La actual normativa contempla multas de hasta 20 millones de euros o el 4 % de la facturación anual de una empresa que descuide la privacidad
Infringir el Reglamento General de Protección de Datos (RGPD) ya no sale tan barato como antaño. La Ley Orgánica que velaba por la privacidad de la información personal, en vigor casi 20 años, contemplaba sanciones que oscilaban en función de los derechos personales dañados, los beneficios obtenidos, al grado de intencionalidad, la reincidencia o los perjuicios causados a las personas afectadas. Las multas iban desde los 601 a los 601.012 euros. Mucho dinero para una economía 'doméstica' pero una cantidad ciertamente asequible para el caso de aquellas empresas con un volumen de facturación medio-alto.
Esa anomalía quedó definitivamente corregida el 25 de mayo de 2018, día en el que el Reglamento General de Protección de Datos aprobado por el Parlamento Europeo dos años antes entraba definitivamente en vigor para unificar la regulación sobre la materia de todos los estados miembros. La norma se ponía muchísimo más seria, especialmente en materia punitiva. Las multas son astronómicas y los supuestos que las determinan, mucho más concretos.
El RGPD aplica sanciones muy duras que pueden llegar a los 20 millones de euros o, en función de lo que determine el juez, hasta el 4 % del volumen de negocio de la última anualidad completa de una empresa. Así sucederá en el caso de demostrarse vulnerados los principios básicos para el tratamiento de los datos como los derechos de los interesados, las obligaciones marcadas por la autoridad de control o el derecho de los estados miembros y también si se produce un incumplimiento de una resolución o de una limitación temporal o definitiva. De la misma manera, se vigila escrupulosamente el cumplimiento de las obligaciones del encargado de gestionar esos datos y se comprueba que no se produzcan transferencias de datos personales a un destinatario en un tercer país, lo que daría lugar a una sanción ejemplarizante.
La normativa en vigor contempla también la creación de la figura del delegado de Protección de Datos para tutelar el cumplimiento de los requisitos que marca la ley, la realización de evaluaciones puntuales de impacto de riesgos o, como sucede en otros ámbitos, la inmediata comunicación de brechas de seguridad en el momento en que sean detectadas. Asimismo, pretende poner en marcha figuras de calidad que reconozcan a las entidades especialmente responsables.