L'Agència Espanyola de Protecció de Dades dóna per liquidat el règim sancionador de la LOPD, i entra en ple en les sancions milionà ries del RGPD
En efecte, fins avui l'AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES s'havia caracteritzat per tenir una polÃtica sancionadora seriosa i coherent, amb el marc establert per la LORTAD en el seu moment i últimament amb la LOPD, amb una forqueta d'imports d'una certa relació quant a tipus d'infracció, atenuants, agreujants i altres circumstà ncies modificatives de la responsabilitat administrativa (amb algunes excepcions, és clar):
Amb sorpresa per a propis i estranys, en aquestes últimes setmanes s'han publicat diverses resolucions sancionadores d'imports especialment cridaners, (caso BBVA PS/70/2019 i cas Caixa Bank PS/477/2019), que estableixen sancions milionà ries tant per a infraccions greus , i el que sorprèn més, per a lleus en els casos exposats.
És un canvi clar de lÃnia argumental en la correcció de conductes i per descomptat de precedent administratiu. Anul·lant per tant qualsevol criteri orientador anterior al RGPD en matèria d'import de les sancions.
En paraula del mateix òrgan de control â€... De res val argumentar que la LOPD preveia sancions per imports inferiors.... La veritat és que, en aquest aspecte, com en molts altres, el RGPD ha suposat un canvi de paradigma en la protecció de les dades personals, establint mesures amb un clar carà cter dissuasiu. N'hi ha prou amb examinar les sancions que, en aquesta matèria, han imposat recentment altres països europeus, que són públiques, per a entendre l'abast del canvi que comporta l'aplicació del RGPD...â€
És clar que el marc europeu, aixà com les noves capacitats legals obrien la porta al nou règim sancionador.
Les sancions comentades són d'un volum extraordinari (5 milions i 6 milions d'euros) respecte als precedents vinculats a l'antiga LOPD, però absolutament consonants amb les actuacions que altres autoritats de control estan adoptant a Europa. Cal destacar que es tracta de resolucions administratives extenses, minucioses i sens dubte molt treballades tècnicament, com és costum de l'AEPD (146 folis una i 177 l'altra...).
El dubte que se suscita en el sector és si els més que previsibles recursos judicials que interposin les entitats avui sancionades prosperessin, i en cas afirmatiu, fins on.
En efecte, l'element subjectiu de la sanció té en consideració el desvalor de les accions i el benefici obtingut de manera directa per l'il·lÃcit sancionat, la falta d'estructura, etc.. Estem segurs que les parts recurrents argumentessin sobre el precedent administratiu dels imports per infraccions semblants establertes en la LOPD, els possibles atenuants de l'antic article 45.5 de la LOPD ( avui 83.2 del RGPD), però com bé sembla deduir-se de la resolució, de poc servirà si l'única lÃnia de defensa per a impugnar l'import de la sanció proposada és l'aplicació de precedents d'una norma derogada per a aquest supòsit de fet com és la LOPD.
En tot cas, donem per descomptat que més tard o més d'hora, tindrem una més que previsible recurs contenciós administratiu que interposin les parts, no tenim dubte que la resolució judicial de la Sala del Contenciós de l'Audiència Nacional, que és l'òrgan competent per a conèixer d'aquesta mena de recursos, serà digna d'estudi, ja que marcarà una lÃnia d'actuació en matèria d'aplicació de graduació de sancions del RGPD, ja sigui validant i ratificant l'actuació de l'AEPD i el seu nou marc sancionador milionari o per contra, “suavitzarà †imports, matisant algun element que pogués canviar el signe de la resolució impugnada ajustant quantitats i interpretacions a posicions més clà ssiques i pròximes a l'antiga LOPD.
Ho veurem en un temps, estarem a l'espera i us tindrem informats.
Una salutació.