOPD) en el que se avanza en estos momentos, se espera esté disponible para antes de la entrada en vigor del Reglamento Europeo de Protección de Datos, cumplidos los dictámenes e informes públicos que se requieren. Es bastante que en esa normativa se establezcan algunas pautas sobre el régimen sancionador nuevo que está por llegar.

Sobre las infracciones, habrá que ver si afecta a un único país o tiene relevancia trasnacional “en ese caso entraría en marcha todo el sistema de cooperación y coherencia para determinar quién es la autoridad competente para determinar la sanción. El procedimiento sancionador tendrá todas las garantías jurídicas para el denunciado y que pueda presentar alegaciones y tras su tramitación se pondrán las sanciones pertinentes”. En el Reglamento se indica que si no hay acuerdo entre las autoridades de control implicadas será este nuevo Comité Europeo de Protección de datos quien dictará la resolución vinculante.

La importancia del derecho administrativo de cada país

Por su parte, Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP), entidad que está a punto de celebrar su V Congreso Nacional donde se hará un análisis detallado de este Reglamento Europeo de Protección de Datos,  señala que “ la imposición efectiva de las multas del RGPD dependerá de los requerimientos del derecho administrativo de cada Estado Miembro que deberá tener previsto, y, si no, deberá regularlo ahora la tipificación de las infracciones y  sanciones así como su período de prescripción;  precisar si y cómo se aplican las sanciones al sector público nacional ,como es el caso del sector público de la UE que está sujeto a sanciones,; y  comprobar que las reglas del procedimiento sancionador existentes son suficientes.

Álvarez señala que “en relación con tratamientos transfronterizos y la ventanilla única europea, será necesario definir el proceso a seguir y las garantías procesales. Es una tarea en la que debería estar trabajando ya el Supervisor Europeo de Protección de Datos junto con las demás autoridades de protección de datos nacionales. En cuanto a la concreción del procedimiento sancionador a efectos españoles es tarea del Ministerio de Justicia español y todo apunta a que la voluntad es que la norma española que lo regule, junto con otras materias, en su caso, se apruebe antes de la entrada en vigor del Reglamento europeo”.

Respecto a los supuestos más frecuentes que puedan generar las mencionadas sanciones, la presidenta de APEP destaca que “no es algo que se pueda anticipar con seguridad, pero no es improbable que las infracciones más frecuentes estén vinculadas a perfilados si estos derivaran en supuestos de discriminación injusta, a los consentimientos condicionados en materia de publicidad”.

También cree que otras conductas sancionables pueden tener que ver con la  “falta de incorporación de la privacidad por el diseño en la tecnología utilizada para tratar datos personales así como las brechas de seguridad derivadas de medidas de seguridad poco diligentes. En cualquier caso, como punto de referencia del pasado reciente, siempre es útil observar los supuestos más habituales de la actividad sancionadora de la AEPD de los últimos años”.

La imposición de sanciones debe tener un efecto desincentivador del incumplimiento

Si esas multas deben ser más flexibles para las pymes, Álvarez señala que “la sociedad debe esperar ejemplaridad de la Administración así como que las grandes corporaciones inviertan recursos razonables para incorporar la privacidad en sus decisiones estratégicas y procesos de negocio”.

Desde su punto de vista “la imposición de sanciones debe tener un efecto desincentivador del incumplimiento, lo que está directamente ligado con la aplicación del principio de proporcionalidad. No por tratarse de una PYME el perjuicio causado es automáticamente menos relevante pero sin duda la capacidad económica de la entidad será tenida en cuenta a la hora de imponer sanciones”.

En cuanto a si entrada de esta normativa europea puede generar más litigiosidad, cree que es razonable pensar que así sea “porque las entidades tienen mucho más que perder si se les imponen multas elevadas. Asimismo, las entidades públicas y privadas serán cada más más conscientes de que necesitan proteger los datos personales como un insumo estratégico para sus actividades, con la dificultad de la falta de regulación en materia de derechos de propiedad. Asimismo, esta litigiosidad puede incrementarse si se generaliza en los Estados miembros la posibilidad de interponer acciones colectivas en esta materia”.

Noticias Relacionadas:
Lo último en Áreas y sectores