Una de las novedades más relevantes y difundidas del RGPD , que comenzará a ser aplicable el próximo 25 de mayo, es la importancia de las sanciones que prevé para las infracciones de su contenido.
Como se ha destacado ya en muchas ocasiones, el artículo 83 de Reglamento prevé que las empresas que infrinjan lo dispuesto por el mismo, podrán ser sancionadas, dependiendo de la infracción que se cometa, con multas administrativas de hasta 20 millones de euros como máximo (o por un importe equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía).
Ello es reflejo del espíritu anglosajón que impregna todo el Reglamento, que deja gran libertad a los responsables del tratamiento para organizar su política de protección de datos, pero que prevé graves sanciones para el caso de que se incumplan sus prescripciones. No en vano el Considerando 7 del RGPD prevé que el establecimiento de un marco europeo de protección de datos "sólido y coherente" debe ir respaldado por una "ejecución estricta" de sus disposiciones, lo que puede incluir incluso sanciones penales, según sus Considerandos 149 y 152.
Por ello, a fin de poner de relieve la importancia que pueden llegar a alcanzar estas sanciones en la práctica, nos ha parecido un juego interesante intentar calcular el importe que habrían alcanzado algunas de las más recientes y difundidas multas impuestas a algunas muy conocidas empresas nacionales y extranjeras, de haberse cometido bajo la nueva normativa.
Naturalmente esto no deja de ser un pequeño divertimento con finalidad orientativa, al que hemos querido dotar del mayor rigor posible, si bien debemos advertir de que:
- A. Salvo que se indique lo contrario, no se han aplicado ninguna de las distintas circunstancias que según el art. 83.2 RGPD habrá que tener "debidamente en cuenta" para graduar la sanción a imponer "en cada caso individual". Sin embargo, para mayor claridad, se han incorporado las circunstancias que la propia AEPD o los tribunales han tenido en cuenta en cada caso.
- B. Por tanto, en cada uno de los casos que presentamos habrá de interpretarse dicho precepto a la luz del Considerando 148 cuando señala que debe prestarse "especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante".
- No hay que olvidar que el número 1 del artículo 83 establece igualmente que, al imponer estas multas, las autoridades de control deben garantizar que sean "en cada caso individual efectivas, proporcionadas y disuasorias".
- El buen criterio del lector sabrá aplicar esos principios a cada uno de los casos que aquí presentamos.
- C. En cambio hemos incluido una necesaria referencia a la tipificación de las infracciones y sanciones previstas en el proyecto de Ley Orgánica de Protección de Datos (LOPD), actualmente en tramitación en el Congreso.
- D. Finalmente, en cuanto al "volumen de negocio total anual global del ejercicio financiero anterior" al que se refiere el art. 83, números 4 y 5, se ha tenido en cuenta únicamente las cifras disponibles de 2016, que lógicamente no se corresponden exactamente con las del ejercicio anterior a aquel en el que se impusieron las respectivas sanciones, pero que nos han parecido las más útiles para un hipotético caso futuro.
Algunos casos (notables) recientes
A lo largo de los últimos meses la AEPD ha informado de la imposición de sanciones a varias de las grandes compañías tecnológicas, como Facebook, WhatsApp y Google, por diversas infracciones en materia de protección de datos de sus usuarios.
En concreto, destacan las sanciones de 1.200.000 € impuestas a Facebook por tratar datos, incluso de categoría especial, sin el consentimiento de sus titulares y la sanción de 300.000 euros a Google, por recoger datos de redes wifi con sus vehículos de Street View, sin el consentimiento de los titulares.
Igualmente, por tomar un ejemplo de empresa nacional, El Corte Inglés, fue sancionada por una infracción leve en la misma materia.
Veamos cómo podrían haber resultado estas sanciones de acuerdo con el RGPD.
1. Sanción a Facebook por una infracción muy grave y dos infracciones graves de la LOPD
Según la AEPD se trata de la sanción más elevada impuesta por este organismo a una entidad por un único procedimiento.
Dadas las circunstancias concurrentes en el caso, parece que de acuerdo con el RGPD el importe de la sanción también se acercaría a los máximos previstos (medidas de ponderación aparte).
