En las próximas semanas podrían conocerse las primeras sanciones impuestas desde la puesta en marcha del nuevo RGPD
Entrevistamos a Miguel Recio, abogado y delegado de protección de datos sobre las sanciones que pueden imponerse en los próximos días tras seis meses desde la entrada en vigor del nuevo Reglamento de Protección de Datos (RGPD).
1.- ¿Sobré qué supuestos crees que se impondrán?
Cabría pensar que serán supuestos que afecten a categorías especiales de datos, tales como los datos relativos a la salud, tratamientos referidos a un gran número de afectos o, en su caso, vulneración de los derechos de los afectados. Es decir, infracciones relevantes de la normativa sobre protección de datos que estará relacionado con los sectores que acumulan más multas en el pasado o con tratamientos de datos considerados como sensibles.
2.- ¿Qué efectos y consecuencias implicará la imposición ahora de dichas sanciones?
Van a tener una transcendencia importante ya que, a nivel nacional, van a saber cuál es el criterio que aplica la Agencia Española de Protección de Datos, debiendo prestar especial atención al principio de responsabilidad proactiva (en inglés, “accountability”). Además, habrá que ver también cómo están sancionando otras autoridades de protección de datos en la Unión Europea, ya que lo que se busca es una aplicación coherente del RGPD, con especial atención también a las sanciones.
3.- ¿Es el momento apropiado?
Las infracciones no pueden quedar impunes. Es el ejercicio de una potestad clave de la autoridad de protección de datos y la medida a adoptar, sin perjuicio de otras, cuando se produce una vulneración del derecho fundamental a la protección de datos.
4.- ¿Cómo casa todo ello con el hecho de la reciente aprobación de la nueva LOPD?
Las infracciones están previstas en el RGPD, sin perjuicio de que la LOPDGDD aclare algunos supuestos, y las sanciones también están previstas en el RGPD. Además, hay que recordar que está vigente el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que incluye previsiones específicas sobre el régimen sancionador. La LOPDGDD derogará este Real Decreto-ley.
5.- ¿Cuál es tu opinión al respecto?
Las sanciones son necesarias. Son una medida que tiene que adoptarse cuando se produce una infracción grave del derecho fundamental a la protección de datos y que se impongan ahora es señal de que la autoridad de protección de datos puede ejercer sus potestades de manera adecuada. Estamos, no obstante, ante un nuevo capítulo del derecho fundamental a la protección de datos en el que habrá que atender a si son “efectivas, proporcionadas y disuasorias”, como prevé el RGPD y lo que implica que haya que atender a lo que ocurra también en el resto de Europa.