Régimen sancionador: hasta 20.000.000 € ¿cómo se gradúan las multas y cuantías?

La entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD) y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), ha supuesto una gran revolución a nivel europeo.  Unos de los principales impactos que supuso la irrupción del RGPD y la LOPDGDD fue la modificación del régimen sancionador al incrementarse el importe al que ascendían las sanciones, pudiendo alcanzar el importe de hasta 20.000.000 de euros o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, ahí es nada.

Recientemente, la Directora de la Agencia Española de Protección de Datos (en adelante, AEPD), Mar España Marti en una entrevista concedida al diario CincoDías refería que “actualmente hay expedientes en curso a grandes empresas que operan en España que podrían concluir en forma de sanciones importantes en los próximos meses[1]. La sanción más elevada interpuesta por la AEPD, hasta la fecha, ascendió a 250.000 euros, por tanto, deberemos estar alerta respecto a las próximas resoluciones dictadas para conocer qué alcance y qué criterios de graduación sigue nuestra Autoridad de Control.

Desde la entrada en vigor del RGPD y la LOPDGDD, el órgano sancionador (AEPD) ha impuesto diversas sanciones por el incumplimiento de los distintos preceptos de aplicación en materia de protección de datos. En ocasiones, se aprecia que la vulneración de un mismo artículo de la norma puede ser sancionado con una cuantía pecuniaria diferenciada dependiendo de los casos ¿esto es posible?

La respuesta es sí y así lo permite el RGPD en su artículo 83 y 76 de la LOPDGDD.  El artículo 83.2 del RGPD refiere que para la imposición de la multa administrativa y su cuantía “en cada caso individual se tendrá debidamente en cuenta […]” y, establece un listado de criterios que permitirán graduar, en cada caso, la sanción a imponer, entre otros: naturaleza, gravedad y duración de la infracción; la intencionalidad o negligencia de la infracción; el grado de cooperación con la autoridad de control; la categoría de datos afectados etc.

En definitiva, es de vital importancia que todas las organizaciones y empresas cumplan con la normativa en materia de Protección de Datos, no solo por las sanciones a las que nos exponemos, sino también como un valor que puede suponer diferenciarnos del resto de nuestros competidores. Asimismo, y, ante posibles vulneraciones de la normativa, es importante adoptar todas las medidas con carácter preventivo o reactivo, habida cuenta, que serán tomadas en cuenta por la Autoridad de Control para la graduación de las multas administrativas y cuantías al dictar su resolución.

#dataprotection #data #GDPR #sistemadegestion #helas #régimensancionador #privacy #privacidad

[1] Enlace a la entrevista concedida por la Directora de la AEPD para CincoDías: https://cincodias.elpais.com/cincodias/2020/01/10/legal/1578667140_483443.html

Marta Serrano Carnicer

Consultor de Helas Consultores