Multas más duras en protección de datos: ¿qué debo saber?

Miguel Arias Socio Responsable de KPMG Impulsa

Durante el 2018 muchas pymes y autónomos se verán obligados a implementar nuevas prácticas referidas a la gestión y la privacidad de datos, ya que debido a la finalidad disuasoria del RGPD, deberán adoptar cuantas medidas sean necesarias para garantizar y ser capaces de acreditar el debido cumplimiento de la normativa de protección de datos.

A nivel empresarial, las consecuencias que pueden derivarse para una empresa o entidad del incumplimiento de la normativa en materia de protección de datos pueden ser muy graves, castigadas con multas mucho más cuantiosas que las que, hasta ahora, se establecían, resultando las mismas -concretamente, en el mundo de las PYMES- difícilmente asumibles.

Un antes y un después en el régimen sancionador

El RGPD establece las sanciones o multas administrativas que pueden imponerse - dependiendo de las infracciones cometidas por incumplimiento de determinadas obligaciones, principios y derechos, contenidos en el Reglamento- en dos grandes rangos, pero sin que expresamente las agrupe en leves, graves o muy graves, como hace la LOPD de 1999.

Veamos una comparativa entre las sanciones que contemplan las normas actualmente aplicables (LOPD/RLOPD) y los cambios que introduce el inminente Reglamento europeo General de Protección de Datos (RGPD) en el régimen sancionador en materia de protección de datos.

LOPD/RLOPD (sanciones MUY GRAVES): Multa de 300.001 a 600.000 euros.

RGPD: Multa de 20.000.000 euros como máximo o, en el caso de empresas, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior; entre ambos importes, el que resulte mayor en cuantía.

Concretamente, el Reglamento europeo impone estas cuantiosas multas cuando se realice el tratamiento de datos personales sin contar con la legitimación requerida para ello cuando dichos datos hagan referencia a la ideología, afiliación sindical, religión o creencias, al origen racial, a la salud y a la vida sexual, o a datos referentes a la comisión de infracciones penales o administrativas; o se produzca el incumplimiento de:

(i) los principios básicos para el tratamiento, en cuanto que los datos personales deberán ser tratados de manera lícita, leal y transparente en relación con el interesado, recogidos con fines determinados, explícitos y legítimos, sin que puedan ser tratados posteriormente de manera incompatible con dichos fines, debiendo ser exactos y, si fuera necesario, actualizados;

(ii) las condiciones para el consentimiento; así como, entre otras cuestiones,

(iii) el incumplimiento de las resoluciones de la autoridad de control, entre otras infracciones.

LOPD/RLOPD (sanciones GRAVES): Multa de 40.001 a 300.000 euros.

RGPD: Multa de 10.000.000 euros como máximo o, en el caso de empresas, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior; entre ambos importes, el que resulte mayor en cuantía..

Con estas sanciones el Reglamento europeo castiga, entre otras cuestiones, al responsable del tratamiento (por ejemplo, una pyme) si no cumple con su obligación de aplicar, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas -como la seudonimización o la minimización de datos (que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados)- concebidas para aplicar de forma efectiva los principios de protección de datos e integrar las garantías necesarias en el tratamiento, todo ello, a fin de cumplir los requisitos del RGPD y proteger los derechos de los interesados.

LOPD/RLOPD (sanciones LEVES): Multa de 900 a 40.000 euros.

RGPD: No establece un rango de cuantía.

Según el propio Reglamento europeo habrá que atender -al igual que para la imposición del resto de multas administrativas- a las circunstancias de cada caso individual y a una serie de criterios a los que hace referencia, como: la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; la intencionalidad o negligencia en la infracción; etc.


Por otro lado, no hay que olvidar que:

(i) toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos y que

(ii) el RGPD permite a los Estados miembros establecer normas en materia de sanciones penales por las infracciones del Reglamento europeo.

Por último, mencionar que se está tramitando una reforma de la normativa nacional para adecuarla al régimen previsto en el RGPD y que se espera que vea la luz en los próximos meses.

A partir del próximo 25 de mayo de 2018 será directamente aplicable el Reglamento europeo General de Protección de Datos, de 27 de abril de 2016 (RGPD) lo que conlleva, entre otras muchas cuestiones, un endurecimiento del régimen sancionador que contiene la actual Ley Orgánica española de Protección de Datos de Carácter Personal de 1999 (LOPD) -junto con el Reglamento que la desarrolla de 2007 (RLOPD)-, evidenciado por un aumento considerable del importe de las sanciones.

Suscríbete y recibe nuestra newsletter

Utilizamos cookies y tecnologías similares, propias y de terceros, para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias, mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

Entendido