Javier Torre de Silva: "Existe aún cierta inseguridad jurídica en la interpretación y aplicación del RGPD"
Entrevista
1.- Hola Javier, se acaba de publicar la que ya es la 2ª edición del informe anual de seguimiento de aplicación del RGPD “Enforcement Tracker Report”. Para aquellos de nuestros lectores que desconozcan aún este informe y qué persigue ¿podría presentárnoslo?
El Enforcement Tracker Report realiza una recopilación de todas las sanciones impuestas por autoridades de protección de datos en Europa desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), con información específica sobre el tipo de infracción cometida en cada caso, el importe de la sanción, la autoridad nacional que la impuso y la identidad del sancionado. Es una herramienta de enorme utilidad para conocer de forma práctica qué conductas están siendo consideradas en las distintas jurisdicciones como merecedoras de reproche administrativo, y cuáles de ellas tienen asociadas multas de mayor entidad.
El informe discrimina también por sectores, estudiando las especificidades de cada uno de ellos.
2.- El informe pone de manifiesto que el importe total de las multas por incumplimiento del RGPD alcanzó los 261,7 millones de euros en Europa. Aunque la cifra es importante ¿Cree que esa cifra en términos relativos, es baja teniendo en cuenta que hablamos del ámbito europeo y no solo del nacional, o por el contrario es elevada teniendo en cuenta que el RGPD no es una norma ya tan “nueva”?
El Derecho comunitario permite imponer sanciones que llegan hasta un máximo de 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior (lo que sea mayor). La práctica totalidad de las multas tienen una cuantía muy inferior, pero siempre relevante. La suma total en dos años es significativa, pero el mensaje es que las empresas no pueden permitirse el riesgo de incumplir la regulación en materia de protección de datos, pues la Agencia tiene mecanismos más que suficientes para reprimir tales conductas.
3.- ¿Cree que el número de sanciones por incumplimiento del RGPD crecerá en los próximos años cuando pase, digamos, esta “fase de precalentamiento y concienciación”?
Sin duda. En España, por ejemplo, el número de sanciones y su importe ha sido muy moderado hasta noviembre de 2020 y se ha disparado desde entonces: si hasta esa fecha la multa más elevada fue de 120.000 euros, desde el pasado mes de noviembre la autoridad española ha impuesto multas de cuantías iguales o superiores a 1 millón de euros a seis empresas, llegando en un caso hasta los 8.5 millones de euros. El cambio de forma de actuar ha sido muy evidente.
Durante el periodo inicial, los reguladores se esforzaron en comunicar a las empresas cuáles eran sus criterios interpretativos del RGPD. Ahora ha pasado ya el periodo educativo, y la importancia y número de las sanciones está creciendo exponencialmente en los últimos meses. Quizás debería haberse retrasado un poco esta fase de reproche administrativo estricto: aún no está claro el criterio de la Agencia Española sobre muchas cuestiones prácticas. No se debería sancionar si antes no ha quedado totalmente claro el límite entre lo que constituye una infracción administrativa y lo que no.
4.- ¿Y respecto a España y nuestro tejido empresarial? ¿Se está siguiendo una labor correcta de implantación en compliance RGPD o, por el contrario, aún nos queda recorrido que avanzar en este sentido?
El Derecho comunitario quiere que la supervisión en materia de protección de datos en los distintos países europeos sea “coherente” y se traduzca en “sanciones equivalentes”, como dice el Considerando 13 del RGPD. Sin embargo, el Enforcement Tracker Report encuentra grandes diferencias en la práctica de los distintos supervisores europeos: casi una de cada tres sanciones impuestas en la Unión Europea en los últimos tres años corresponde a la Agencia Española, si bien las multas más cuantiosas han sido impuestas en el Reino Unido (hoy ya fuera de la Unión Europea).
Las empresas de gran tamaño, que cuentan con las mejores asesorías jurídicas, son las que han hecho un mayor esfuerzo en la implantación del RGPD, dedicando a ello importantes recursos. No obstante, son también las que han recibido multas más elevadas, lo cual nos hace pensar si el criterio de la Agencia Española resultaba o no predecible en el momento en el que las infracciones se cometieron.
Si eso sucede a las empresas del IBEX y a los gigantes de Internet, cabe imaginar la dificultad que esta tarea supone para las pequeñas y medianas empresas que constituyen la inmensa mayoría de nuestro tejido empresarial. El asesoramiento externo es indispensable.
5.- ¿La inmersión digital en la que se ven abocadas las empresas, a efectos de mera supervivencia, está favoreciendo el cumplimiento RGPD?
La revolución digital que estamos presenciando sin duda tiene mucho que ver con la necesidad de aprobar el RGPD. Como ha dicho ayer en The Guardian John Naughton, los datos no son petróleo que haya que refinar, sino que representan la vida de la gente. Sin límites, la inmersión digital sería incompatible con los derechos fundamentales tal y como se conciben en Europa. El RGPD proporciona esos límites, en un difícil equilibrio que persigue que el particular no se vea sorprendido en su actuación digital, que tenga el grado de privacidad que desee, ni más ni menos.
6.- ¿Y la pandemia? ¿Cómo está afectando en materia de cumplimiento del RGPD, a favor o en contra?
Sin duda la pandemia está haciendo mucho más necesario el cumplimiento del RGPD. No solo por los datos de salud especialmente protegidos, sino porque el trabajo a distancia se basa en el presupuesto de que los datos personales se protegen y respetan.
Una de las infracciones que más sanciones provoca es la falta de medidas adecuadas de seguridad que da lugar a incidentes de ciberseguridad (lo que motiva el 21% de las multas).
Y, por otro lado, el teletrabajo fomenta el control de los empleados mediante mecanismos electrónicos, lo que dio lugar a la segunda multa más importante, de 35 millones de euros, impuesta a H&M por vigilancia y control indebidos de sus empleados.
7.- Según el informe, el tratamiento ilegal de datos personales fue la infracción más común, representando el 38% de todas las multas ¿Esto demuestra que las empresas siguen luchando por gestionar la inseguridad jurídica en la interpretación y aplicación del RGPD?
En efecto, así es. Cabe añadir que no solo la mayoría de las sanciones obedecen a este motivo, sino que también son las multas de mayor importe: 6 de las 10 multas de cuantía más elevada se impusieron por este motivo. La multa más elevada fue la de 50 millones de euros que fue impuesta a Google precisamente por no tener base jurídica suficiente para el tratamiento de datos en sus actividades de marketing.
En efecto, existe aún cierta inseguridad jurídica en la interpretación y aplicación del RGPD. Lo que no debe ocurrir es que el derecho material se desarrolle y aclare a golpe de sanción. La definición de las infracciones administrativas debe estar taxativamente establecida con anterioridad a la comisión de los hechos sancionados, y no debe depender de una interpretación más o menos discutible del regulador.
8.- Y para terminar, pensando en nuestro público lector mayoritario compuesto por profesionales del mundo del Derecho pero también por muchas empresas, Pymes y otras corporaciones ¿qué les aconsejaría para evitar las sanciones por incumplimiento del RGPD? ¿Todo pasa por una labor de Compliance o hay algo más?
Como he dicho antes, las asesorías legales de las pequeñas y medianas empresas, que no puedan permitirse un departamento de protección de datos propio, serán las primeras que solicitarán un asesoramiento jurídico externo en esta materia. Pero el principio de privacidad de los datos debe permear a todo el personal de las empresas: de nada sirve tener la mejor política de protección de datos si luego la realidad no se parece a lo que se ha escrito en el papel. Lo que se busca es una protección real de la privacidad de los sujetos, no basta con tener los documentos en regla.