El régimen sancionador en el nuevo Reglamento europeo de protección de datos

El pasado mes de diciembre salió a la luz la última versión del Reglamento europeo de protección de datos que presumiblemente se publicará este año. El apartado de las multas es uno de los que más preocupa.

Aunque el texto que estamos manejando no es todavía el definitivo, hay un aspecto recurrente en la mayoría de los borradores y textos del nuevo Reglamento que hemos manejado: el régimen sancionador; las multas. El régimen sancionador se agrava y se vuelve mucho más exigente que el actual (procedente de la Directiva 95/46(CE) precisamente por los peligros y riesgos que acechan en estos tiempos a la privacidad y las posibilidades que las tecnologías de la información tienen para el tratamiento de grandes cantidades de datos personales.

Este es un aspecto que preocupa y mucho a las empresas.

Nuestra actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal establece un régimen sancionador muy duro, quizás el más exigente de los países de nuestro entorno y aunque su aplicación se ha basado siempre en criterios de proporcionalidad, a muchos siempre nos ha parecido desmesurado si lo comparamos con el régimen sancionador establecido en otros cuerpos normativos y aplicables a otras cuestiones más graves en proporción.

Nuestra LOPD contempla multas de hasta 600.000 euros y aunque esta cantidad no es ni mucho menos habitual sí marca un límite. Pues bien, el nuevo Reglamento habla de sanciones mucho más elevadas (algunos hablan de hasta 20 millones de euros) o hasta un porcentaje % de la facturación global de una compañía en todo el mundo (se habla de un 4%).

La cantidad es como para no tomar en cuenta la privacidad en la empresa.

En algún momento del texto que manejamos, se dice que las sanciones tendrán un carácter proporcional (sólo faltaba), progresivo y disuasorio lo cual nos retrotrae a los inicios de la LOPD y su aplicación práctica en los que la sombra de la multa era alargada y desde luego sirvió para obligar al cumplimiento a muchos.

No obstante, las  cantidades se fijarán en el texto definitivo cuya publicación se esperaba para marzo y ahora parece cada vez más lejana. En todo caso, parece que en este primer semestre tendremos el nuevo Reglamento aunque con la vacatio legis de dos años.

Serán las autoridades de control de cada estado, es decir, en el caso de España, la Agencia Española de Protección de Datos, la encargada de aplicar este régimen sancionador. En realidad creemos que en este aspecto, el procedimiento será muy similar al actual aunque bajo el paraguas normativo del Reglamento.

Se contempla también el derecho del interesado, es decir, del titular de los datos, a pedir una compensación al responsable del tratamiento o al encargado de tratamiento por los daños causados como consecuencia del incumplimiento de las obligaciones en materia de privacidad. Aunque esta es una novedad en la legislación europea, no lo es en nuestro sistema en el que es factible acudir a los Tribunales para reclamar dicha responsabilidad. Por ello, nuevamente nuestro sistema se asemeja mucho al que vendrá.

¿Qué podemos hacer ahora?
Sin un texto definitivo, es pronto para implementar los cambios que la normativa contempla. Los próximos dos años serán de información primero y adaptación después pero ya hay pasos que podemos adoptar en estos momentos desde las empresas:

  1. Puesto que en España partimos con cierta ventaja en este terreno (nuestra LOPD es una de la más exigentes y rigurosas), aquellos que no cumplan o cumplan parcialmente con la LOPD tienen una excelente oportunidad para ponerse al día. El cambio será mucho menos traumático.
  2. El tamaño no importa: lo importante es el tipo de tratamiento de datos. Más responsabilidad puede tener una pequeña empresa que se dedica al “big data” y a realizar perfiles para venderlos a las compañías para su publicidad que una gran factoría que fabrica piezas de repuestos.
  3. El cumplimiento formal no es cumplimiento. Tener un documento de seguridad y los ficheros declarados no es, como algunos piensan, cumplir con la Ley. El respecto a la privacidad tiene que formar parte de la cultura de la organización y estar presente en cláusulas, contratos, políticas internas y relaciones con terceros. La formación y sensibilización en este punto, son cruciales.

Iremos informando de las novedades del Reglamento que son muchas y también de sus incógnitas en lo que al régimen supranacional se refiere (un usuario podrá ejercitar sus derechos ante la autoridad de control de su propio país que puede ser distinta de la del responsable del tratamiento…. ) Pero esta, es otra historia…

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

H&A

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios