Es indudable que la entrada en vigor del RGPD en mayo de 2018 supuso un coste elevado tanto económico como temporal a las empresas para adaptarse a los requerimientos de este. Por otro lado las sanciones que marca el reglamento son muy elevadas por lo que no hemos de dejar de lado ni un sólo detalle para estar correctamente adaptados a la norma.
Cuantías de las sanciones por incumplimiento de la ley de protección de datos de empresas:
- Multas de hasta 10 millones de euros o un 2% del volumen del negocio total anual global de ejercicio financiero anterior en el caso de infracciones como no adoptar las medidas de seguridad apropiadas o no nombrara a un delegado de protección de datos cuando sea obligatorio.
- Las sanciones pueden llegar a 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la compañía infractora en el caso de cometer infracciones como la vulneración de los derechos de los afectados o el incumplimiento de los principios básicos de tratamiento.
Estos principios básicos pueden ser:
- En materia de consentimientos
- Por vulneración de los derechos de los clientes o interesados
- Por transferencias de datos personales de los clientes o interesados a un destinatario ubicado en un tercer país.
- Por incumplir una limitación temporal o definitiva del tratamiento o por incumplir una resolución.
- Por suspender los flujos de datos por parte de la autoridad de control.
Indemnización y responsabilidad ante el incumplimiento de la Ley de Protección de Datos Empresas
Ya hemos hecho mención a las cuantiosas indemnizaciones a las que se enfrentan por no adaptar empresa RGPD y creemos que también es importante conocer otras cuestiones relativas al incumplimiento de la normativa sobre protección de datos empresas como son el derecho a la indemnización y responsabilidad ante el incumplimiento del RGPD.
Derecho a la indemnización
Según se establece en el RGPD, el encargado o responsable del tratamiento deberán indemnizar por los daños y perjuicios que pueda sufrir una persona como consecuencia del tratamiento de sus datos. Concretamente, el artículo 82.1 del Reglamento establece lo siguiente “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del Responsable o del Encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.
La indemnización a la que tenga derecho la persona vulnerada será totalmente independiente de las reclamaciones ante la Agencia Española de Protección de Datos. Los interesados tienen reconocido por el RGPD en su artículo 79,2 una tutela judicial efectiva para poder reclamar los daños y perjuicios sufridos “Las acciones contra un Responsable o Encargado del tratamiento deberán ejercitarse ante los tribunales del Estado miembro en el que tengan un establecimiento”.
Estas acciones podrán ser promovidas tanto por el interesado como por entidades, organizaciones o asociaciones sin ánimo de lucro cuyos objetivos sean el interés público en el ámbito de protección de los derechos y libertades en lo que a protección de datos se refiere.
Responsabilidad del responsable
Veamos el régimen de responsabilidad al que se enfrentan los Responsables del tratamiento de los datos de los clientes o interesados.
El artículo 82 apartado 2 del RGPD establece que el Responsable que participe en el tratamiento de los datos responderá de los daños y perjuicios causados cuando el tratamiento de estos datos vulnere los derechos de los interesados. Igualmente establece que quedará exonerado de culpa si demuestra que no es responsable en modo alguno del daño que se le ha causado al interesado.
Este mismo artículo 82 en su apartado 4 establece que cuando el tratamiento de los datos sea conjunto entre varios Responsables o Encargados, cada uno de ellos va a ser responsable de todos los daños y perjuicios que se produzcan a los clientes con el fin de garantizar una protección efectiva. Ahora bien, el Encargado o Responsable afectado tendrá derecho de repetición contra el resto de los Responsables o Encargados.
Responsabilidad del encargado
Este mismo artículo 82.2 del RGPD señala que el Encargado únicamente va a responder de los daños y perjuicios causados por el tratamiento cuando haya incumplido con las obligaciones del RGPD que sean específicamente suyas o cuando haya actuado al margen de las instrucciones del Responsable.
La conclusión a la que queremos llegar es que es muy importante tener en cuenta la causación conjunta de daños y para ello debemos realizar tratamientos en régimen de corresponsabilidad. Igualmente es importante contratar Encargados que garanticen el cumplimiento efectivo de la norma y fijar en el contrato de una forma clara la responsabilidad de cada uno en el tratamiento de los datos.
Lo mejor para evitar daños y perjuicios a los clientes o interesados es el principio de responsabilidad proactiva, que asegura el cumplimiento de la norma y pudiendo demostrar el cumplimiento mediante evidencias.