Régimen sancionador en protección de datos

AGRADECIMIENTOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
PRÓLOGO
JOSÉ LUIS PIÑAR MAÑAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
INTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
CAPÍTULO I
LA PROTECCIÓN DE DATOS PERSONALES EN EL SIGLO XXI . 33
CAPÍTULO II
LAS AUTORIDADES DE CONTROL DE PROTECCIÓN DE
DATOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
1. Los poderes de las autoridades de control . . . . . . . . . . . . . . . . . . 39
2. Poderes de investigación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3. Poderes correctivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.1. La advertencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.2. El apercibimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.3. Cumplimiento de derechos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.4. Orden de ajustarse al RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.5. Suspensión de transferencias internacionales . . . . . . . . . . . . . . . 59
3.6. Orden de comunicar a los interesados la brecha de seguridad de
sus datos personales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
13
Página
3.7. Retirar una certificación u ordenar al organismo de certificación
que retire la emitida u ordenar que no la emita si no se cumplen o
dejan de cumplirse los requisitos para la certificación . . . . . . . . . 62
3.8. Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.9. Imponer una multa administrativa conforme al artículo 83
RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
4. La articulación de los poderes correctivos en la LOPDGDD . . 65
CAPÍTULO III
LA POSICIÓN DEL RECLAMANTE . . . . . . . . . . . . . . . . . . . . . . . . . . 69
1. El derecho a interponer una reclamación en el RGPD . . . . . . . 69
2. Las reclamaciones colectivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
3. Reclamaciones según su contenido . . . . . . . . . . . . . . . . . . . . . . . . 79
4. Formas de iniciar los procedimientos de investigación . . . . . . 89
5. el reclamante en el procedimiento sancionador . . . . . . . . . . . . . 95
6. Acumulación de reclamaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
7. El canal prioritario de reclamaciones de la AEPD . . . . . . . . . . . 103
8. Otras formas de resolver una reclamación . . . . . . . . . . . . . . . . . . 107
8.1. Las soluciones amistosas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
8.2. El delegado de protección de datos y la LOPDGDD . . . . . . . . . . 108
8.3. Organismos de supervisión de los códigos de conducta . . . . . . . 110
9. El recurso ante los órganos jurisdiccionales . . . . . . . . . . . . . . . . 113
9.1. Legitimación en vía jurisdiccional . . . . . . . . . . . . . . . . . . . . . . . 113
9.2. Reclamaciones de indemnización por daños y perjuicios . . . . . . 121
CAPÍTULO IV
LA POSICIÓN DEL RECLAMADO . . . . . . . . . . . . . . . . . . . . . . . . . . 131
1. Sujetos responsables en el RGPD y la LOPDGDD . . . . . . . . . . 131
Página
RÉGIMEN SANCIONADOR EN PROTECCIÓN DE DATOS
14
Página
1.1. Responsabilidad de responsables y encargados . . . . . . . . . . . . . . 133
1.2. Responsabilidad de Corresponsables, Representantes de entidades
radicadas fuera de la Unión Europea, Entidades de certificación y
Entidades acreditadas de supervisión de códigos tipo . . . . . . . . . 139
2. EL delegado de protección de datos ante los procedimientos
sancionadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
3. La impunidad de las Administraciones públicas . . . . . . . . . . . . 148
3.1. Consideraciones previas: la condición de Administración para no
ser multada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
3.2. Referencia a la situación en otros países . . . . . . . . . . . . . . . . . . . 156
3.3. Posible solución . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
4. La responsabilidad de las personas físicas . . . . . . . . . . . . . . . . . 170
4.1. Algunos ejemplos de multas a personas físicas . . . . . . . . . . . . . . 170
4.2. El RGPD y las personas físicas . . . . . . . . . . . . . . . . . . . . . . . . . . 173
4.3. El RGPD y la «excepción doméstica» . . . . . . . . . . . . . . . . . . . . . 177
4.4. Los menores como responsables . . . . . . . . . . . . . . . . . . . . . . . . . . 180
4.5. Criterios para multar a las personas físicas: el caso Danés . . . . . 184
4.6. Otras posibles soluciones fuera de la protección de datos . . . . . . 186
CAPÍTULO V
TIPIFICACIÓN Y PRESCRIPCIÓN DE INFRACCIONES Y GRADUACIÓN DE LAS CUANTÍAS DE LAS MULTAS . . . . . . . . . . . . 193
1. Los principios de la potestad sancionadora . . . . . . . . . . . . . . . . . 193
1.1. El principio de tipicidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
1.2. La prescripción en la LOPDGDD . . . . . . . . . . . . . . . . . . . . . . . . 198
1.3. Deficiencias de la tipificación de infracciones del art. 86 apartados
4, 5 y 6 del RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
1.4. ¿Qué ocurre con las infracciones de la LOPDGDD? . . . . . . . . . 203
