Sanciones y medidas correctivas en caso de incumplimiento de la normativa de protección de datos

• Autor: Alberto Palomar (Magistrado de lo contencioso-administrativo) y Javier Fuertes (Magistrado)

Las sanciones y medidas correctivas en caso de incumplimiento de la normativa de protección de datos son aquellas consecuencias, económicas y de otro tipo, establecidas infracciones muy graves son las acciones y omisiones contrarias a lo establecido en la regulación legal en materia de Protección de Datos de Carácter Personal.

Contenido 1 Sanciones y medidas correctivas en el Reglamento 2016/679/UE y en la LOPD-GDD/2018 1.1 Condiciones generales y tipos de sanciones en el Reglamento 2016/679/UE 1.2 Criterios de graduación de las sanciones en el Reglamento 2016/679/UE 1.3 Importe de las sanciones en el Reglamento 2016/679/UE 1.4 Sanciones no económicas en el Reglamento 2016/679/UE 1.5 Multas a autoridades y organismos públicos en el Reglamento 2016/679/UE 1.6 Inexistencia de multas y aplicación del Reglamento 2016/679/UE 2 Ver también 3 Recursos adicionales 3.1 En doctrina 3.2 En dosieres legislativos 4 Legislación básica 5 Legislación citada

Sanciones y medidas correctivas en el Reglamento 2016/679/UE y en la LOPD-GDD/2018 Condiciones generales y tipos de sanciones en el Reglamento 2016/679/UE

El art. 83.1 del Reglamento 2016/679/UE, de 27 de abril, establece, como premisa y condición general para la imposición de multas administrativas en este ámbito, que cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

Téngase en cuenta que en el Considerando 149 del Reglamento 2016/679/UE, de 27 de abril se señala:

Los Estados miembros deben tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límite. (...) Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento. (...) No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales y de sanciones administrativas no debe entrañar la vulneración del principio ne bis in idem, según la interpretación del Tribunal de Justicia.

Multas administrativas que se impondrán:

• En función de las circunstancias de cada caso individual

• A título adicional o sustitutivo de las medidas (poderes correctivos) que se atribuyen a las autoridades de control (art. 58.2 del Reglamento 2016/679/UE, de 27 de abril).

Cabe citar el art. 58.2 del Reglamento 2016/679/UE, de 27 de abril, en el que se establece que cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los arts. 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al art. 17, apartado 2 y al art. 19;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los arts. 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al art. 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

El Tribunal de Justicia en el asunto C-768/21 ^{[j 1]} establece que, en caso de que se constate una violación de la seguridad de datos personales, la autoridad de control no está obligada a adoptar una medida correctora, en particular a imponer una multa administrativa, cuando ello no sea necesario para subsanar la deficiencia constatada y garantizar el pleno respeto del Reglamento 2016/679/UE, de 27 de abril.

Criterios de graduación de las sanciones en el Reglamento 2016/679/UE

En el art. 83.2 del Reglamento 2016/679/UE, de 27 de abril, se determinan los criterios de graduación que habrán de tenerse en cuenta (“se tendrá debidamente en cuenta” en términos del Reglamento) al decidir la imposición de una multa administrativa y para fijar su cuantía:

• La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

• La intencionalidad o negligencia en la infracción;

• Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

• El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los arts. 25 y 32;

• Toda infracción anterior cometida por el responsable o el encargado del tratamiento;

• El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

• Las categorías de los datos de carácter personal afectados por la infracción;

• La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

• Cuando las medidas correctivas hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;

• La adhesión a códigos de conducta en virtud del art. 40 o a mecanismos de certificación aprobados con arreglo al art. 42;

• Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

En este sentido, el art. 76.1 de la LOPD-GDD/2018 establece que se aplicarán los criterios de graduación establecidos en el art. 83.2 del Reglamento 2016/679/UE, de 27 de abril, y que, de acuerdo a lo previsto en el art. 83.2.k) del propio Reglamento (cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso) también podrán tenerse en cuenta:

a) El carácter continuado de la infracción.

b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.

d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

e) La existencia de un proceso de fusión por absorción...