¿Puede pasar una sanción de € 10.000 a otra superior a 600.000.000?
Según el actual régimen sancionador del Reglamento General de Protección de Datos (RGPD) se puede multiplicar por más de 10.000 el importe de las sanciones impuestas a las empresas por la anterior legislación sobre la materia. Una de los aspectos más relevantes y difundidos del RGPD, que se está aplicando desde el 25 de mayo 2018, es la importancia de las sanciones que prevé para las infracciones de su contenido.
El citado reglamento ha previsto que las empresas que infrinjan lo dispuesto por el mismo, podrán ser sancionadas, dependiendo de la infracción que se cometa, con multas administrativas de hasta 20 millones de euros como máximo, o por un importe equivalente al 4% del volumen de negocio total anual, optándose por la de mayor cuantía. Ello es reflejo del espíritu anglosajón que impregna todo el Reglamento, que deja gran libertad a los responsables del tratamiento para organizar su política de protección de datos, pero que prevé graves sanciones para el caso de que se incumplan sus prescripciones.
No en vano el RGPD ha previsto que el establecimiento de un marco europeo de protección de datos «sólido y coherente» debe ir respaldado por una «ejecución estricta» de sus disposiciones, lo que puede incluir incluso sanciones penales.
Por ello, a fin de poner de relieve la importancia que pueden llegar a alcanzar estas sanciones en la práctica, nos ha parecido un juego interesante intentar calcular el importe que habría alcanzado la multa que en su día se impuso a la conocida empresa El Corte Inglés, de haberse cometido la acción bajo la nueva normativa. Naturalmente esto no deja de ser un pequeño divertimento con finalidad orientativa, al que hemos querido dotar del mayor rigor posible, si bien advirtiendo diversas salvedades. No hay que olvidar que el RGPD establece igualmente que, al imponer las multas, las autoridades de control deben garantizar que sean «en cada caso individual efectivas, proporcionadas y disuasorias».
La citada empresa fue sancionada por una infracción leve. Veamos cómo podría haber resultado esta sanción de acuerdo con el RGPD. Es un caso que presenta una mayor diferencia entre la sanción impuesta conforme a la antigua legislación (confirmada por la Audiencia Nacional) y la que podría recaer conforme siguiendo al RGPD.
La conducta imputada es la de tratar datos personales sin el consentimiento de sus titulares. La empresa “no ofrecía información sobre cuáles eran las empresas del Grupo a las que iban a ser cedidos los datos ni tampoco los concretos sectores de actividad de los que iba a recibir publicidad”, es decir, se infringió “el principio de información previa en la recogida de datos personales”.
Según la LOPD la acción se consideraba como una infracción leve y se sancionaba con 10.000 €. Mientras que el RGPD estaría clasificada como una infracción de los principios básicos para el tratamiento de datos. La infracción sería muy grave y su sanción correspondía a la aplicación del 4% del volumen de negocio total anual global del ejercicio financiero anterior, valorada en 620,18 millones de euros.
En FFACT, en el apartado TO THE EXCELLENCE encontrará un interesante cuestionario de 40 preguntas sobre “la protección de los datos y el comercio electrónico”, que le ayudará a reflexionar sobre este importante tema.
Feliz semana a tod@s.