V. TRANSFERENCIAS INTERNACIONALES, LAS AUTORIDADES DE CONTROL Y EL PROCEDIMIENTO SANCIONADOR

3. EL PROCEDIMIENTO SANCIONADOR

En relación con el Procedimiento Sancionador se encuentra regulado en el Capítulo VIII relativo a los Recurso, Responsabilidad y Sanciones y en los artículos 79 a 84 y considerandos 145 a 152 del RGPD.

Artículo 82: Derecho a indemnización y responsabilidad

  1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
  2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
  3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho [1] que haya causado los daños y perjuicios.
  4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.
  5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.
  6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

Artículo 83: Condiciones generales para la imposición de multas administrativas

  1. Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.
  2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58 (Poderes), apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
    1. la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
    2. la intencionalidad o negligencia en la infracción;
    3. cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
    4. el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 (Protección de datos desde el diseño y por defecto) y 32 (Seguridad del tratamiento);
    5. toda infracción anterior cometida por el responsable o el encargado del tratamiento; f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
    6. las categorías de los datos de carácter personal afectados por la infracción;
    7. la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
    8. en caso de que las medidas indicadas en el artículo 58 (Poderes), apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
    9. la adhesión a códigos de conducta en virtud del artículo 40 (Códigos de conducta) o a mecanismos de certificación aprobados con arreglo al artículo 42 (Certificación), y
    10. cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
  3. Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.
  4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
    1. las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 y 43; 3
    2. las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
    3. las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
  5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
    1. los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
    2. los derechos de los interesados a tenor de los artículos 12 a 22 (ver nota al pie relación de arto);
    3. las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49 (ver nota al pie relación de arto);
    4. toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;
    5. el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.
  6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58 (Poderes), apartado 2 (Poderes correctivos), se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
  7. Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58 (Poderes), apartado 2 (Poderes correctivos), cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.
  8. El ejercicio por una autoridad de control de sus poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.
  9. Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control. En cualquier caso, las multas impuestas serán efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán a la Comisión las disposiciones legislativas que adopten en virtud del presente apartado a más tardar el 25 de mayo de 2018, y, sin dilación, cualquier ley de modificación o modificación posterior que les sea aplicable.

Artículo 84: Sanciones

  1. Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.
  2. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1, a más tardar el 25 de mayo de 2016, y, sin dilación, cualquier modificación posterior que les sea aplicable.

 

RESPONSABILIDAD E INDEMNIZACIÓN

En los art. 78, 79, 80 y 81 se establece el derecho de los interesados a presentar reclamaciones ante la autoridad de control, así como del derecho a la tutela judicial efectiva contra las decisiones de las autoridades de control o contra los responsables o encargados de tratamiento.

A través del art. 82 se regula el derecho a la indemnización y responsabilidad, estableciendo que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción RGPD tendrá derecho a recibir del responsable o del encargado una indemnización por los daños y perjuicios sufridos.

Respecto a la Responsabilidad, se establece que cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto en el RGPD. Por lo que respecta al encargado sólo responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD específicas de los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

Como vimos anteriormente en la figura del corresponsable, el mismo estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios, sin embargo si participa en la misma operación o tratamiento con otros responsables cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado, sin perjuicio de reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados.

Por último, y en relación con las indemnizaciones, las mismas deberán presentarse a través de las correspondientes acciones judiciales y se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro.

 

SANCIONES

En relación con la imposición de sanciones administrativas o multas, el art. 83 señala que cada autoridad de control garantizará que las imposiciones de las multas administrativas sean en cada caso individual efectivas, proporcionadas y disuasorias.