|
Conductas imputadas |
||
|
— Tratar datos sensibles sin consentimiento de sus titulares |
||
|
|
Sanción conforme a la LOPD |
Sanción estimada conforme al RGPD |
|
1.200.000 € (600.000 +300.000 +300.000) |
1.075,4 millones de dólares (aproximadamente 872,07 millones de euros) (4% del volumen de negocio total anual global del ejercicio financiero anterior) (1) (2) |
|
|
Calificación de la infracción y normativa aplicada |
Infracción muy grave: Arts. 44.4 a) y 45 . 3 y 4 LOPD Infracciones graves: Arts. 44.3.b) y 45.2 y 4 LOPD RD 1720/2007 , en relación con el artículo 5 de la LOPD |
Tres infracciones de los principios básicos para el tratamiento de datos: Art. 83 5, letras a) y b) del RGPD, en relación con sus arts. 5, 6, 7 y 9 y 12 a 22. Infracciones muy graves según los arts. 72.1, letras a), b), c), d) y e) y 76 PLOPD |
|
Circunstancias concurrentes |
Tratamiento sin consentimiento de datos especialmente protegidos |
Tratamiento sin consentimiento de Categorías especiales de datos |
(1) La facturación de Facebook en 2016 fue de 26.885 millones de dólares. Fuente: Expansión
(2) El tipo de cambio Euro-dólar a 2 de abril era de 1.233
2. Sanción a Google por captar datos personales a través de redes WiFi con los coches de su servicio Street View
|
Conductas imputadas |
||
|
— Tratar datos personales sin el consentimiento de sus titulares Google recogió y almacenó datos personales (como direcciones de correo electrónico de personas físicas, códigos de usuario y contraseña que permiten el acceso a cuentas de correo electrónico, direcciones IP, direcciones MAC de los routers y de los dispositivos conectados a los mismos o nombres de redes inalámbricas (SSID) configurados con el nombre y apellidos de su responsable) transmitidos a través de redes WiFi abiertas sin que los afectados tuviesen conocimiento de dicha recogida y sin obtener el consentimiento de los mismos. |
||
|
|
Sanción conforme a la LOPD |
Sanción estimada conforme al RGPD |
|
300.000 € |
3.612 millones de dólares (aproximadamente 2.929 millones de euros) (4% del volumen de negocio total anual global del ejercicio financiero anterior) (1) (2). |
|
|
Calificación de la infracción y normativa aplicada |
Infracción grave Arts. 44.3.b) y 45.2 y 4 LOPD |
Infracción de los principios básicos para el tratamiento de datos Art. 83 5, letras a) y b) del RGPD, en relación con los arts. 5, 6 y 7 del mismo. Infracción muy grave Arts. 72.1, letras a) y b) y 76 PLOPD |
|
Circunstancias concurrentes |
Se ha considerado, entre otros factores, el carácter continuado de la infracción (desde mayo de 2008 a mayo de 2010), el volumen masivo de datos personales recogidos; la vinculación de la actividad de Google con la realización de tratamientos de datos de carácter personal; el volumen de negocio o actividad de la compañía considerando su modelo económico; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado por Google, así como el perjuicio que dicho sistema causa a la privacidad de las personas afectadas. No se ha constatado que Google tratase datos especialmente protegidos a través de estos sistemas. |
Las mismas que en la columna anterior |
(1) La facturación de Google durante el ejercicio de 2016 fue de 90.300 millones de dólares. Fuente, Expansión.
(2) El tipo de cambio Euro-dólar a 2 de abril era de 1.233.
3. Sanción a El Corte Inglés por ceder datos de sus clientes sin su consentimiento
Este es el caso que presenta una mayor diferencia entre la sanción impuesta conforme a la actual legislación (confirmada por la Audiencia Nacional) y la que podría recaer conforme al RGPD.
Por ello entendemos que la posibilidad de graduación de la sanción de la que dispone la AEPD, en virtud del artículo 45 de la LOPD , debería jugar con mayor intensidad, dada la naturaleza de los hechos y las medidas adoptadas por la empresa con carácter inmediato.
|
Conductas imputadas |
||
|
— Tratar datos personales sin el consentimiento de sus titulares La empresa “no ofrecía información sobre cuáles eran las empresas del Grupo a las que iban a ser cedidos los datos ni tampoco los concretos sectores de actividad de los que iba a recibir publicidad”, es decir, se infringió “el principio de información previa en la recogida de datos personales” |
||
|
|
Sanción conforme a la LOPD |
Sanción estimada conforme al RGPD |
|
10.000 € |
620,18 millones de euros (4% del volumen de negocio total anual global del ejercicio financiero anterior) (1) |
|
|
Calificación de la infracción y normativa aplicada |
Infracción leve Arts. 44.2.c) y 45.1.b) LOPD |
Infracción de los principios básicos para el tratamiento de datos Art. 83 5, letras a) y b) del RGPD, en relación con los arts. 5, 6 y 7 del mismo. Infracción muy grave Arts. 72.1, letras a) y b) y 76 PLOPD |
|
Circunstancias concurrentes |
El expediente sancionador se inició en virtud de denuncia de un interesado en marzo de 2014. En la fecha de comprobación de los hechos (agosto de 2014), el formulario de recogida de datos del cliente on-line no ofrecía información sobre cuáles eran las empresas del Grupo a las que iban a ser cedidos los datos, ni tampoco los concretos sectores de actividad de los que iba a recibir publicidad. Con posterioridad a los hechos, la política de privacidad de la misma página web ya había sido modificada y contenía una información distinta. Pero la fecha que debe tenerse en cuenta es la de la comisión y comprobación de los referidos hechos. |
Las mismas que en la columna anterior |
(1) La facturación de ECI durante el ejercicio de 2016 fue de 15.504,57 millones de euros. Fuente, Expansión
Para saber más:
Las sanciones en el RGPD: comentarios a las Directrices del Grupo de trabajo del artículo 29, de Miguel RECIO GAYO, Diario La Ley, Nº 12, Sección Ciberderecho, 29 de Noviembre de 2017.
COMPLYLAW PRIVACIDAD , herramienta que permite cumplir con las obligaciones derivadas del RGPD, de las directrices de la AEPD y de las autoridades europeas en esta materia (GT29) y de la ISO/29134 para las evaluaciones de impacto.
