¿Cómo se gradúan las sanciones?

El Reglamento General de Protección de Datos (“RGPD”) no solo impone a los infractores varios tipos de sanciones en función de las infracciones tipificadas en el propio RGPD, sino que también enumera una serie de factores que se podrán tener en cuenta como agravantes o atenuantes en función de las circunstancias del caso (naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia, medidas tomadas para paliar los daños sufridos por los interesados, grado de responsabilidad, infracciones anteriores o, entre otros, grado de cooperación con la autoridad de control) (art. 83.2 del RGPD).

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“nueva LOPD”), de forma complementaria al RGPD, y haciendo uso de la posibilidad señalada en el art. 83.2.k) del RGPD, añade nuevos factores o circunstancias a los criterios de graduación ya previstos en el RGPD, de cara a la cuantificación, en su caso, de una posible sanción.

En particular, se indica que se podrán tener en cuenta los siguientes criterios de graduación (art. 76.2 del RGPD):

  1. el carácter continuado de la infracción;
  2. la vinculación de la actividad del infractor con la realización de tratamientos de datos personales;
  3. los beneficios obtenidos como consecuencia de la comisión de la infracción;
  4. la posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción;
  5. la existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente;
  6. la afectación a los derechos de los menores;
  7. disponer, cuando no fuere obligatorio, de un delegado de protección de datos; y
  8. el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, cuando existan controversias entre los responsables o encargados y cualquier interesado.

Especial mención merece el apartado 7 de los anteriores criterios de graduación, al incluir como factor atenuante en el caso de una posible infracción el nombramiento, en el seno de la organización, de un delegado de protección de datos, cuando su nombramiento no sea obligatorio. De lo anterior se desprende que el legislador ha querido impulsar la figura del delegado de protección de datos y animar a las organizaciones para que los nombren, con independencia de que se encuentren o no obligadas a nombrarlo de conformidad con el art. 37 del RGPD o el art. 34 de la nueva LOPD.

Junto con estos criterios de graduación de las sanciones, la nueva LOPD también recoge un listado no exhaustivo de conductas que se consideran constitutivas de infracciones del RGPD, dividiéndolas en tres categorías (leves, graves y muy graves), con distintos periodos de prescripción (uno, dos o tres años, respectivamente).

Asimismo, se señalan unos plazos de prescripción de las sanciones, en función de la cuantía objeto de la sanción, que podrá ir desde uno hasta tres años.