Money, Money, Money…

24/01/18

Ya hemos hablado alguna vez en este blog del nuevo Reglamento General de Protección de Datos (RGPD). La fecha de su aplicación se acerca –25 de mayo de 2018– y muchas incógnitas permanecen. Por ejemplo, cómo estar seguros del cumplimiento, quién protege a los protectores de datos (DPO), cómo hacer las evaluaciones de impacto o hasta dónde llegarán las primeras multas,…

Sobre este último punto, tenemos novedades. El Grupo de Trabajo del artículo 29 (que el 25 de mayo se fundirá en un nuevo organismo de la Unión, el Comité Europeo de Protección de Datos) ha publicado unas Directrices para la aplicación de las multas del RGPD. Multas que ahora se parecen bastante a las de competencia, porque se concretarán en un porcentaje de la facturación y pueden llegar hasta el 4% de ésta (¡!). Esta ambición homogeneizante ya es en sí misma novedosa, porque el artículo 24 de la Directiva de Protección de Datos permitía que cada Estado miembro limitase sus propias multas. Así, los límites máximos nacionales van desde € 25.000 en Austria, € 150.000 en Francia ó € 300.000 en Alemania hasta € 600.000 en España o incluso £ 500.000 en el Reino Unido.

¿Quiere esto decir entonces que ahora siempre se alcanzará ese nuevo máximo común? ¿En caso contrario, cómo se determina un porcentaje intermedio si se demuestra, por ejemplo, el buen hacer de la compañía o el escaso impacto de la infracción? Esas son precisamente las preguntas que se plantea el Grupo de Trabajo en sus Directrices, y aquí van algunas de sus reflexiones:

La multa debe ser efectiva, proporcionada y disuasoria (artículo 83.1 del RGPD). Para alcanzar ese objetivo, el volumen de facturación relevante será el del grupo de empresas al que pertenezca el infractor, en tanto que unidad económica o, en definitiva, unidad decisoria. O sea que no importa el volumen de negocios de la persona jurídica infractora. Ojo, por tanto, con el límite del 4%, que puede alcanzar cotas superiores a las que imaginábamos…

Las Directrices también recuerdan que las multas no son el único mecanismo corrector previsto en el RGPD. Son un mecanismo “adicional o sustitutivo”, según reza el Reglamento, de  las  medidas contempladas en  su  artículo 58.2,  letras  a)  a  h)  y  j), como las advertencias o apercibimientos (difícil ver la diferencia…), que también puedan emitir los reguladores nacionales. Es importante no asumir, sin embargo, que unas y otras medidas funcionan a modo de falta, tarjeta amarilla y tarjeta roja. El Grupo de Trabajo ya se ha apresurado en aclarar que no es ese necesariamente el orden y que todo dependerá de las circunstancias del caso, la gravedad de la infracción, la intencionalidad, la cooperación del infractor con la autoridad, su proactividad para implementar medidas de subsanación y, lo que será más importante –o eso creemos–, la afectación de los derechos de los particulares…

Por el momento, el margen de los reguladores nacionales sigue pareciendo amplísimo. No obstante, a las potenciales impugnaciones del sistema les auguramos un éxito, a lo sumo, limitado. El funcionamiento del sistema de multas es casi idéntico al que hace años que funciona, con algún que otro traspiés, en Derecho de la Competencia. Las alegaciones de arbitrariedad, imposible previsibilidad, etc. de ese sistema basado simplemente en límites máximos de facturación a veces lo han hecho tambalear, pero nunca lo han derrumbado… Así que, ¡preparémonos, que vienen curvas en protección de datos!