Última revisión
datos
930 - ¿Qué consecuencias acarrea vulnerar la normativa de protección de datos personales?
Relacionados:
Vademecum: datos
Fecha última revisión: 07/10/2024
El RGPD y LOPDGDD establecen todo un sistema sancionador para las infracciones en materia de protección de datos.
El artículo 82 del RGPD reconoce el derecho a indemnización por los daños materiales e inmateriales sufridos como consecuencia de una infracción de la normativa en protección de datos por parte del responsable o encargado del tratamiento.
Por último, el art. 76 de la LOPDGDD determina los criterios de graduación de las sanciones.
El artículo 82 del RGPD reconoce el derecho a indemnización por los daños materiales e inmateriales sufridos como consecuencia de una infracción de la normativa en protección de datos por parte del responsable o encargado del tratamiento. Asimismo, estos sujetos también responderán de los daños y perjuicios causados en las operaciones de tratamiento que no cumplan con lo establecido en el RGPD, quedando exentos si demostraran que no son los responsables del hecho causante.
A este respecto es importante citar la sentencia del TJUE dictada en el asunto C-300/21, de 4 de mayo de 2023, ECLI:EU:C:2023:370, que se pronuncia sobre la interpretación del art. 82.1 del RGPD y entiende que la mera infracción de las disposiciones de dicho reglamento no es suficiente para reconocer un derecho a indemnización, si no que la interpretación literal del artículo nos lleva a entender necesarios tres requisitos:
- Tratamiento de datos personales en infracción de las disposiciones del RGPD.
- Daños y perjuicios sufridos por el interesado.
- Una relación de causalidad entre dicho tratamiento ilícito y esos daños y perjuicios.
Fundamentándose en lo anterior, se establece una regulación exhaustiva de un sistema sancionador que castiga la comisión de infracciones en materia de protección de datos, reconociendo la imposición de multas administrativas. A tal efecto, el artículo 83 del RGPD establece que la autoridad de control tiene que garantizar que las multas se apliquen de manera individual a cada caso, así como, que sean efectivas, proporcionadas y disuasorias. Asimismo, en su séptimo apartado indica que «Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro».
CUESTIÓN
Cuando se constata una violación de la seguridad de datos personales, ¿la autoridad de control debe imponer sanción en todos los casos?
No, y así se recoge específicamente en la STJUE asunto C-768/21, de 26 de septiembre de 2024, ECLI:EU:C:2024:785, que concluye que «en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular una multa administrativa, en virtud del citado artículo 58, apartado 2, cuando tal intervención no sea adecuada, necesaria o proporcionada para subsanar la deficiencia constatada y garantizar el pleno respeto de dicho Reglamento».
Esta norma termina su capítulo VIII, relativo a los «Recursos, responsabilidad y sanciones», con el artículo 84 del RGPD que reconoce la potestad de los Estados miembros para establecer sus propias normas en materia de sanciones aplicables a las infracciones de tal reglamento, «(...) en particular las infracciones que no se sancionen con multas administrativas de conformidad con el artículo 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias».
Atendiendo al citado precepto, el artículo 76 de la LOPDGDD recoge:
«1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.
4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.
Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos, se estará a su normativa de aplicación».