¿A qué sanciones me expongo si vulnero la nueva normativa?

Las empresas que incumplan el nuevo reglamento serán castigadas con sanciones económicas que pueden ascender hasta los veinte millones de euros o el 4% de la facturación anual.

Incumplir el nuevo Reglamento General de Protección de Datos (RGPD) puede salir caro a las empresas. La norma clasifica las infracciones en dos categorías distintas en función de su gravedad. Las menos graves se sancionan con hasta diez millones de euros o el 2% del volumen de facturación (la que sea más elevada de las dos), mientras que las más graves se castigan con multas que pueden alcanzar los veinte millones de euros o el 4% del volumen de facturación anual de la empresa.

“El RGPD establece una serie de facultades muy amplias para las autoridades de control, mucho más amplias que las existentes anteriormente, entre las que están las sanciones económicas. Las agencias de protección de datos podrán enviar requerimientos a las empresas, advertencias, apercibimientos e incluso órdenes de cese en determinadas actividades de tratamiento de datos personales”, explica Alejandro Padín, abogado del departamento de derecho mercantil de Garrigues y responsable del área de privacidad y protección de datos de la firma.

Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada una de las sanciones) se tienen en cuenta una serie de criterios de graduación; por ejemplo, el volumen de negocio de la empresa infractora, el grado de intencionalidad o si ha habido reincidencia en la infracción. También se valoran los perjuicios causados a las personas interesadas o si han resultado dañados también los intereses de terceras personas.

Grado de incumplimiento

“Un caso de incumplimiento leve sería, por ejemplo, no designar un delegado de protección de datos estando obligado a ello y un caso de incumplimiento grave sería, por ejemplo, tratar datos sin tener el consentimiento expreso del interesado u otra base legal suficiente, o tratar datos especialmente protegidos sin ajustarse a la legalidad, o también vulnerar los derechos de los interesados, como el derecho de acceso o el de cancelación”, comenta el experto de Garrigues.

La ley califica también como casos de incumplimiento leve la falta de consentimiento de padres o tutores cuando se ofrecen servicios a menores de edad o no notificar en tiempo y forma las violaciones de seguridad. Por ejemplo, la pérdida de un ordenador portátil con datos sensibles tiene que ser notificada ante la autoridad de control antes de que transcurran 72 horas -en el caso de España, la Agencia Española de Protección de Datos (AEPD)- y, también, ante los titulares de los datos extraviados).

En cuanto a los casos de incumplimiento grave, el RGPD incluye el incumplimiento de los principios básicos del tratamiento de datos, no cumplir una orden de la autoridad de control o la transferencia internacional de datos a un tercer país u organización que no ofrezca las garantías adecuadas.

Las empresas más vulnerables a la hora de caer en un incumplimiento de la nueva normativa son aquellas que tratan datos “a gran escala de forma habitual y sistemática”, explica el experto de Garrigues.

Por ejemplo, grandes compañías operadoras de servicios, empresas dedicadas al márketing digital, hospitales, colegios, sector financiero y asegurados… “El tratamiento de datos implica un riesgo en sí mismo, porque el dato es un activo muy sensible; cuantos más datos más riesgo se corre, y cuanto más intensivo es el tratamiento igualmente se incrementa el riesgo”, añade Alejandro Padín.

El RGPD prevé la posibilidad de que las sanciones económicas previstas sean reemplazadas por un apercibimiento, con el fin de que el infractor adopte las medidas correctoras que se le indiquen. No obstante, se trata de una medida excepcional y discrecional cuya aplicación queda en manos de la AEPD.

Cuando la agencia apercibe en lugar de imponer una sanción económica, la empresa en cuestión deberá acreditar el cumplimiento de las medidas correctoras que se le han especificado; en caso contrario, la AEPD ordenará la apertura de un procedimiento sancionador que podría derivar en la imposición de un castigo por una falta muy grave.

 

 

 

 

Fuente: expansion.com