8 Aleksandr Sergheevici Puskin, Bucharest, District 1, PC 011996, Romania
(+4) 031 426 0745
 
Nomenius
ArticlesJune 28, 20240

Multas del GDPR y sus implicaciones

El Reglamento (UE) 2016/679, conocido como el Reglamento General de Protección de Datos (GDPR), establece normas estrictas para el tratamiento de datos personales, aplicables a todas las empresas en su calidad de controladores de datos personales. Introduce sanciones severas por el incumplimiento de las disposiciones sobre protección de datos, por lo que a continuación se presentarán los tipos de sanciones que pueden ser impuestas por las autoridades de protección de datos en los estados miembros de la Unión Europea, incluida Rumanía, así como ejemplos concretos de sanciones impuestas a los controladores de datos:

  • Multas financieras:

Los operadores del sector privado pueden ser sancionados con multas severas de hasta 20 millones de euros o entre el 2% y el 4% de su facturación anual mundial total del ejercicio financiero anterior, dependiendo de la gravedad de la infracción. Estas multas pueden aplicarse en caso de incumplimiento de los principios y normas del GDPR, como (ejemplificativo, no limitativo) conductas que pueden implicar:

    • Omisión de implementar medidas técnicas y organizativas que garanticen la protección y confidencialidad de los datos personales;
      b) Falta de formación periódica de los empleados del controlador de datos en materia de GDPR, lo que lleva a incidentes de seguridad causados por el personal del controlador;
    • Incumplimiento de los derechos de los interesados (como el derecho de acceso, rectificación, eliminación “derecho al olvido” o portabilidad);
    • Tratamiento ilegal de datos personales; e) Incumplimiento de las obligaciones de seguridad y confidencialidad de los datos;
    • Omisión de notificar a la autoridad de supervisión o al interesado en caso de incidentes de seguridad;
    • Tratamiento de datos sin respetar los principios de limitación de propósito o de almacenamiento;
    • Tratamiento de datos durante períodos de tiempo excesivos;
  • Condiciones generales para la imposición de multas administrativas:

Cada autoridad de supervisión asegura que la imposición de multas administrativas por infracciones del GDPR sea efectiva, proporcional y disuasoria. Para garantizar la necesidad de aplicar una multa administrativa y, al decidir el monto de la multa, las autoridades de supervisión prestan atención a los siguientes aspectos previstos en el artículo 83 del GDPR:

    • La naturaleza, gravedad y duración de la infracción, teniendo en cuenta el alcance o propósito del tratamiento, el número de personas afectadas y el nivel de daños sufridos;
    • El carácter intencional o negligente de la infracción;
    • Las acciones tomadas para mitigar el daño sufrido por los interesados;
    • La responsabilidad del controlador y las medidas técnicas implementadas;
    • Historial de infracciones relevantes;
    • Cooperación con la autoridad de supervisión para remediar la infracción;
    • Las categorías de datos personales afectados;
    • Notificación de la infracción a la autoridad de supervisión;
    • Adhesión a códigos de conducta o mecanismos de certificación;
    • Cualquier otro factor agravante o atenuante, como los beneficios financieros obtenidos o las pérdidas evitadas.

Según el artículo 83, párrafo 3 del GDPR, si un controlador o procesador infringe varias disposiciones del Reglamento, el monto total de la multa no puede exceder la cantidad especificada para la infracción más grave. En Rumanía, la ANSPDCP juega un papel central en el campo de la protección de datos personales y la investigación de las infracciones del GDPR, ya que es responsable de monitorear el cumplimiento del GDPR y aplicar sanciones en caso de denuncias de violaciones de la protección de datos personales.

También vale la pena mencionar que las sanciones impuestas por las autoridades de supervisión por incumplimiento del Reglamento (UE) 2016/679 son públicas, están disponibles para consulta y se pueden acceder en el sitio web de la ANSPDCP en una sección dedicada a las sanciones, que contiene detalles sobre las infracciones específicas, los operadores responsables y el monto de las multas. La publicación de las multas juega un papel importante en la concienciación de los operadores sobre la importancia de la protección de datos personales. También permite al público monitorear el cumplimiento y entender las consecuencias de las infracciones, y también representa un punto central en la imagen de cada controlador de datos tanto frente a sus clientes como con respecto a sus socios comerciales.

