El Reglamento General de Protección de Datos («RGPD») va en serio. Si durante el año 2018 las Autoridades de Control fueron benevolentes con las empresas para que se adaptaran a la nueva normativa, el año 2019 está siendo una verdadero quebradero de cabeza para muchos empresarios. El RGPD se aplica, y no hace distinciones. Todos debemos cumplirla o nos enfrentaremos a una sanción que podrá acabar con el proyecto al que hemos dedicado nuestras vidas, tanto por la cantidad monetaria a pagar, como por el deterioro de la imagen pública de nuestra marca.
HECHOS
El cliente de una tienda online solicita repetidamente al propietario (comerciante), que se eliminen sus datos personales de la base informática de la tienda. El comerciante hace caso omiso a esta petición enviando, tiempo después, nuevas comunicaciones comerciales al teléfono móvil del cliente.
Este empresario tampoco cooperó con la Autoridad de Supervisión de Letonia, país en el que se produjeron los hechos.
INFRACCIÓN COMETIDA Y SANCIÓN
La Autoridad de Supervisión letona, una vez valorada la naturaleza, la duración y el grado de cooperación, los interesados afectados, volumen de negocios del comerciante… concluyó que se habían infringido los artículos 17 y 58.2, letras c) y g) del RGPD. Por todo ello, se decidió interponer una sanción de 7.000€ a la tienda online, tanto por incumplimiento del derecho al olvido, como por no cooperar con la Autoridad de Supervisión de manera oportuna.
- Antecedente importante. Aplicabilidad europea.
Uno de los principios del RGPD es la colaboración entre las Autoridades de Control de la Unión Europea («UE»). Por este motivo, estas resoluciones tienen una gran repercusión, en cuanto se ponderan circunstancias que crean precedentes aplicables en toda la UE.
******************************************
Artículo 17 RGPD: «1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes: (…) b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico; c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2; (…).»
Artículo 58 RGPD: «2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: (…) c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento; (…) g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19; (…).»
Artículo 83 RGPD: «5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…) b) los derechos de los interesados a tenor de los artículos 12 a 22; (…) e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1. (…).»
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].