Reglamento Protección de Datos de la UE: el nuevo régimen sancionador, multas de hasta 100 millones de euros.
Seguimos con esta pequeña colección de posts, iniciada con el referente a “Reglamento Protección de Datos UE: derecho de información mediante iconos gráficos”, en el que quiero comentar los aspectos más relevantes sobre el texto adoptado en el seno de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (más conocida como LIBE), y que, en caso de aprobarse, ya sea en el 2014 o 2015, sería el ya sumamente conocido como Reglamento de Protección de Datos de la Unión Europea.
El nuevo texto ha introducido también numerosas modificaciones en el régimen sancionador. En el libro “Comentarios prácticos a la Propuesta de Reglamento de Protección de Datos de la Unión Europea”, ya criticaba el régimen sancionador debido “a la deficiente relación de las infracciones que realiza la Propuesta, ya que parte de calificar como leves y graves aquellas que están relacionados con el ejercicio de los derechos ARCO, olvido y portabilidad, además de las que afecten a los tratamientos específicos regulados en el Capítulo IV, para tipificar cualquier vulneración del resto de la propuesta de Reglamento como muy grave. De esta forma, es lo mismo incumplir alguno de los elementos del principio de “Accountability” que realizar el tratamiento de datos sin consentimiento”.
Con el texto adoptado en el seno de la Comisión LIBE, concretamente el artículo 79, desaparece la tipificación de infracciones en leves, graves y muy graves, así como sus correspondientes sanciones, que iban en el texto anterior hasta 250.000 euros ó 0,5% del volumen de negocio de la empresa (leves), hasta 500.000 euros o 1% (graves), y hasta 1.000.000 de euros o 2% (muy graves).
En su lugar, se recoge ahora que las Autoridades de Control, en caso de incumplimiento, podrán imponer al menos una de las siguientes sanciones:
- Apercibimiento, para el caso de que sea el primer incumplimiento y no haya sido intencionado;
- Realización periódica de auditorías.
- Multa de hasta 100 millones de euros, o 5% del volumen de negocio.
Sobre esta última sanción, en el caso de que el responsable o encargado haya obtenido un Sello de Certificación, sólo será aplicable si ha habido intencionalidad o negligencia en el incumplimiento.
Como decía, no queda ni rastro de la tipificación de las infracciones, ni de la sanción que correspondía a cada una de ellas (por incumplimiento leve, grave o muy grave).
Asimismo, el apartado 7 del artículo 79, contiene un acto delegado a favor de la Comisión Europea para actualizar las cuantías económicas de las sanciones, teniendo en cuenta los criterios de los apartados 2 y 2c del citado precepto.
Podríamos pensar, que en esta delegación, estaría también incluida la labor de realizar la clasificación de las infracciones en leves, graves y muy graves, estableciendo las cuantías que corresponden a cada una de ellas, si bien, como digo, textualmente no aparece.
Sobre este particular, debemos tener en cuenta cinco circunstancias:
- Lo más lógico es que la tipificación apareciese en el texto definitivo. Si el Reglamento busca las mismas reglas para todos, el régimen sancionador, incluyendo infracciones y sanciones, no debe ser una excepción.
- A lo sumo, que lo hiciese la Comisión, y que no tardase mucho, ya que si el Reglamento entrase inmediatamente en vigor una vez aprobado, sin contemplar la tipificación de infracciones, estaríamos ante la situación de que los incumplimientos sobre el Reglamento, quedarían sin sanción, al no estar tipificadas las infracciones.
- Lo que no tendría sentido es que fuesen los Estados miembros los que realizasen la tipificación de infracciones (incluyendo la escala de sanción económica), ya que volveríamos a lo que tanto se ha criticado con la Directiva 95/46: un régimen no uniforme, pero referido a este ámbito.
Incluso podría afectar a la libre competencia, en el sentido de que las empresas se fuesen a aquellos países con menores sanciones económicas (como ocurre en la actualidad). Pensemos, por ejemplo, que en Portugal lo que está tipificado como grave, en Italia fuese leve. La sanción en caso de incumplimiento sería menor. - En relación con la cuestión anterior, el apartado 1 del artículo 79 establece que las Autoridades de Control de los Estados miembros deben cooperar para lograr una armonización en materia sancionadora. Entiendo que los mismos hechos sean tipificados de la misma forma, ya que la cuantía de la sanción dependerá de los criterios para graduar las sanciones.
- Por último, nuestro régimen sancionador no permite la indefinición que recoge ahora el artículo 79, sin tipificaciones y regulando únicamente una cuantía máxima. A este respecto, recordar que según el artículo 129 apartados 1 y 2 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común:
1. Sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley, sin perjuicio de lo dispuesto para la administración local en el título XI de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.
2. Unicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley.
Respecto a los apartados 2 y 2c, la mayor novedad aparece en este último, ya que desarrolla los criterios para graduar las sanciones:
Propuesta de Reglamento |
Texto LIBE |
Naturaleza, gravedad y duración de la infracción |
|
Intencionalidad o negligencia |
|
Grado de responsabilidad |
|
Reincidencia |
|
Cooperación con la Autoridad de control |
|
Beneficios como consecuencia de la infracción |
|
Naturaleza de los perjuicios causados |
|
Cualquier otra que sea relevante para determinar la antijuridicidad y culpabilidad |
|
Cumplimiento de la “Accountability” |
|
|
La categoría de datos afectados por el incumplimiento |
|
Medidas adoptadas para mitigar los perjuicios causados |
|
Las medidas técnicas y organizativas así como procedimientos adoptados sobre la PbD y PbD, seguridad, PIAS, existencia de DPO y la revisión del “compliance” de los PIAS |
|
La obstrucción a la función inspectora o auditoria de la Autoridad de Control |
|
Otros agravantes o atenuantes que sean de aplicación a cada caso |
Como se puede observar, la clausula abierta (cualquier medida que sea relevante para determinar la antijuridicidad y culpabilidad) desaparece aunque es sustituida por otra similar (agravantes y atenuantes), así como el cumplimiento del “accountability”. No obstante, se podría considerar que este último ha sido sustituido por el cumplimiento de la Privacidad por Diseño y por Defecto, medidas de seguridad e informes de impacto de privacidad (PIAS), designación de DPO, y revisión del “compliance” que se introducen como nuevo criterio de graduación.
Este último, la revisión del “compliance”, se trata de un artículo novedoso, correspondiéndole como numeración el 33.a (el 33 es el que regula los PIAS, los informes de evaluación de impacto de privacidad). Según este precepto, una vez que hayan transcurrido dos años desde que se realizase el PIA, se deberá realizar una revisión. Igualmente, se deberá llevar a cabo si no han transcurrido esos dos años y ha habido cambios en el tratamiento de los datos. Además, si existe un DPO, éste debe involucrarse en esta revisión, cuestión completamente lógica.
También aparecen el tipo de datos afectados –por lo que podemos deducir que cuando afecten el incumplimiento a datos especialmente protegidos, la sanción será mayor-, así como las medidas adoptadas para paliar los daños –se me ocurre la típica denuncia motivada de formularios que no contienen el derecho de información, sustituirlos por otros que sí los tengan mientras se tramita el procedimiento sancionador-.