Facilités des recours et lourdeurs des sanctions

Facilidad de apelación y severidad de las sanciones

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

A pesar de su inteligencia y coherencia, a pesar de la unidad de todos los países de la Unión Europea a la hora de hacer conocer y aplicar sus disposiciones, el RGPD, como cualquier reglamento, carecería de credibilidad, y por tanto de eficacia, si no fuera acompañado de la posibilidad de importantes sanciones en caso de incumplimiento por parte de quienes deberían aplicarlo.

Fieles a la preeminencia que otorgan a las personas sobre las organizaciones, los redactores han previsto recursos fáciles de implementar y que probablemente den lugar a condenas y sanciones en caso de mala conducta demostrada. El artículo 77 es claro al respecto: «...todo interesado tendrá derecho a presentar una reclamación ante una autoridad de control... si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento». Y si la decisión de la autoridad de control, que dispone de tres meses para tramitar la solicitud, no satisface al interesado, este puede interponer un recurso judicial (artículo 78).

No obstante, la acción también puede interponerse directamente contra el responsable del tratamiento. El título del artículo 79 no deja lugar a dudas al respecto: «Derecho a la tutela judicial efectiva contra el responsable o el encargado del tratamiento». El apartado 1 especifica: «...todo interesado tiene derecho a la tutela judicial efectiva si considera que se han vulnerado sus derechos en virtud del presente Reglamento...».

Por lo tanto, podemos observar que es muy fácil iniciar acciones, primero administrativas y luego posiblemente judiciales, contra una entidad o persona que trate datos. Basta con que el interesado considere que el tratamiento no ha sido conforme para actuar. Puede actuar solo o estar representado por «una entidad, organización o asociación sin ánimo de lucro... cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados...» (art. 80-1). Mejor aún, «los Estados miembros podrán disponer que cualquier entidad, organización o asociación, independientemente de cualquier mandato encomendado por un interesado, tenga, en el Estado miembro de que se trate, el derecho a presentar una reclamación ante la autoridad de control...» (art. 80-2). En otras palabras, el RGPD deja en manos de los Estados miembros la facultad de otorgar a una estructura especializada el derecho a iniciar procedimientos por sí misma, incluso si no ha sido interpuesta por un particular.

Estas disposiciones dejan también la puerta abierta a las acciones colectivas, ya introducidas en Francia por la ley Hamon de 2014 y luego por la ley del 18 de noviembre de 2016, conocida como la "modernización de la justicia en el siglo XXI".mi Esta última ley solo permite la cesación del delito. El RGPD abre la posibilidad de una indemnización, aunque esta parezca más individual que colectiva.

En efecto, después del derecho de recurso, se establece a su vez el derecho a indemnización: «Toda persona que haya sufrido daños materiales o morales como consecuencia de una infracción del presente reglamento tiene derecho a obtener del responsable o del encargado del tratamiento una indemnización por el daño sufrido» (art. 82-1).

¿Quién pagará esta compensación? La cuestión es clara: «Todo responsable que participe en el tratamiento será responsable de los daños causados por el tratamiento que constituya una infracción del presente Reglamento. El encargado del tratamiento solo será responsable de los daños causados por el tratamiento si no ha cumplido las obligaciones establecidas en el presente Reglamento» (art. 82-2). Cualquiera de las partes puede demostrar la ausencia de culpa: «El responsable o el encargado del tratamiento quedarán exentos de responsabilidad en virtud del apartado 2 si prueban que el hecho causante del daño no les es en modo alguno imputable» (art. 82-3).

Cuando intervengan varios agentes, «cada uno de los responsables o encargados del tratamiento será responsable de la totalidad del daño a fin de garantizar al interesado una indemnización efectiva» (art. 82-4). Esto no impide, por tanto, la indemnización: «Cuando un responsable o encargado del tratamiento haya indemnizado íntegramente el daño sufrido, de conformidad con el apartado 4, tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en el mismo tratamiento la parte de la indemnización que les corresponda por el daño» (art. 82-5).

Una vez establecidas las responsabilidades, ¿cómo se pueden imponer sanciones? La autoridad de control tiene todas las facultades necesarias para instar al responsable o encargado del tratamiento de datos, incluyendo la imposición de una limitación o prohibición del tratamiento, la orden de rectificación o supresión de datos personales, la suspensión de transferencias, la revocación de la certificación y la imposición de una multa administrativa (artículo 58-2).

El artículo 83 establece las condiciones para las multas administrativas, que deben ser proporcionadas y disuasorias (art. 83-1). Los 11 criterios enumerados en el apartado 2 del artículo para decidir si se impone una multa administrativa indican que cada sanción se determinará caso por caso, teniendo en cuenta, por supuesto, si la infracción se cometió de forma deliberada o negligente. Los apartados 4 y 5 enumeran las posibles infracciones y determinan el importe máximo de las multas: hasta 20.000.000 € o, para una empresa, hasta 4,1 billones de euros de su facturación mundial anual, la cantidad que sea mayor. Cabe señalar que multas de tal importe pueden socavar gravemente la estabilidad de una empresa (a título informativo, las sanciones máximas aplicadas por la CNIL en los últimos años ascendieron a 150.000 €).

En cuanto a los recursos que se podrían solicitar, y obtener, en caso de acción judicial, ya sea contra la decisión de la autoridad de control o contra el responsable del tratamiento o el encargado del tratamiento, podemos asumir que también serán “proporcionados y disuasorios” (estas dos palabras juntas suenan como un oxímoron, pero claramente no están en el espíritu del RGPD).

La autoridad de control es, por lo tanto, omnipotente, lo que, por cierto, convierte a este tipo de organismo en instituciones que combinan tres poderes: legislativo (aunque solo propongan la ley), ejecutivo y judicial, generalmente separados en las grandes democracias. El simple incumplimiento de un requerimiento judicial emitido por la autoridad de control en virtud del artículo 58-2 puede resultar en la multa máxima (artículo 83-5). En caso de tratamiento transnacional, la sanción será adoptada conjuntamente por las autoridades de control correspondientes.

Los Estados miembros podrán decidir otras sanciones, «en particular por las infracciones que no estén sujetas a las multas administrativas previstas en el artículo 83» (art. 84-1).

Recordemos una vez más el principio básico: toda persona debe conservar la propiedad y el control de sus datos personales. Cualquier organización que viole este principio podrá ser sancionada.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES