O el 4% de la facturación anual

Sanciones a los autónomos de hasta 20 millones de euros por incumplir el RGPD

Los autónomos y las pymes se pueden enfrentar a sanciones desorbitadas de hasta 20 millones de euros o el 4% de su facturación total anual por incumplir el Reglamento General de Protección de Datos (RGPD). La Agencia Española de Protección de Datos (AEPD) señala que todavía no ha interpuesto ninguna sanción.

datos
Sanciones a los autónomos de hasta 20 millones de euros por incumplir el RGPD

Autónomos y pymes podrán ser sancionados con hasta 20 millones de euros por incumplir el Reglamento General de Protección de Datos (RGPD). Las sanciones contempladas por el RGPD pueden alcanzar hasta 10 millones de euros o el 2% del volumen del negocio total anual global, optando siempre por la multa de mayor cuantía. No obstante, si tras el apercibimiento de la Agencia Española de Protección de Datos (AEPD) el infractor persistiese en el incumplimiento de la resolución, éste podría ser sancionado con hasta 20 millones de euros o el 4% del volumen del negocio total anual global.

Se presenta un problema importante, y es que, según comentan los expertos, el nuevo reglamento se concibe desde la tradición anglosajona, en la que el poder de decisión lo tiene el juez. Está tradición es opuesta a la española, en la que la sanción está sujeta a unos parámetros de infracción-sanción. Es decir, el nuevo reglamento no acota claramente la cuantía que debe alcanzar una sanción por cada caso determinado de infracción, sino que establece un espacio demasiado amplio (hasta 10 millones de euros en una primera instancia) en el que el encargado de determinar la suma que alcanzará la multa administrativa es el juez.

No obstante, este problema pretende solucionarse en la nueva legislación estatal española sobre la protección de datos mediante una tipificación más detallada, en la que se establezca una sanción económica concreta para cada supuesto. Es decir, “si haces esto, tendrás que pagar esto”.

Esto se debe a que se trata de cifras desorbitadas, incapaces de asumir por un autónomo o una pyme. Aunque los expertos señalan que las sanciones más duras se reservan para empresas de alcance internacional, como Google. Esto no implica que las pequeñas empresas y los trabajadores por cuenta propia no estén incluidos en los sectores a los que se dirigen estas multas administrativas, por ende, si el juez así lo viese necesario podría sancionar a un autónomo con hasta 20 millones de euros.

¿Cómo se fija la cuantía de la sanción?

Melanie Voin, oficial de prensa de la Comisión Europea, señala que a la hora de imponer una multa adecuada, se valorará cada caso cuidadosamente y se tendrán en cuenta una serie de factores:

  • La gravedad y duración de la infracción.
  • El número de interesados afectados y el nivel de perjuicio ocasionado a estos.
  • La intencionalidad de la infracción.
  • Las medidas tomadas para paliar los daños y perjuicios.
  • El grado de cooperación con la autoridad de control.

El Reglamento establece dos máximos a la hora de imponer multas por no haberse respetado las normas:

  1. El primer máximo se fija en 10 millones de euros o hasta el 2% del volumen de negocio total anual global. Esta primera categoría de multa se aplicaría, por ejemplo, si un responsable no llevase a cabo evaluaciones de impacto, tal y como exige el RGPD.
  2. El segundo máximo se fija en 20 millones de euros o el 4 % del volumen de negocio total anual global. Un ejemplo de este supuesto sería el de una violación de los derechos que el Reglamento confiere a los interesados. Las multas se ajustarán en función de las circunstancias de cada caso concreto.

España todavía no ha impuesto ninguna sanción

La AEPD señala que, por el momento, la Agencia no ha impuesto ninguna sanción, apercibimiento o advertencia derivada del RGPD. “Ello se debe a que hay que tener en cuenta los plazos del proceso de instrucción de los procedimientos”, explican.

No obstante, según los datos de un reciente informe elaborado por la AEPD y CEPYME, solo el 63% de los autónomos y las pymes españolas conocen el nuevo Reglamento General de Protección de Datos, que se aplica desde el pasado 25 de mayo. Esto implica que un tercio del tejido empresarial español no tiene conocimiento de las nuevas obligaciones que debe cumplir en materia de protección de datos, y por tanto son un sector que potencialmente puede incurrir en una sanción