viernes, 9 de febrero de 2018

CRITERIOS SANCIONADORES QUE USARAN LAS AUTORIDADES DE PROTECCION DE DATOS AL IMPONER SANCIONES

11 criterios sancionadores que usarán las autoridades de protección de datos al imponer sanciones

  • Sin duda, el tema de las sanciones es uno de los que más ha llamado la atención en la nueva regulación establecida por el RGPD. Te ofrecemos a continuación los criterios orientativos para determinar la imposición de una multa y la cuantía de la misma establecidos por el GT29, criterios que pueden ofrecer cierta previsibilidad sobre las consecuencias de una infracción a los responsables y encargados del tratamiento de datos.
Ante las grandes divergencias entre los regímenes sancionadores nacionales de la UE y a la vista de las cláusulas abiertas previstas en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (en lo sucesivo, RGPD), el Grupo de trabajo del art. 29 (en adelante GT29) adoptó en octubre de 2017 unas Directrices sobre la aplicación y fijación de multas administrativas a efectos del RGPD (LA LEY 6637/2016).
El GT29 ha indicado hasta once criterios orientaciones para determinar la imposición de una multa y la cuantía de la misma. Se trata de unos criterios que, si bien se dirigen a las autoridades de supervisión, son de especial interés también para los responsables y encargados del tratamiento, pues les permite poder tener cierta previsibilidad sobre las consecuencias de una infracción y, al mismo tiempo, seguridad jurídica.
Un análisis detallado de las sanciones en el RGPD, así como de todas las novedades que ofrece esta trascendental norma de aplicación directa en todos los Estados miembros de la Unión Europea, puedes encontrarla en el «Especial Protección de datos. Guía para afrontar la nueva regulación», 
Te ofrecemos a continuación las pautas previstas en el art. 83.2 del RGPD (LA LEY 6637/2016) que ha desarrollado el GT29 en los siguientes términos.
RGPD (LA LEY 6637/2016): Criterios del GT29 para determinar las multas y su cuantía
1 Naturaleza, gravedad y duración de la infracción
Al margen de la aparente contradicción en clasificación de infracciones graves y leves en el RGPD (LA LEY 6637/2016) y leves, graves y muy graves en el Anteproyecto de LOPD, las autoridades de supervisión tendrán que evaluar, separada o conjuntamente: a) por una parte, si se ha producido una infracción y; b) por otra parte, la sanción, ya sea una multa administrativa u otra, pudiendo ser esta última independiente o complementaria a la primera.
La gravedad de la infracción debe evaluarse en combinación con otros factores, incluyendo el GT29 en sus directrices los relativos al número de afectados, a la finalidad del tratamiento y al daño.
El GT29 considera que la duración puede ser indicativa de: a) una conducta intencionada del responsable del tratamiento, b) un fallo en la adopción de medidas preventivas apropiadas, o c) la incapacidad de adoptar las medidas técnicas y organizativas requeridas
2
Intencionalidad o negligencia en la infracción
Un ejemplo de infracción intencional que se apunta en las directrices es el relativo a la venta de datos personales para fines de marketing cuando se haga como si se hubiera obtenido el consentimiento (opt-in) sin comprobar o desatendiendo las consideraciones de los interesados sobre cómo deberían ser utilizados sus datos.
3
Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados
El GT29 apunta que la adopción de medidas o la falta de adopción de las mismas debe ser tenido en consideración por la autoridad de supervisión al decidir sobre la medida correctiva y el cálculo de la sanción que se imponga.
4
Grado de responsabilidad del responsable o encargado del tratamiento, según medidas técnicas u organizativas que hayan aplicado ex arts. 25 (LA LEY 6637/2016) y 32  RGPD (LA LEY 6637/2016)
El GT29 destaca que el RGPD (LA LEY 6637/2016) ha introducido un nivel mucho mayor de responsabilidad (accountability) para el responsable. Se concreta en la adopción de medidas técnicas y organizativas e implica que debe evaluar de manera constante los medios a los que recurre sobre la base de las conclusiones derivadas de las correspondientes evaluaciones. Hay que preguntarse, en qué medida el responsable «hizo lo que se podía esperar que hiciera» considerando la naturaleza, las finalidades o el tamaño de la organización, en virtud de las obligaciones impuestas por el RGPD (LA LEY 6637/2016), así como las buenas prácticas, los códigos de conducta y las certificaciones.
5
Toda infracción anterior cometida por el responsable o el encargado del tratamiento (reincidencia)
Toda infracción del RGPD (LA LEY 6637/2016), en sentido amplio, sería «relevante», tal y como resalta el GT29, para que la autoridad de supervisión realice su evaluación sobre si el responsable o el encargado del tratamiento tienen un nivel general de conocimiento insuficiente o son indiferentes ante las normas sobre protección de datos personales.
6
Grado de cooperación con la autoridad de control para poner remedio a la infracción y mitigar posibles efectos adversos de la infracción
Según el GT29, y ante el silencio del RGPD (LA LEY 6637/2016), dicha cooperación se deberá tener en consideración por las autoridades de supervisión a la hora de calcular la multa administrativa que se impondrá.
No obstante, cuando el responsable del tratamiento adopte medidas para evitar consecuencias en los derechos de las personas o minimizar el impacto que su infracción hubiera tenido en otro caso, entonces sí se tendrá en consideración para decidir sobre el tipo de medida correctiva sobre el mismo.
7
Categorías de los datos de carácter personal afectados por la infracción
El GT29 incluye cuestiones tales como si los datos personales están directamente disponibles sin medidas técnicas de protección o si se han cifrado, siendo esto más bien una cuestión relativa a las medidas técnicas que hubieran adoptado el responsable y encargado del tratamiento para proteger los datos personales y no a las categorías de datos personales afectados por la infracción
8
Forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida
En particular, el GT29 indica: a) por una parte, que la mera notificación de una violación de la seguridad de los datos personales no puede ser considerada como una atenuante o factor que mitigue la sanción por tratarse del cumplimiento de una obligación y; b) por otra parte, que debe considerarse la falta negligente de notificación o una notificación incompleta no puede dar lugar a que se cualifique la infracción como leve.
9
Cumplimiento de las medidas del art. 58.2 RGPD (LA LEY 6637/2016), cuando hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto
El GT29 recuerda a las autoridades de supervisión que tengan en cuenta las medidas previas que hubieran adoptado en relación con el responsable o encargado del tratamiento, así como los contactos previos, haciendo referencia expresa al delegado de protección de datos
10
Adhesión a códigos de conducta o a mecanismos de certificación
Como se ha señalado en el criterio 4, demuestran el grado de compromiso del responsable y encargado de tratamiento. Se regulan en los arts. 40 (LA LEY 6637/2016) y 42 RGPD (LA LEY 6637/2016), respectivamente.
11
Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso.
Por ejemplo, indica el GT29, los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción. En relación con esta previsión, el GT29 destaca que la obtención de un beneficio económico puede ser una prueba relevante de que debería imponerse una multa.
Fuente: Las sanciones en el RGPD (LA LEY 6637/2016): comentarios a las Directrices del Grupo de trabajo del artículo 29, Miguel RECIO GAYO (Diario La LEY, No 12, Sección Ciberderecho, 29 de Noviembre de 2017, Editorial Wolters Kluwer)

 

No hay comentarios:

Publicar un comentario

Gracias por opinar.