Las empresas se enfrentan a multas millonarias ante la futura regulación europea de protección de datos
El nuevo Reglamento General de Protección de Datos (RGPD) incrementará, desde el 25 de mayo de 2018, los riesgos que asume toda organización en el tratamiento de datos personales. En concreto, las organizaciones se enfrentan a tener que abonar multas por hasta 20 millones de euros, o en su caso, el 4% de sus ventas anuales mundiales en caso de negligencia. CONFILEGAL ha querido recabar diferentes opiniones sobre este tema que preocupa a las empresas.
Cuestiones como el no atender los derechos de los ciudadanos, las cesiones inconsentidas de datos a terceros, el uso de datos para finales diferentes a las señaladas o el no tener habilitación legal para el tratamiento de datos o el no atender las violaciones de las medidas de seguridad son algunas de las situaciones que podrían generar multas millonarias a las empresas. A ellos hay que añadir derechos nuevos como a la portabilidad, cambio de operador o el ya conocido derecho al olvido.
Las sanciones que fija la nueva normativa comunitaria pueden implicar también la prohibición del tratamiento de datos –lo que para algunos negocios puede conllevar el cese de su actividad-; o la suspensión de las transferencias internacionales de datos. De igual modo, las empresas, que tienen obligación de comunicar las brechas de seguridad que sufran, pueden ser objeto de demandas colectivas (“class actions”) por parte de los afectados.
“Los datos personales puede pasar, de ser un activo de gran valor económico, a convertirse en un activo tóxico para las organizaciones que no adopten las medidas apropiadas para mitigar los riesgos de incumplimiento de esta nueva normativa. El incremento del riesgo que se asume no deriva únicamente del giro del régimen sancionador, sino también de la adopción de un sistema de autoevaluación y de responsabilidad proactiva”, sostiene Blanca Escribano, socia de CMS Albiñana & Suarez de Lezo.
El nuevo reglamento comunitario, que entrará en vigor dentro de un año en nuestro país, busca un mayor control de los ciudadanos sobre sus datos; dotar al conjunto de países miembros de la Unión Europea de un marco más homogéneo; y adaptarse al nuevo contexto digital, entre otros objetivos.
Sanciones desconocidas hasta el momento
Para José Luis Piñar, exdirector de la Agencia Española de Protección de Datos, estas sanciones se dividen en dos bloques “una hasta diez millones de euros y el 2 por ciento del volumen total anual global de facturación de la empresa y otra hasta 20 millones y el 4 por ciento de ese volumen global de la empresa. Son unas cuantías desconocidas hasta este momento si se hace la lectura del articulo 83 de este Reglamento Europeo”, aclara.
En opinión de este experto se plantean dos cuestiones “la primera, el incremento sustancial de las multas respecto a la situación actual y otra que se podría plantear si es o no constitucional en el modelo español el establecer esta horquilla tan amplia”. Nuestro interlocutor recuerda una sentencia del Tribunal Constitucional la 175/2012 que admitía esas horquillas tan amplias en ciertos casos. “Estas sanciones van a generar un gran poder discrecional en las autoridades de protección de datos, mucho mayor que el actual”.
Piñar recuerda que el citado Reglamento Europeo establece unos criterios generales para imponer las multas y una serie de supuestos o de criterios que tendrán que tener en cuenta las propias autoridades “estas van desde la gravedad de la infracción, intencionalidad, medidas tomadas para solventar la situación creada por la infracción, la cooperación que la empresa realice con la autoridad de control. Circunstancias que tendrán que valorarse antes de la implantación de dichas sanciones”.
Habrá que ver en procedimientos transfronterizos cuál es la autoridad competente que al final se encarga de imponer a las empresas dichas sanciones
En este escenario de un año que queda para la entrada de vigor de la nueva normativa europea en protección de datos este experto, Catedrático de Derecho Administrativo de la Universidad CEU San Pablo y Presidente de la Sección 3 de Derecho Público de la Comisión de General Codificación no cree que haya muchos cambios a nivel de sanciones en el propio texto del Reglamento “El futuro Comité Europeo de Protección de Datos, antes Grupo de Trabajo del Artículo 29 quizás podría fijar algunas directrices sobre esta cuestión sin menoscabar la potestad de las autoridades de control de cada país”.
Nuestro interlocutor confirma a CONFILEGAL que el nuevo texto de la Ley Orgánica de Protección de Datos (LOPD) en el que se avanza en estos momentos, se espera esté disponible para antes de la entrada en vigor del Reglamento Europeo de Protección de Datos, cumplidos los dictámenes e informes públicos que se requieren. Es bastante que en esa normativa se establezcan algunas pautas sobre el régimen sancionador nuevo que está por llegar.
Sobre las infracciones, habrá que ver si afecta a un único país o tiene relevancia trasnacional “en ese caso entraría en marcha todo el sistema de cooperación y coherencia para determinar quién es la autoridad competente para determinar la sanción. El procedimiento sancionador tendrá todas las garantías jurídicas para el denunciado y que pueda presentar alegaciones y tras su tramitación se pondrán las sanciones pertinentes”. En el Reglamento se indica que si no hay acuerdo entre las autoridades de control implicadas será este nuevo Comité Europeo de Protección de datos quien dictará la resolución vinculante.