Infracciones y sanciones en la protección de datos: Derecho a indemnización y responsabilidad

La protección de datos de carácter personal es un derecho fundamental que debe ser protegido por quienes ejercen una actividad que conlleva el tratamiento de datos de carácter personal.

Esta protección de datos es considerada en nuestro ordenamiento jurídico de obligado cumplimiento, lo que implica que en caso de poner en riesgo los datos personales de los afectados e ignorar e infringir lo dispuesto en las disposiciones legales, tiene como consecuencia la imposición de multas administrativas como sanción.

Estas infracciones pueden iniciarse de oficio por las autoridades competentes en materia de protección de datos o ponerse de manifiesto a instancia de parte del interesado que considera desprotegidos sus datos personales, habiendo sido violados sus derechos y libertades fundamentales en materia de datos de carácter personal.

En este último caso, el interesado podrá interponer una reclamación ante la autoridad de control en el Estado miembro de la Unión Europea donde tenga su residencia habitual, lugar de trabajo o donde se produzca la infracción, sin perjuicio de cualquier otro recurso administrativo o acción judicial que corresponda. En España las reclamaciones o denuncias en materia de protección de datos se interponen en la Agencia Española de Protección de Datos a través de su sede electrónica o presencialmente, ya que tiene establecido un canal de denuncias.

Infringidas las obligaciones en materia de protección de datos de carácter personal, la autoridad de control aplicará como sanción a tales infracciones unas multas administrativas, teniendo en cuenta cada caso en concreto para determinar su cuantía.

Las multas administrativas deberán ser efectivas, proporcionadas y disuasorias, teniendo en cuenta, conforme al art. 83 del Reglamento (UE) 2016/679, entre otros, los siguientes factores:

• La naturaleza, gravedad y duración de la infracción, el número de afectados y el nivel de daños y perjuicios causados a los interesados.
• El grado de intención y voluntariedad o negligencia de la comisión de la infracción.
• Las medidas adoptadas por el responsable del tratamiento o su encargado para mitigar los daños causados a los afectados.
• Las medidas técnicas y organizativas que hayan aplicado para eliminarlo o disminuir los riesgos ocasionados por la infracción cometida.
• Si la infracción ha sido cometida por el responsable o encargado del tratamiento.
• El nivel de intencionalidad de cooperar con la autoridad de control para reparar la infracción cometida y disminuir los daños causado por la infracción.
• El tipo de datos de carácter personal afectados por la infracción.
• Si el responsable del tratamiento o el encargado pusieron en conocimiento de la autoridad competente la infracción, y de qué manera.
• Si la autoridad de control ya ha aplicado unas medidas correctivas al responsable o encargado del tratamiento, y si han sido o no cumplidas por el infractor.
• La adhesión a códigos de conducta o mecanismos de certificación.
• Cualquier factor atenuante o agravante aplicable a las circunstancias del caso en concreto.

En atención a estos factores y conforme al Título VII de la LOPD hay tres tipos de infracciones: leves, graves y muy graves, aplicándose las correspondientes sanciones a cada una de ellas. Estas sanciones, con la entrada en vigor del nuevo Reglamento, se han endurecido respecto a la cuantía de las multas administrativas, produciéndose una ampliación de las mismas. En base a esto, podemos distinguir dos tipos de multas administrativas:

1. Multa administrativa de 10 000 000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % del volumen de negocio total global del ejercicio financiero anterior como máximo. Este tipo de sanciones se aplica para infracciones cometidas por:

• El responsable del tratamiento y encargado del tratamiento en el cumplimiento de sus obligaciones, tales como: Códigos de conducta y certificación, Seguridad en el tratamiento de los datos, Cooperación con la autoridad de control, Registro de actividad del tratamiento, Análisis de riesgo y, cuando proceda, evaluación de impacto.
• Los organismos de certificación en relación a los códigos de conducta y certificación.
• La autoridad de control en relación a sus funciones de supervisión en el cumplimiento de los códigos de conducta aprobados.

2. Multa administrativa de 20 000 000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % del volumen de negocio total global del ejercicio financiero anterior como máximo. Este tipo de sanciones se aplica para infracciones por incumplimiento de:

• Los principios básicos del derecho de protección de datos de carácter personal como son: el tratamiento de datos personales, en especial el tratamiento de datos considerablemente sensibles de alta protección, licitud del tratamiento, así como los requisitos para el consentimiento otorgado por el interesado.
• Los derechos de los interesados, como son el derecho de transparencia de la información, comunicación, acceso a datos personales, derechos ARCO (acceso, rectificación, cancelación y oposición de los datos personales), derecho al olvido y derecho a la limitación del tratamiento.
• Transferencias internaciones de datos personales a un tercer país o una organización internacional, cuando la transferencia se haya llevado a cabo sin garantías adecuadas respecto al nivel de protección de los datos, o sean transferencias no autorizadas por el Derecho de la Unión Europea.
• Obligaciones impuestas por cada Estado miembro por la adopción en su derecho interno de la normativa europea en materia de protección de datos de carácter personal.
• Incumplimiento de una resolución emitida por la autoridad de control, de limitación o suspensión temporal o permanente en el tratamiento de los datos personales.

En cualquiera de los dos casos, siempre se optará por la de mayor cuantía, debiendo ser la sanción individual, efectiva, proporcionada y disuasoria. Cada Estado miembro de la Unión Europea deberá establecer en su ordenamiento jurídico normas de protección de datos personales que recojan sanciones aplicables a su incumplimiento, no teniendo por qué ser de carácter económico, pero debiendo velar en todo momento por su cumplimiento. En cualquier caso, siempre se podrá aplicar de manera subsidiaria las multas administrativas establecidas en el Reglamento 2016/679, siendo incoadas por la autoridad de control e impuestas por los tribunales nacionales competentes.

Derecho a indemnización y responsabilidad

Todo incumplimiento de las obligaciones en la protección de datos personales conlleva la imposición de una sanción al infractor, pero además el interesado que entienda que el tratamiento de sus datos personales ha sido vulnerado generándole un daño, tiene derecho a percibir una indemnización por ello.

Este derecho a la indemnización del interesado viene recogido en el art. 82 del Reglamento 2016/679 al disponer que “toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.

Tanto el responsable del tratamiento como el encargado responderán solidariamente de todos los daños ocasionados al afectado, sin perjuicio del derecho de cada responsable o encargado del tratamiento que abone la indemnización, de reclamar a los demás infractores que hayan participado en la comisión del daño o perjuicio del afectado, de su parte de la indemnización, que debe ser proporcionada a su parte de responsabilidad.

La carga de la prueba ante este tipo de infracciones corresponde al responsable o encargado del tratamiento, al tener que probar que están exentos de responsabilidad, debiendo demostrar el cumplimiento de sus obligaciones en materia de protección de datos de carácter personal.