Importe de las sanciones en el Reglamento 2016/679/UE
Sin hacer uso para la cuantificación de las multas de la terminología a la que estamos acostumbrados, el art. 83 del Reglamento 2016/679/UE, de 27 de abril , determina los marcos económicos en función del tipo y naturaleza de las diferentes conductas que se califican como conductas infractoras.
Como norma de equilibrio y proporcionalidad se establece que, para los casos de incumplimiento de forma intencionada o negligente de diversas disposiciones del Reglamento para las mismas operaciones de tratamiento u operaciones vinculadas, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves ( art. 83.3 delReglamento 2016/679/UE, de 27 de abril).
De esta forma, se establecen dos niveles o grados en cuanto a la cuantía de las sanciones a imponer:
Multas de hasta 10.000.000 euros o, en el caso de empresas, de hasta el 2% del volumen de negociototal anual global del ejercicio financiero anterior (optándose por la de mayor cuantía), aplicables a:
a) las obligaciones del responsable y del encargado a tenor de los arts. 8 , 11 , 25 a 39 ,42 y 43 ;
b) las obligaciones de los organismos de certificación a tenor de los arts. 42 y 43 ;
c) las obligaciones de la autoridad de control a tenor del art. 41, apartado 4 .
Multas de hasta 20.000.000 euros o, en el caso de empresas, de hasta el 4% del volumen de negociototal anual global del ejercicio financiero anterior (optándose por la de mayor cuantía), aplicables a:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los arts. 5 , 6 , 7 y 9 ;
b) los derechos de los interesados a tenor de los arts. 12 a 22 ;
c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los arts. 44 a 49 ;
d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX ;
e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al art. 58, apartado 2 , o el no facilitar acceso en incumplimiento del art. 58, apartado 1 .
f) El incumplimiento de las resoluciones de la autoridad de control ( art. 58.2 del Reglamento 2016/679/UE, de 27 de abril ).
El art. 76.4 del Proyecto LOPD/2018 determina, en el caso de sanciones de multa impuestas por la Agencia Española de Protección de Datos a personas jurídicas y cuyo importe supere el millón de euros, la publicación en el Boletín Oficial del Estado de la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta.
Sanciones no económicas en el Reglamento 2016/679/UE
El Reglamento 2016/679/UE, de 27 de abril contiene, al lado de las sanciones de tipo económico otras de diversa naturaleza, como es el caso de las advertencias y los apercibimientos, imponer la limitación del tratamiento (de forma temporal o definitiva), retirar certificaciones o suspender los flujos internacionales de datos .
Así, el art. 76.3 del Proyecto LOPD/2018 dispone:
Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el art. 83.2 del Reglamento 2016/679/UE .
En este sentido, resulta necesario tener presente que el art. 58.2 del Reglamento 2016/679/UE, de 27 de abril, otorga las autoridades de control, en su territorio, una serie de poderes de carácter correctivo, como son:
a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;
e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los arts. 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo al art. 17, apartado 2 , y al art. 19 ;
h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los arts. 42 y 43 , u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;
i) imponer una multa administrativa con arreglo al art. 83 , además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
Sobre las sanciones de naturaleza distinta a la económica el art. 84.1 del Reglamento 2016/679/UE, de 27 de abril , dispone:
Se adoptarán todas las medidas necesarias para garantizar su observancia,
Dichas sanciones serán efectivas, proporcionadas y disuasorias.
Sobre este particular el art. 84.2 del Reglamento 2016/679/UE, de 27 de abril , dispone que cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.