La Agencia Española de Protección de Datos da por finiquitado el régimen sancionador de la LOPD, y entra en pleno en las sanciones millonarias del RGPD
En efecto, hasta la fecha la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS se había caracterizado por tener una política sancionadora seria y coherente, con el marco establecido por la LORTAD en su día y últimamente con la LOPD, con una horquilla de importes de cierta relación en cuanto a tipo de infracción, atenuantes, agravantes y otras circunstancias modificativas de la responsabilidad administrativa (con algunas excepciones, claro está):
Con sorpresa para propios y extraños, en estas últimas semanas se han publicado diversas resoluciones sancionadoras de importes especialmente llamativos, (caso BBVA PS/70/2019 y caso Caixa Bank PS/477/2019), que establecen sanciones millonarias tanto para infracciones graves , y lo que sorprende más, para leves en los casos expuestos.
Es un cambio claro de línea argumental en la corrección de conductas y por supuesto de precedente administrativo. Anulando por tanto cualquier criterio orientador anterior al RGPD en materia de importe de las sanciones.
En palabra del mismo órgano de control â€... De nada vale argumentar que la LOPD preveía sanciones por importes inferiores.... Lo cierto es que, en este aspecto, como en muchos otros, el RGPD ha supuesto un cambio de paradigma en la protección de los datos personales, estableciendo medidas con un claro carácter disuasorio. Basta con examinar las sanciones que, en esta materia, han impuesto recientemente otros países europeos, que son públicas, para entender el alcance del cambio que conlleva la aplicación del RGPD...â€
Está claro que el marco europeo, así como las nuevas capacidades legales abrían la puerta al nuevo régimen sancionador.
Las sanciones comentadas son de un volumen extraordinario (5 millones y 6 millones de euros) con respecto a los precedentes vinculados a la antigua LOPD, pero absolutamente consonantes con las actuaciones que otras autoridades de control están adoptando en Europa. Hay que destacar que se trata de resoluciones administrativas extensas, minuciosas y sin duda muy trabajadas técnicamente, como es costumbre de la AEPD (146 folios una y 177 la otra...).
La duda que se suscita en el sector es si los más que previsibles recursos judiciales que interpongan las entidades hoy sancionadas prosperaran, y en caso afirmativo, hasta donde.
En efecto, el elemento subjetivo de la sanción tiene en consideración el desvalor de las acciones y el beneficio obtenido de forma directa por el ilícito sancionado, la falta de estructura, etc.. Estamos seguros que las partes recurrentes argumentaran sobre el precedente administrativo de los importes por infracciones parecidas establecidas en la LOPD, las posibles atenuantes del antiguo artículo 45.5 de la LOPD ( hoy 83.2 del RGPD), pero como bien parece deducirse de la resolución, de poco va a servir si la única línea de defensa para impugnar el importe de la sanción propuesta es la aplicación de precedentes de una norma derogada para este supuesto de hecho como es la LOPD.
En todo caso, damos por supuesto que más tarde o más temprano, tendremos una más que previsible recurso contencioso administrativo que interpongan las partes, no nos cabe duda que la resolución judicial de la Sala de lo Contencioso de la Audiencia Nacional, que es el órgano competente para conocer de este tipo de recursos, será digna de estudio, ya que marcará una línea de actuación en materia de aplicación de graduación de sanciones del RGPD, ya sea validando y ratificando la actuación de la AEPD y su nuevo marco sancionador millonario o por el contrario, “suavizará†importes, matizando algún elemento que pudiera cambiar el signo de la resolución impugnada ajustando cantidades e interpretaciones a posiciones más clásicas y cercanas a la antigua LOPD.
Lo veremos en un tiempo, estaremos a la espera y os tendremos informados.
Un saludo.