Money, Money, Money…

24/01/18

Ja hem parlat algun cop al bloc del nou Reglament General de Protecció de Dades (RGPD). S’acosta la seva data d’aplicació –25 de maig de 2018– però moltes incògnites romanen. Per exemple, com podem estar segurs de la conformitat, qui protegeix els delegats sde protecció de dades (DPOs), com fer les avaluacions d’impacte o fins a on arribaran les primeres multes…

Sobre aquest darrer punt, tenim novetats. El Grup de Treball de l’article 29 (que el 25 de maig es fondrà en un nou organisme de la Unió, el Comitè Europeu de Protecció de Dades) publicà unes Directrius per a l’aplicació de les multes del RGPD. Multes que ara se semblen força a les de competència, perquè passaran a concretar-se en un percentatge de la facturació i poden arribar fins a un 4% d’aquesta (!). Aquest afany d’homogeneïtzació ja és una novetat en sí mateix, l’article 24 de la Directiva de Protecció de Dades permetia a cada Estat membre establir els seus propis sostres per a multes. Així, aquests sostres van de € 25.000 a Àustria, € 150.000 a França o € 300.000 a Alemanya fins a € 600.000 a Espanya o fins i tot £ 500.000 al Regne Unit.

Aleshores, que ara s’arribarà sempre a aquest nou sostre unitari? I com es determina un percentatge entremig si es demostra, per exemple, la bona fe de la companyia, esforços per a la conformitat o l’escàs impacte de la infracció? Aquestes són precisament les preguntes que es planteja el Grup de Treball en les seves Directrius, i aquí us en deixem algunes reflexions:

La multa ha de ser efectiva, proporcionada i dissuasiva (article 83.1 del RGPD). Per a assolir aquest objectiu, el volum de facturació rellevant serà el del grup d’empreses al que pertanyi l’infractor, com a unitat econòmica o, al cap i a la fi, unitat decisòria. Altrament dit, no importa el volum de negocis de la persona jurídica infractora. Compte, per tant, amb el límit del 4%, que pot arribar a cotes encara superiors de les imaginades…

Les Directrius també recorden que les multes no són l’únic mecanisme corrector previst al RGPD. Són un mecanisme “addicional o substitutiu”, segons diu el Reglament, de les mesures que preveu el seu  article 58.2, lletres  a)  a  h)  i  j), com és ara l’advertiment o l’apercebiment (costa de veure’n la diferència…), que també poden imposar els reguladors nacionals. És important no assumir, però, que unes i altres mesures funcionen com una mena de seqüència falta, targeta groga i targeta vermella. El Grup de Treball ja s’ha afanyat a aclarir que no és aquest necessàriament l’ordre i que tot dependrà de les circumstàncies del cas, la gravetat de la infracció, la intencionalitat, la cooperació de l’infractor amb l’autoritat, llur pro activitat per implementar mesures d’esmena i, el que és més important –o això creiem– l’afectació dels drets dels particulars…

De moment, el marge de que disposen els reguladors continua semblant amplíssim. Malgrat això, a les potencials impugnacions del sistema les hi presagiem un èxit, com a molt, limitat. El funcionament del sistema de multes es pràcticament idèntic al que fa anys que funciona, amb algun entrebanc, en Dret de la Competència. Les al·legacions d’arbitrarietat, impossible predicció, etc. d’aquest sistema basat únicament en límits màxims de facturació de vegades l’han fet trontollar, però mai no l’han ensorrat… Així que, ja cal que ens calcem que vindran sorpreses en protecció de dades!