Novedades del Derecho Sancionador en materia de Protección de Datos con el nuevo Real Decreto-ley 5/2018

 

El Gobierno, mediante Real Decreto-Ley 5/2018, de 27 de julio (SP/LEG/24558), ha aprobado una serie de disposiciones tendentes a adaptar el ordenamiento jurídico interno a la normativa de la Unión Europea en materia de protección de datos y, concretamente, al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (SP/LEG/19835).

Aun cuando el Reglamento comunitario es directamente aplicable en España desde el 25 de mayo, este se remite a su desarrollo por los Estados miembros en determinados aspectos como la regulación del estatuto de las autoridades de control o la designación de la autoridad que representará al Estado miembro en el Comité Europeo de Protección de Datos.

Al margen de estas cuestiones de organigrama, lo más importante de este Real Decreto es, sin lugar a duda, la regulación de aspectos relativos al derecho sancionador que no aparecen recogidos en el Reglamento comunitario, como el propio procedimiento administrativo sancionador o la fijación de plazos de prescripción tanto de las infracciones como de las sanciones.

La urgente necesidad de adaptar la normativa interna al Reglamento europeo y de cubrir esos aspectos no regulados por aquel, unido al hecho de que se trate de aspectos no sujetos a reserva de la Ley Orgánica, justifica que el Gobierno haga uso de su facultad de legislar por Real Decreto-Ley.

La conjugación de ambas normas (comunitaria e interna) nos permite ofrecer los siguientes cuadros esquemáticos que tienen por objeto facilitar los aspectos esenciales del régimen sancionador: sujetos responsables, tipos infractores, modalidades de sanción y plazos de prescripción.

Para un estudio pormenorizado de la nueva regulación sobre protección de datos, os recomendamos nuestra Guía práctica publicada en diciembre de 2018, con Comentarios doctrinales, Textos legislativos, Formularios y Esquemas:

1. CUADRO DERECHO SANCIONADOR

 

TIPO INFRACTOR SUJETO RESPONSABLE CUANTÍA  SANCIÓN*

 

 

*Se aplicará la de mayor cuantía

PRESCRIPCIÓN INFRACCIÓN
Arts. 8, 11, 25 a 39, 42 y 43 del Reglamento (UE) 2016/679 Responsable y/o Encargado del Tratamiento Multa de hasta 10.000.000 € o (en caso de empresas)

 

 

Hasta 2 % del volumen de negocio total anual global del ejercicio financiero anterior

 

 

2 años
Arts. 42 y 43 del Reglamento (UE) 2016/679 Organismos de certificación Multa de hasta 10.000.000 € o (en caso de empresas)

 

 

Hasta 2 % del volumen de negocio total anual global del ejercicio financiero anterior

 

 

2 años
Art. 41.4 del Reglamento (UE) 2016/679 Autoridad de control Multa de hasta 10.000.000 € o (en caso de empresas)

 

 

Hasta  2% del volumen de negocio total anual global del ejercicio financiero anterior

 

2 años
Incumplimiento de los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los arts. 5, 6, 7 y 9 del Reglamento (UE) 2016/679 Responsable del Tratamiento Multa de hasta 20.000.000 € o (en caso de empresas)

 

 

Hasta 4 % del volumen de negocio total anual global del ejercicio financiero anterior

 

 

3 años
Incumplimiento de los derechos de los interesados a tenor de los arts. 12 a 22 del Reglamento (UE) 2016/679 Responsable del Tratamiento Multa de hasta 20.000.000 € o (en caso de empresas)

 

 

Hasta 4 % del volumen de negocio total anual global del ejercicio financiero anterior

 

 

3 años
Incumplimiento de disposiciones sobre transferencias internacionales de datos a tenor de los arts. 44 a 49 del Reglamento (UE) 2016/679 Responsable y/o Encargado del Tratamiento Multa de hasta 20.000.000 € o (en caso de empresas)

 

 

Hasta 4 % del volumen de negocio total anual global del ejercicio financiero anterior

 

 

3 años
Incumplimiento de disposiciones adoptadas por los Estados sobre tratamientos específicos (libertad de expresión, en ámbito laboral, documentos oficiales…) previstos en arts. 85 a 91 del Reglamento (UE) 2016/679 Responsable y/o Encargado del Tratamiento Multa de hasta 20.000.000 € o (en caso de empresas)

 

 

Hasta 4 % del volumen de negocio total anual global del ejercicio financiero anterior

 

3 años
Incumplimiento del deber de facilitar el acceso a la autoridad de control, conforme al art. 58.1 del Reglamento (UE) 2016/679 Responsable y/o Encargado del Tratamiento Multa de hasta 20.000.000 € o (en caso de empresas)

 

 

Hasta 4 % del volumen de negocio total anual global del ejercicio financiero anterior

 

3 años
Incumplimiento de Resoluciones de la autoridad de control a tenor del art. 58.2 del Reglamento (UE) 2016/679 Responsable y/o Encargado del Tratamiento Multa de hasta 20.000.000 € o (en caso de empresas)

 

 

Hasta 4 % del volumen de negocio total anual global del ejercicio financiero anterior

 

años

 

2. CUADRO DE PRESCRIPCIÓN DE LAS SANCIONES

 

IMPORTE DE LA SANCIÓN IMPUESTA PRESCRIPCIÓN DE LA SANCIÓN
Igual o inferior a 40.000 € 1 año
Entre 40.001 € y 300.000 € 2 años
Superior a 300.000 € 3 años

 

3. CIRCUNSTANCIAS PARA LA CONCRECIÓN DE LAS SANCIONES

 

Naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
Intencionalidad o negligencia en la infracción.
Medidas tomadas para paliar los daños y perjuicios sufridos por los interesados.
Grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.
Infracciones anteriores cometidas por el responsable o el encargado del tratamiento.
Grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos.
Categorías de los datos afectados por la infracción.
Notificación de la infracción por el propio responsable o el encargado y en qué medida.
Cumplimento de las medidas previamente dictadas por la Autoridad de control.
Adhesión a códigos de conducta o a mecanismos de certificación.
Beneficios obtenidos o pérdidas evitadas a través de la infracción.
Cualquier otro factor agravante o atenuante.