Multas administrativas y Reglamento Europeo de Protección de Datos

Se acerca la cuenta atrás de la adaptación de su empresa al reglamento europeo de protección de datos, 25 de mayo de 2018, es el plazo límite y por este motivo, les resumimos cuales han sido los criterios recientemente publicados por la Comisión Europea[1] para la aplicación y fijación de multas administrativas a efectos del cumplimiento del reglamento europeo.

Estos criterios deben utilizarlos las diferentes autoridades de control de los distintos Estados miembros, en España, la Agencia Española de Protección de Datos, con la finalidad de mejorar la aplicación y ejecución del reglamento europeo.

1. ¿Qué principios se han de seguir para la fijación de las multas en caso de infracción?

Los principales principios que se han de seguir por parte de las autoridades de control son los siguientes:

La infracción del Reglamento debe dar lugar a la imposición de «sanciones equivalentes».

Se debe evitar que las autoridades de control adopten medidas correctivas distintas de las adoptadas en otros países en casos similares, incluyendo las multas. Para poder imponer sanciones equivalentes por la comisión de la misma infracción se deberá intercambiar la correspondiente información entre las diferentes autoridades de control

Las multas administrativas deben ser «efectivas, proporcionadas y disuasorias».

Cuando entre las medidas correctivas seleccionadas para restablecer el cumplimiento de la normativa o castigar el comportamiento ilícito, se decida por una multa administrativa esta se debe imponer en base al principio de eficacia, proporcionalidad y disuasión.

Las autoridades de control tienen que hacer uso de unos planteamientos equilibrados en el uso de las medidas correctivas con la finalidad de obtener una reacción efectiva, disuasoria y proporcionada a la infracción.

La autoridad de control competente realizará una evaluación «de cada caso individual».

Después de la evaluación del caso concreto, la autoridad de control debe seleccionar las medidas más apropiadas que en algunos casos, supondrá la imposición de una multa administrativa adecuada y una medida correctiva de las previstas en el Reglamento y en otros, una multa administrativa sin medida correctiva.

2. ¿Qué criterios de evaluación se siguen para la imposición de una multa y graduación?

Los criterios que se atenderán serán los siguientes:

Naturaleza, gravedad y duración de la infracción.
La intencionalidad o negligencia en la infracción.
Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
Los factores agravantes y atenuantes son en principio idóneos para adaptar la cuantía de una multa a las circunstancias particulares del caso, no obstante, también se pueden usar para seleccionar la medida apropiada al caso concreto en caso de no optar por la multa.
El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.
Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
Las categorías de los datos de carácter personal afectados por la infracción.
La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
Cuando las medidas indicadas en el reglamento, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto.
La adhesión a códigos de conducta y/o a mecanismos de certificación.
Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

3. ¿Cuáles son las conclusiones?

Tras la lectura de las directrices las conclusiones que extraemos son las siguientes:

i)Las autoridades de control han de actuar de forma homogénea en materia de imposición de multas por la comisión de las mismas infracciones del reglamento europeo en diferentes países.

ii)La imposición de una multa no tiene que ser la única medida correctiva que se usa, ya que se ha de realizar una evaluación de cada caso concreto. Existen otras medidas correctivas como son advertencia ante posible infracción, apercibimiento en caso de infracción y cuando el responsable del tratamiento de los datos sea una persona física y la multa constituya una carga desproporcionada, la obligatoriedad de realizar determinadas acciones al responsable, la retirada de certificaciones, la suspensión de flujos de datos fuera de la Unión Europea.

iii) La participación del infractor e intencionalidad en la comisión de la infracción, así como, el carácter continuado de la infracción o duración y la obtención de beneficios económicos asociados son determinantes para la imposición de multas.

iv)Para determinar la naturaleza y gravedad se tendrá en cuenta el alcance, el propósito de la operación de tratamiento, el número de interesados afectados y el nivel de daños y perjuicios.

v) Las empresas deben ser responsables de adoptar las estructuras y los recursos adecuados a la naturaleza y a la complejidad de su negocio, <> para dar cumplimiento al reglamento europeo y mediante el enfoque del análisis de riesgos asociado a su actividad, con independencia de su tamaño y facturación.

vi) La escasez de recursos no se admite como escudo para vulnerar la normativa.

[1] http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360