Sanciones y medidas correctivas en caso de incumplimiento de la normativa de protección de datos

Autor:Alberto Palomar (Magistrado y Profesor Titular -Acred- de Derecho administrativo ) y Javier Fuertes (Doctor en Derecho. Magistrado suplente)
 
EXTRACTO GRATUITO

Las sanciones y medidas correctivas en caso de incumplimiento de la normativa de protección de datos son aquellas consecuencias, económicas y de otro tipo, establecidas infracciones muy graves son las acciones y omisiones contrarias a lo establecido en la regulación legal en materia de Protección de Datos de Carácter Personal.

Contenido
  • 1 Sanciones y medidas correctivas en la LOPD/1999
    • 1.1 Multas en la LOPD/1999
    • 1.2 Criterios de graduación en la LOPD/1999
    • 1.3 Supuestos de minoración en la LOPD/1999
  • 2 Sanciones y medidas correctivas en el Reglamento 2016/679/UE y en el Proyecto LOPD/2018
    • 2.1 Condiciones generales y tipos de sanciones en el Reglamento 2016/679/UE
    • 2.2 Criterios de graduación de las sanciones en el Reglamento 2016/679/UE
    • 2.3 Importe de las sanciones en el Reglamento 2016/679/UE
    • 2.4 Sanciones no económicas en el Reglamento 2016/679/UE
    • 2.5 Multas a autoridades y organismos públicos en el Reglamento 2016/679/UE
    • 2.6 Inexistencia de multas y aplicación del Reglamento 2016/679/UE
  • 3 Ver también
  • 4 Recursos adicionales
    • 4.1 En doctrina
    • 4.2 En dosieres legislativos
  • 5 Legislación básica
  • 6 Legislación citada
Sanciones y medidas correctivas en la LOPD/1999 Multas en la LOPD/1999

El art. 45 LOPD/1999 establece un marco económico a las infracciones en función de su grado, de manera que:

  • Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  • Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
  • Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
Criterios de graduación en la LOPD/1999

Como criterios para la graduación de las sanciones el art. 45.4 de la LOPD/1999 establece los siguientes:

a) El carácter continuado de la infracción.

b) El volumen de los tratamientos efectuados.

c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) El volumen de negocio o actividad del infractor.

e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

f) El grado de intencionalidad.

g) La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
Supuestos de minoración en la LOPD/1999

El art. 45.5 LOPD/1999 establece, como norma que ha de seguir el órgano sancionador, los supuestos en los que la cuantía de la sanción habrá de establecerse aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.

Son, por tanto, supuestos en los que los que se rebaja (un grado) la cuantía de la sanción a imponer:

  • Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios de graduación del art. 45.4 LOPD/1999 .
  • Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  • Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
  • Cuando el infractor haya reconocido espontáneamente su culpabilidad.
  • Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Sanciones y medidas correctivas en el Reglamento 2016/679/UE y en el Proyecto LOPD/2018 Condiciones generales y tipos de sanciones en el Reglamento 2016/679/UE

El art. 83.1 del Reglamento 2016/679/UE, de 27 de abril , establece, como premisa y condición general para la imposición de multas administrativas en este ámbito, que cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente art. por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

Téngase en cuenta que en el Considerando 149 del Reglamento 2016/679/UE, de 27 de abril se señala:

Los Estados miembros deben tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límite. (...) Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento. (...) No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales y de sanciones administrativas no debe entrañar la vulneración del principio ne bis in idem, según la interpretación del Tribunal de Justicia.

Multas administrativas que se impondrán:

  • En función de las circunstancias de cada caso individual

Cabe citar el art. 58.2 del Reglamento 2016/679/UE, de 27 de abril , en el que se establece que cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los arts. 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al art. 17, apartado 2 y al art. 19 ;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los arts. 42 y 43 , u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al art. 83 , además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
Criterios de graduación de las sanciones en el Reglamento 2016/679/UE

En el art. 83.2 del Reglamento 2016/679/UE, de 27 de abril , se determinan los criterios de graduación que habrán de tenerse en cuenta (“se tendrá debidamente en cuenta” en términos del Reglamento) al decidir la imposición de una multa administrativa y para fijar su cuantía:

  • La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
  • La intencionalidad o negligencia en la infracción;
  • El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los arts. 25 y 32 ;
  • Toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  • El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
  • Las categorías de los datos de carácter personal afectados por la infracción;
  • La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  • Cuando las medidas correctivas hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
  • Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

En este sentido, el art. 76.1 del Proyecto LOPD/2018 establece que se aplicarán los criterios de graduación establecidos en el art. 83.2 del Reglamento 2016/679/UE, de 27 de abril , y que, de acuerdo a lo previsto en el art. 83.2.k) del propio Reglamento (cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso) también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
Importe de las sanciones en el Reglamento 2016/679/UE

Sin hacer uso para la cuantificación de las multas de la terminología a la que estamos acostumbrados, el art. 83 del Reglamento 2016/679/UE, de 27 de abril , determina los marcos económicos en función del tipo y naturaleza de las diferentes conductas que se califican como conductas infractoras.

