ARTÍCULO 58, APARTADO 2, LETRA B) - RGPD
Reprimenda a las empresas según RGPD
La autoridad nacional de control puede emitir una amonestación a las empresas de conformidad con el RGPD en caso de incumplimiento del Reglamento. La amonestación es una de las facultades correctoras de cada autoridad nacional de control de conformidad con el artículo 58, apartado 2, letra b), del RGPD. Se puede emitir cuando las operaciones de procesamiento han infringido las disposiciones del RGPD, y es una sanción más indulgente que una multa.
¿Cuándo puede ser relevante una amonestación para las empresas en caso de incumplimiento del RGPD?
Cuanto más graves sean las infracciones del RGPD, mayores serán las consecuencias. Una amonestación es un tipo de advertencia formal que la autoridad nacional de supervisión suele emitir cuando la infracción no es grave.
¿Qué son las infracciones menores en virtud del RGPD?
Cuando una violación de datos personales no da lugar a un riesgo significativo para los derechos y libertades de los interesados, se trata de una infracción menor.
Ejemplos de infracciones menores del RGPD:
Si una empresa envía accidentalmente un boletín informativo sobre detergentes a una dirección de correo electrónico incorrecta y el mensaje contiene el nombre del cliente. Con toda probabilidad, no conduce a un alto riesgo si otra persona se da cuenta de que alguien ha comprado detergente para ropa de la empresa.
¿Implica alguna diferencia si la infracción es intencionada o negligente?
Si se ha cometido una infracción del RGPD intencionadamente en lugar de por negligencia, existe una mayor probabilidad de que la empresa reciba una multa en lugar de una amonestación de la autoridad de control. Por lo tanto, es bueno conocer los conceptos de intención y negligencia.
Infracción intencional
Si alguien divulga, destruye o modifica a sabiendas datos personales, o procesa datos personales en violación de las reglas del RGPD, constituye una actividad que tiene lugar intencionalmente. Intención significa que la persona que a sabiendas causa la violación sabe lo que él o ella ha hecho, y lo quería o aceptó la consecuencia.
Ejemplo de intención
Un empleado procesa datos personales de manera ilegal e intencional descargando una copia del registro de clientes en su último día de empleo. Luego revelarlo a su nuevo empleador que es un competidor de la empresa.
Infracción negligente
Cuando una violación se produce por error, sin ninguna intención o conocimiento de la misma, o por falta de prudencia, la violación se ha producido debido a negligencia. Por ejemplo, puede deberse a que un empleado ha sido descuidado en el procesamiento de datos personales, pero no quiso causar ningún daño.
Ejemplo de negligencia
El gerente de TI crea cuentas de usuario para los nuevos empleados en su primer día hábil. A partir de entonces activa accidentalmente los derechos de administrador de una cuenta de usuario que no la tendría. Esto dio lugar a que el usuario tuviera acceso accidentalmente a más datos personales de los previstos. Viola el principio de protección de datos de minimización de datos.
Beneficio de la subsanación directa de las infracciones
Si una empresa incumple el RGPD y posteriormente está sujeta a notificación a la autoridad de control y es revisada por la autoridad de control, puede ser ventajoso subsanar las infracciones lo antes posible. Las vías de recurso deben adoptarse antes de que la autoridad de control adopte una decisión sobre el caso.
Si se refiere a una infracción menos grave del RGPD y la empresa ha adoptado medidas correctoras, la autoridad de control puede tener esto en cuenta y, en algunos casos, emitir una amonestación en lugar de una multa. En otras palabras, tomar medidas correctivas inmediatas puede considerarse un factor atenuante. Es incluso cuando la empresa está sujeta a un caso de supervisión en curso.
Limitar el daño y otras consecuencias
Las empresas deben tratar de limitar los riesgos y daños causados por una violación de datos personales o infracciones del RGPD. La autoridad de control tiene en cuenta las medidas correctoras adoptadas por la empresa a la hora de adoptar su decisión sobre una sanción adecuada.
Por ejemplo:
Si una empresa se convierte en víctima de una violación de datos, lo que lleva a que la información de la tarjeta de crédito caiga en las manos equivocadas, puede ser apropiado que la empresa informe inmediatamente a los interesados sobre la violación. Esto permitirá a los interesados bloquear sus tarjetas de crédito y evitar daños importantes. Cuanto más rápido se tome la acción correctiva, menor será el riesgo de daño.
APRENDE MÁS SOBRE RGPD
Las autoridades nacionales de control están facultadas para imponer multas administrativas a las empresas que infrinjan el RGPD
A las empresas que infrinjan el RGPD se les puede imponer una multa administrativa emitida por la autoridad nacional de supervisión. El importe de la multa depende de varios factores. Por ejemplo, el tamaño de la empresa, si la infracción se cometió intencionadamente, el número de interesados afectados, las categorías de datos personales en cuestión, etc. En el peor de los casos, las multas administrativas pueden ascender a muchos millones y tener consecuencias devastadoras para la empresa. El importe máximo para las infracciones graves es de 20 millones EUR. Alternativamente, hasta el 4 % del volumen de negocios anual mundial de la empresa (la más alta de las opciones).