El 25 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Se deroga la Directiva 95/46/CE, en adelante, el Reglamento, pero no será de aplicación hasta el 25 de mayo de 2018, por lo que hasta ese momento seguirá siendo de aplicación la Ley Orgánica 15/1999 de Protección de Datos de carácter Personal (En adelante, LOPD)

Es cierto que en el año 2016 veíamos muy lejana la aplicación del Reglamento, pero actualmente nos encontramos a apenas dos meses de su entera aplicación, y por ello debemos conocer que las sanciones por incumplimientos en el tratamiento de datos de carácter personal, van a cambiar.

¿Qué busca en sí el Reglamento?

El Reglamento busca la protección efectiva de los datos de carácter personal de las personas físicas, por lo que se ve reforzado el sistema sancionador en caso de incumplimiento.

Para una primera aproximación y posterior comparativa, debemos hacer referencia al tipo de infracciones que se pueden cometer actualmente, es decir, al tenor literal de la LOPD.

Atendiendo al artículo 44 de la Ley mencionada podemos encontrar: infracciones leves, entre otras, el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados por el propio interesado, infracciones graves, entre otras, la comunicación o cesión de los datos de carácter personal sin contar con la legitimación para ello e infracciones muy graves entre otras, la comunicación o cesión de datos de carácter personal sin contar con la legitimación para ello cuando dichos datos hagan referencia a la ideología, afiliación sindical, religión o creencias, al origen racial, a la salud y a la vida sexual y por último los datos referentes a la comisión de infracciones penales o administrativas.

Dependiendo del tipo de infracción cometida, la sanción varía:

En base al artículo 45 de la LOPD la cuantía de las sanciones expuestas anteriormente, variará atendiendo a los siguientes criterios: El carácter continuado de la infracción; el volumen de los tratamientos efectuados; la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal; el volumen de negocio o actividad del infractor; los beneficios obtenidos como consecuencia de la comisión de la infracción; el grado de intencionalidad; la reincidencia por comisión de infracciones de la misma naturaleza; la naturaleza de los perjuicios causados; la acreditación de que con anterioridad a los hechos constitutivos de la infracción, la entidad contaba con procedimientos adecuados para la recogida y tratamiento de estos datos de carácter personal, no pudiéndose imputar la anomalía a una falta de diligencia exigible al infractor y por último, cualquier otra circunstancia relevante para determinar la antijuricidad y culpabilidad de la actuación infractora.

Como podemos observar se puede sancionar entre un mínimo de 900 euros hasta un máximo de 600.000 euros.

Se endurecen las sanciones

Pero, ¿Qué modificaciones encontramos en el Reglamento en relación a las posibles infracciones y consecuentes sanciones aplicables?

Como bien hemos explicado anteriormente, el Reglamento ha endurecido las sanciones aplicables al incumplimiento en el tratamiento de datos de carácter personal aumentando, entre otras cosas, la cuantía de las sanciones impuestas por el incumplimiento de lo recogido en el Reglamento.

Observando el artículo 83 del Reglamento, podemos decir que tendrán consideración de infracciones leves, las no comprendidas en los artículos donde viene recogidas las infracciones graves y muy graves.

Por otro lado, podemos decir que entre otras, se considera infracción grave, tratar datos personales cuyos fines no requieren o ya no requieren la identificación de un interesado por el responsable y éste lleva a cabo dicha identificación.

Por último, apuntar que tendrá consideración de infracción muy grave, entre otras, no cumplir los principios básicos para el tratamiento de los datos de carácter personal. Esto quiere decir, que los datos han de ser tratados de manera lícita, leal y transparente en relación con el interesado. A su vez, dichos datos han de ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. Por otro lado, los datos han der ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, a su vez, deberán ser exactos y si fuera necesario, actualizados y conservados en un plazo limitado de tiempo y tratados con integridad y confidencialidad.

Al igual que en la LOPD, dependiendo del tipo de infracción cometida, la sanción variará.

Al tenor literal de lo recogido en el Reglamento, podemos decir que para las infracciones leves no se establece un rango mínimo en la cuantía de la multa estipulada, por lo que se deberá atender a las circunstancias de cada caso individual a y los siguientes criterios:

La gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido; La intencionalidad o negligencia en la infracción; Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados; El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado; Toda infracción anterior cometida por el responsable o el encargado del tratamiento; El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción; Las categorías de los datos de carácter personal afectados por la infracción; La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida; Cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas; La adhesión a códigos de conducta; Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Por último, y a efectos comparativos, me gustaría remarcar las noticias acontecidas en las que aparecen diferentes empresas de gran volumen, tales como Facebook y WhatsApp, sancionadas por el incumplimiento de lo estipulado en la Ley de Protección de Datos.