Como norma de equilibrio y proporcionalidad se establece que, para los casos de incumplimiento de forma intencionada o negligente de diversas disposiciones del Reglamento para las mismas operaciones de tratamiento u operaciones vinculadas, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves ( art. 83.3 delReglamento 2016/679/UE, de 27 de abril ).

De esta forma, se establecen dos niveles o grados en cuanto a la cuantía de las sanciones a imponer:

  • Multas de hasta 10.000.000 euros o, en el caso de empresas, de hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior (optándose por la de mayor cuantía), aplicables a:

a) las obligaciones del responsable y del encargado a tenor de los arts. 8 , 11 , 25 a 39 , 42 y 43 ;

b) las obligaciones de los organismos de certificación a tenor de los arts. 42 y 43 ;

c) las obligaciones de la autoridad de control a tenor del art. 41, apartado 4 .
  • Multas de hasta 20.000.000 euros o, en el caso de empresas, de hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior (optándose por la de mayor cuantía), aplicables a:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los arts. 5 , 6 , 7 y 9 ;

b) los derechos de los interesados a tenor de los arts. 12 a 22 ;

c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los arts. 44 a 49 ;

d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX ;

e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al art. 58, apartado 2 , o el no facilitar acceso en incumplimiento del art. 58, apartado 1 .

f) El incumplimiento de las resoluciones de la autoridad de control ( art. 58.2 del Reglamento 2016/679/UE, de 27 de abril ).

El art. 76.4 del Proyecto LOPD/2018 determina, en el caso de sanciones de multa impuestas por la Agencia Española de Protección de Datos a personas jurídicas y cuyo importe supere el millón de euros, la publicación en el Boletín Oficial del Estado de la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta.

Sanciones no económicas en el Reglamento 2016/679/UE

El Reglamento 2016/679/UE, de 27 de abril contiene, al lado de las sanciones de tipo económico otras de diversa naturaleza, como es el caso de las advertencias y los apercibimientos, imponer la limitación del tratamiento (de forma temporal o definitiva), retirar certificaciones o suspender los flujos internacionales de datos .

Así, el art. 76.3 del Proyecto LOPD/2018 dispone:

Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el art. 83.2 del Reglamento 2016/679/UE .

En este sentido, resulta necesario tener presente que el art. 58.2 del Reglamento 2016/679/UE, de 27 de abril , otorga las autoridades de control, en su territorio, una serie de poderes de carácter correctivo, como son:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los arts. 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo al art. 17, apartado 2 , y al art. 19 ;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los arts. 42 y 43 , u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al art. 83 , además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

Sobre las sanciones de naturaleza distinta a la económica el art. 84.1 del Reglamento 2016/679/UE, de 27 de abril , dispone:

  • Se adoptarán todas las medidas necesarias para garantizar su observancia,
  • Dichas sanciones serán efectivas, proporcionadas y disuasorias.

Sobre este particular el art. 84.2 del Reglamento 2016/679/UE, de 27 de abril , dispone que cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.

Multas a autoridades y organismos públicos en el Reglamento 2016/679/UE

El art. 83.7 del Reglamento 2016/679/UE, de 27 de abril establece que, sin perjuicio de los poderes correctivos de las autoridades de control, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

Así, el art. 77.2 del Proyecto LOPD/2018 dispone que cuando los responsables de las infracciones tuvieran naturaleza pública la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

Inexistencia de multas y aplicación del Reglamento 2016/679/UE

El art. 83.9 del Reglamento 2016/679/UE, de 27 de abril, contiene una previsión específico conforme a la cual:

Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente art. podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable.
Ver también

Recursos adicionales

Jurisprudencia, Doctrina y Modelos en vLex.com en la voz Protección de datos de carácter personal

Jurisprudencia, Doctrina y Modelos en vLex.com en la voz Protección de datos personales

En doctrina En dosieres legislativos Legislación básica

Legislación citada

Para continuar leyendo

SOLICITA TU PRUEBA GRATIS