Los criterios a seguir para la imposición de las sanciones económicas serán los siguientes:

  1. Naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
  2. La intencionalidad o negligencia en la infracción;
  3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  4. El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 (Protección de datos desde el diseño y por defecto) y 32 (Seguridad del tratamiento);
  5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
  7. Las categorías de los datos de carácter personal afectados por la infracción;
  8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  9. En caso de que las medidas indicadas en el artículo 58 (Poderes), apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
  10. La adhesión a códigos de conducta o a mecanismos de certificación:
  11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Las sanciones se distinguen en función de la cuantía:

  1. Sanción con un máximo de 10.000.000 euros o el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Quedarán comprendidas en este grupo las infracciones siguientes:
    1. las obligaciones del responsable y del encargado siguientes:
      • Artículo 8: Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información Artículo 9 Tratamiento de categorías especiales de datos personales 66.
      • Artículo 11: Tratamiento que no requiere identificación.
      • Artículo 25: Protección de datos desde el diseño y por defecto.
      • Artículo 26: Corresponsables del tratamiento.
      • Artículo 27: Representantes de responsables o encargados del tratamiento no establecidos en la Unión.
      • Artículo 28: Encargado del tratamiento.
      • Artículo 29: Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.
      • Artículo 30: Registro de las actividades de tratamiento.
      • Artículo 31: Cooperación con la autoridad de control.
      • Artículo 32: Seguridad del tratamiento.
      • Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control.
      • Artículo 34: Comunicación de una violación de la seguridad de los datos personales al interesado.
      • Artículo 35: Evaluación de impacto relativa a la protección de datos.
      • Artículo 36: Consulta previa.
      • Artículo 37: Designación del delegado de protección de datos.
      • Artículo 38: Posición del delegado de protección de datos.
      • Artículo 39: Funciones del delegado de protección de datos.
      • Artículo 42: Certificación.
      • Artículo 43: Organismo de certificación.
    2. Las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43
    3. las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
  2. Sanciones con un máximo de 20.000.000 EUR o el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, quedando comprendidas las infracciones de las siguientes obligaciones:
    1. Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos:
      • Artículo 5: Principios relativos al tratamiento.
      • Artículo 6: Licitud del tratamiento.
      • Artículo 7: Condiciones para el consentimiento.
      • Artículo 9: Tratamiento de categorías especiales de datos.
    2. Los derechos de los interesados a tenor de los artículos:
      • Artículo 12: Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado.
      • Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado.
      • Artículo 14: Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado.
      • Artículo 15: Derecho de acceso del interesado.
      • Artículo 16: Derecho de rectificación.
      • Artículo 17: Derecho de supresión («el derecho al olvido»).
      • Artículo 18: Derecho a la limitación del tratamiento.
      • Artículo 19: Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
      • Artículo 20: Derecho a la portabilidad de los datos.
      • Artículo 21: Derecho de oposición.
      • Artículo 22: Decisiones individuales automatizadas, incluida la elaboración de perfiles.
    3. Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos:
      • Artículo 45: Transferencias basadas en una decisión de adecuación.
      • Artículo 46: Transferencias mediante garantías adecuadas.
      • Artículo 47: Normas corporativas vinculantes.
      • Artículo 48: Transferencias o comunicaciones no autorizadas por el Derecho de la Unión.
      • Artículo 49: Excepciones para situaciones específicas.
      • Toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX relativo a las situaciones específicas de tratamiento;
      • Artículo 85: Tratamiento y libertad de expresión y de información
      • Artículo 86: Tratamiento y acceso del público a documentos oficiales
      • Artículo 87: Tratamiento del número nacional de identificación
      • Artículo 88: Tratamiento en el ámbito laboral
      • Artículo 89: Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
      • Artículo 90: Obligaciones de secreto.
      • Artículo 91: Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.
    4. El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.

Así mismo el incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58 (Poderes), apartado 2 (Poderes correctivos), se sancionará con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En relación al sector público destaca la posibilidad de los Estados miembros de imponer multas administrativas a autoridades y organismos públicos establecidos en dichos Estados miembros.

Las imposiciones de las sanciones o multas de las Autoridades de Control deberán estar sujetas a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

 

CONCLUSIONES

  • Fundamentalmente se establecen 2 categorías de sanciones económicas: 10 millones de euros o el 2% del volumen de facturación o 20 millones de euros o el 4% del volumen de facturación.