El pasado 11 de septiembre de 2017 tuvimos conocimiento a través de diferentes publicaciones de que la Agencia Española de Protección de Datos, en adelante AEPD, había impuesto una sanción de 1,2 millones de euros a Facebook al haber detectado dos infracciones graves y una grave en el tratamiento de datos personales.

La AEPD ha considerado que Facebook recopila, almacena y utiliza información de los usuarios para fines publicitarios sin haber obtenido la previa autorización para ello.

Al tenor literal del artículo 7 de la LOPD, existen diferentes datos que el legislador ha considerado tratar como datos especialmente protegidos, y por ello, el tratamiento de los mismos depende del cumplimiento de determinados requisitos, tales como, la necesidad de disponer del consentimiento expreso y por escrito del afectado cuando los datos tratados revelen aspectos sobre la ideología, afiliación sindical, religión y creencias.

En el caso que nos atañe, la AEPD ha considerado que la empresa Facebook ha obtenido información referente a la categoría de datos especialmente protegidos sin contar con el consentimiento expreso y por escrito del interesado.

A su vez, se ha considerado que la política de privacidad de Facebook contiene “expresiones genéricas y poco claras”, por lo que se considera que el interesado no termina de conocer con exactitud para qué están siendo recogidos dichos datos ni cómo van a ser almacenados.

Por otro lado, es importante mencionar que la AEPD también considera que  Facebook no cancela los datos personales cuando estos dejan de ser útiles para el fin para el que fueron recogidos, ni siquiera cuando el interesado solicita expresamente su eliminación. Por todo ello, la AEPD ha considerado multar a la empresa Facebook con 1,2 millones de euros por cometer dos infracciones graves (300.000 euros de multa por cada una de ellas) y una infracción muy grave (600.000 euros de multa).

Tras los hechos acontecidos, Facebook decidió hacer pública su política de privacidad y enseñar a los usuarios a cómo usarla.

Meses después, pero todavía siendo de aplicación la LOPD, en fecha 15 de marzo de 2018, hemos tenido conocimiento de que la AEPD ha decidido multar a Facebook (reincidente) y a WhatsApp debido a que la comunicación de datos realizada entre ambas empresas, no se ajustaba a lo exigido por la normativa española, toda vez que WhatsApp comunicaba datos a Facebook sin el consentimiento del interesado y Facebook trataba dichos datos cedidos ilícitamente para sus propios fines.

Multas a Facebook y WhatsApp

Por todo ello, la AEPD ha decidido multar a Facebook y WhatsApp con una multa de 300.000 euros a cada una, derivada de la comisión de una infracción grave tipificada en la LOPD.

Es importante saber, que tanto la normativa vigente, la LOPD como el Reglamento, contemplan determinadas circunstancias a las que hay que hacer referencia a la hora de concretar la sanción a imponer a cada caso de infracción de lo estipulado en la Ley.

Atendiendo la sanción impuesta, ésta ha sido la cuantía máxima aplicable a infracciones graves, es decir, 300.000 euros. Como bien hemos explicado, esta valoración podría haber sido debido a la calificación de Facebook como reincidente. Por ello, resulta importante saber que Facebook podría ser considerado como reincidente, y por ello verse agravada la multa impuesta.

Por último me gustaría que nos hiciéramos una pregunta, ¿Cuáles hubieran sido las cantidades por las que hubieran sido multadas ambas empresas si hubiera sido de aplicación el Reglamento de la Unión Europea?

Como bien hemos explicado, las multas recogidas en el Reglamento, dependiendo de la gravedad de la infracción, podrán alcanzar los 10.000.000 euros y en el caso de empresas, una cuantía equivalente al 2% como máximo del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía cuando estemos ante infracciones graves, modificándose esos valores y quedando 20.000.000 euros y 4% respectivamente, cuando se trate de infracciones muy graves.

Para calcular el volumen de negocio de una empresa, debemos calcular los ingresos que la empresa ha recibido durante todo el año, entendiéndose éstos como la parte de venta de productos o prestación de servicios ofrecida por la empresa, que por supuesto no deben incluir ni al IVA ni a los otros impuestos indirectos.

En conclusión, las multas que se van a imponer una vez sea de aplicación el Reglamento de la Unión Europea, son claramente superiores en cuanto a cuantía, por lo que las empresas han de estar preparadas para la aplicación de estas sanciones, debido que un incumplimiento de la Ley de Protección de datos puede suponer incluso el cierre de muchas empresas debido a la imposibilidad de hacer frente a las sanciones impuestas por parte de la AEPD.