Ejemplos de sanciones del GDPR impuestas por las autoridades de supervisión competentes de los estados miembros. Cada estado miembro de la Unión Europea tiene derecho a establecer sus propios criterios para determinar una multa y su monto cuando un controlador de datos infringe las disposiciones legales. Por esta razón, los montos de las multas impuestas por las autoridades competentes de la UE varían considerablemente de un estado a otro.

Por ejemplo, la Comisión Nacional de Informática y Libertades (CNIL) es una autoridad administrativa independiente en Francia, responsable de garantizar la protección de los datos personales contenidos en archivos informáticos o en papel y de las operaciones de tratamiento, tanto en el sector público como en el privado. La CNIL asegura que la tecnología de la información esté al servicio del ciudadano y no afecte la identidad humana, los derechos humanos, la privacidad o las libertades individuales y públicas. Además, en el caso de la CNIL, las medidas correctivas se publican. Por ejemplo, según el informe anual de actividades de 2022, la CNIL impuso multas por un total aproximado de 101 millones de euros, mientras que en Rumanía, durante el mismo año, el límite máximo de multas impuestas fue de aproximadamente 215,000 euros. Aunque ambas autoridades tienen el objetivo de garantizar el cumplimiento de las normas de protección de datos personales, se puede observar que los límites y procedimientos específicos pueden variar según la legislación nacional y el contexto de cada país.

A continuación, se enumeran algunos ejemplos ilustrativos de sanciones impuestas por autoridades de supervisión de la UE en casos de incumplimiento de las disposiciones del GDPR.

Estas sanciones también representan valiosas directrices para la conformidad de los operadores de datos, ya que incluyen interpretaciones importantes de las autoridades con respecto a las obligaciones derivadas del GDPR:

    • En 2023, se registraron multas muy grandes en Irlanda por un monto de 1.3 mil millones de euros. Una multa récord de 1.2 mil millones fue recibida por Meta por violar el artículo 25, párrafos 1 y 2 del GDPR, por garantizar la protección de datos desde el diseño (privacy by design) y por defecto (privacy by default).
    • En Rumanía, en 2023, entre las multas más grandes impuestas por la ANSPDCP fue recibida por Rompetrol Downstream SRL, por un monto de 110,000 euros. Esta fue impuesta por acceso no autorizado, repetido, a datos de clientes del programa informático de la empresa y por la divulgación ilegal de datos personales de algunos clientes. El propósito de estas acciones fue obtener préstamos de sociedades financieras no bancarias en nombre de estos clientes. Además, en julio del mismo año, UiPath SRL recibió una multa de 70,000 euros por parte de la Autoridad Nacional de Supervisión de Rumanía. La infracción de la confidencialidad de los datos consistió en la publicación ilegal de datos personales de aproximadamente 600,000 usuarios de la plataforma Academy en un sitio web accesible a través de una URL.
    • Por último, también a modo de ejemplo, la Autoridad Francesa de Protección de Datos impuso el 23 de enero de 2024, después de una investigación exhaustiva, a Amazon France Logistique una multa de 32 millones de euros por no respetar las medidas de supervisión de los empleados, específicamente la creación de un sistema intrusivo de monitoreo de las actividades y el rendimiento de los empleados en el lugar de trabajo.

En conclusión, el cumplimiento del GDPR es esencial para proteger los datos personales y evitar las multas que pueden ser impuestas por las autoridades de supervisión. Los controladores de datos no deben ignorar el hecho de que cualquier interesado cuyos datos estén siendo tratados por ellos puede presentar una queja ante la ANSPDCP.

Para obtener más información o realizar consultas adicionales, no dude en ponerse en contacto con nosotros:

➡ Teléfono: (+4) 031 426 0745
📧 Correo electrónico: office@grecupartners.ro

Estamos aquí para ayudar y brindar apoyo legal para todas sus necesidades. Esperamos con interés hablar con usted.

Abogada Mihaela Bălău

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

previous
Sobre el control voluntario por parte de la Autoridad Nacional para la Protección del Consumidor
next
La influencia del GDPR en las tecnologías de reconocimiento facial

Suscríbete a nuestro boletín

Newsletter Subscription

    https://grecupartners.es/wp-content/uploads/2022/10/Logo_c.png
    (+4) 031 426 0745
    office@grecupartners.ro
    8 Aleksandr Sergheevici Puskin, Bucharest, District 1, PC 011996, Romania

    Experiencia

    Puede seguirnos en:

    Más de 16 años de experiencia en el campo del derecho mercantil. Nuestros clientes nos recomiendan.