Las multas por “pasar” de la protección de datos

Uno de los puntos que más alarma ha creado para las empresas con las salida del nuevo reglamento ha sido el de las sanciones.

Antes de la entrada en vigor del reglamento europeo muchas empresas hacían caso omiso a la protección de datos pues podían permitirse saltársela y pagar unas multas irrisorias por ello (en comparación con su volumen de negocio, claro está, para mi 40.000 euros es dinero, para Google, es calderilla). Esto cambia.

Por un lado, se podrá sancionar con una multa de un máximo de 10 millones de euros o, en caso de tratarse de una empresa, el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. ¡Y esta multa es la menos mala!

Estas sanciones se pueden dar por:

  • Vulnerar las obligaciones impuestas tanto para el responsable como para el encargado. Esta vulneración se daría en las siguientes circunstancias:
    • No se recaba el consentimiento del niño en relación con servicios de la sociedad de la información.
    • Se identifica al interesado cuando se realiza el tratamiento de datos que, de acuerdo con los fines para los que se tratan, no requieren de dicha identificación. Es decir, no hace falta que se le identifique, pero se le identifica. Sin más.
    • No se llevan a cabo medidas de responsabilidad proactiva en el tratamiento de los datos como son el registro de actividades de tratamiento, la protección de datos desde el diseño y por defecto, la seguridad de los datos personales, la notificación de una violación de la seguridad de los datos personales a la autoridad de control y al interesado, en su caso, o la evaluación de impacto con su correspondiente consulta previa a la autoridad de control cuando el tratamiento entrañe un alto riesgo.
    • No se llevan a cabo las obligaciones dispuestas en relación con la corresponsabilidad del tratamiento, los representantes del responsable o encargados del tratamiento no establecidos en la Unión Europea, y la regulación de la figura de los encargados del tratamiento según lo dispuesto en el artículo 28 del RGPD.
    • No se da una cooperación con la autoridad de control.
    • No se designa un delegado de protección de datos estando obligado a ello.
  • Vulnerar las obligaciones de certificación por parte de organismos que se dediquen a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para expedir y renovar dichas certificaciones
  • Vulnerar las obligaciones de supervisión de códigos de conducta por parte de los organismos que se dedican a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para realizar dicha supervisión.

Y por otro lado están las sanciones menos buenas, las que pueden llegar hasta un máximo de 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Estas multas se impondrán en los siguientes casos:

  • Por vulnerar los principios básicos del tratamiento. Esta vulneración se da cuando:
    • No se respetan los principio relativos al tratamiento (licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva).
    • No se cumple ninguna de las condiciones para que el tratamiento sea lícito, es decir, no existe una base jurídica que legitime el tratamiento.
    • No se cumplen las condiciones para el consentimiento del interesado para el tratamiento de sus datos personales.
    • Se tratan categorías especiales de datos personales cuando no concurre ninguna de las circunstancias legitimadoras para dicho tratamiento.
  • Por vulnerar los derechos de los interesados, aquellos conocidos como derechos ARCO como siglas de los derechos de Acceso, Rectificación, Cancelación y Oposición, pero que con la entrada en vigor del reglamento aumentaron a unos cuantos más quedando las siglas ligeramente desfasadas. Hoy en día son los siguientes: derecho de acceso, de rectificación, de supresión o derecho al olvido, a la limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones individuales automatizadas, incluyendo la elaboración de perfiles. Lo podríamos llamar ARSOLPON, pero no tiene tanto gancho, así que mejor los seguimos llamando derechos ARCO.
  • Por transferir datos a países ajenos a la Unión Europea y que no dispongan de un nivel de garantía adecuado.
  • Por incumplir alguna obligación en virtud del derecho de los estados miembros en relación con:
    • la libertad de expresión y de información;
    • el acceso público a documentos oficiales;
    • el tratamiento del número nacional de identidad;
    • el tratamiento en el ámbito laboral;
    • las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos;
    • las obligaciones de secreto;
    • las normas de protección de datos de iglesias y asociaciones religiosas.
  • Por incumplir una resolución o limitación del tratamiento por parte de la autoridad de control o no facilitarle a esta el acceso en el ejercicio de sus poderes de investigación.

Una vez visto esto, si, las multas son desproporcionadas, pero ten en cuenta que no se le va a poner una multa de 10 millones de euros a una papelería pequeña de barrio, sino que están más bien pensadas para grandes empresas a las que antes de la entrada en vigor del reglamento les importaba tan poco la protección de datos que era casi más beneficioso para ellas a nivel económico el seguir disponiendo a su antojo de los datos y pagar por el mal uso una multa (ridícula en comparación con sus volúmenes de venta) que el hecho de ponerse a hacer las cosas bien.

Ahora, con el aumento considerable en la cuantía de las sanciones, por lo menos se lo piensan dos veces antes de incumplir la normativa de protección de datos.