1.5. Las infracciones de los denominados «Derechos Digitales» . . . . 205
1.6. La imputación de los principios vs el resto de las infracciones . . 209
Página
ÍNDICE GENERAL
15
Página
2. Criterios para cuantificar las multas . . . . . . . . . . . . . . . . . . . . . . . 212
2.1. Los criterios del RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
2.2. Los criterios del RGPD y su posible aplicación a la figura del
apercibimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
2.3. Los criterios de la LOPDGDD para cuantificar las multas . . . . 222
2.4. La aplicación de los criterios de cuantificación de las multas por
las Autoridades de Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
2.5. Cómo se deberían aplicar los criterios de graduación de las multas . 231
3. Las Directrices 4/2022 del CEPD sobre cómo calcular las multas
administrativas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233
CAPÍTULO VI
LAS RECLAMACIONES TRANSFRONTERIZAS . . . . . . . . . . . . . . 241
1. Autoridad competente de supervisión con la LOPD y Directiva
95/46 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242
2. Breve aproximación al origen de las reclamaciones transfronterizas en el Derecho de la Unión . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
3. Criterios del RGPD para determinar una reclamación como
transfronteriza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
3.1. Concepto de tratamiento transfronterizo . . . . . . . . . . . . . . . . . . 257
3.2. Concepto de establecimiento principal del responsable . . . . . . . . 259
3.3. Concepto de establecimiento principal del encargado . . . . . . . . . 266
3.4. Autoridad de Control principal y Autoridad de Control interesada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
3.5. Modificación de la Autoridad de Control principal por cambio del
establecimiento principal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
4. Lecciones aprendidas de la sentencia del TJUE de 15 de junio
de 2021: asunto Autoridad de Control belga vs Facebook . . . . 273
5. Resoluciones sancionadoras a una entidad con tres establecimientos situados en diferentes territorios . . . . . . . . . . . . . . . . . . 276
Página
RÉGIMEN SANCIONADOR EN PROTECCIÓN DE DATOS
16
Página
6. Resoluciones sancionadoras conflictivas . . . . . . . . . . . . . . . . . . . 279
6.1. La multa a Google de 50 millones de € . . . . . . . . . . . . . . . . . . . . 280
6.2. La multa a H&M de más de 35 millones de € . . . . . . . . . . . . . . . 281
6.3. La multa a TikTok de 750.000 millones de € . . . . . . . . . . . . . . . . 283
7. Procedimiento para tramitar una reclamación transfronteriza
mediante la cooperación entre autoridades de control . . . . . . . 284
7.1. El IMI como sistema de traslado de reclamaciones entre autoridades de control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
7.2. Las Directrices del CEPD sobre el art. 60 del RGPD . . . . . . . . . 286
7.3. La Propuesta de Reglamento sobre el procedimiento de las reclamaciones transfronterizas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
7.4. Asistencia mutua y operaciones conjuntas de las Autoridades de
Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
7.5. Objeción pertinente y motivada al proyecto de decisión . . . . . . . 293
7.6. Otras cuestiones sobre el proyecto de decisión . . . . . . . . . . . . . . 296
7.7. El procedimiento de cooperación en el RGPD y la LOPDGDD . 298
7.8. Divergencias entre el procedimiento de las reclamaciones transfronterizas y el procedimiento de las reclamaciones locales . . . . . 301
8. Las primeras resoluciones de reclamaciones transfronterizas . 302
9. El mecanismo de coherencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
10. primer caso de aplicación del mecanismo de coherencia: la brecha de seguridad sufrida por la red social Twitter . . . . . . . . . . . 312
11. Otros supuestos en los que se ha aplicado el mecanismo de coherencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
12. El procedimiento de urgencia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324
13. La situación de la Autoridad Irlandesa de Protección de Datos . . 332
14. La cooperación en las reclamaciones interpuestas por NOYB . 335
15. La aplicación de la LSSI como norma especial . . . . . . . . . . . . . . 344
16. Los efectos del «Brexit» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
17. Las reclamaciones «extratransfronterizas» . . . . . . . . . . . . . . . . . . 350
18. Las reclamaciones cuando existe corresponsabilidad . . . . . . . . 356
Página
ÍNDICE GENERAL
17
Página
CAPÍTULO VII
CONCLUSIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
1. Sobre la necesidad de una norma europea que complete el régimen sancionador del RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361
2. Sobre la posible modificación del RGPD . . . . . . . . . . . . . . . . . . 364
3. Reflexión sobre las reclamaciones transfronterizas . . . . . . . . . . 365
4. Sobre la posible modificación de la LOPDGDD . . . . . . . . . . . . 367
5. Recomendaciones dirigidas a la AEPD . . . . . . . . . . . . . . . . . . . . 369
6. Otras cuestiones recomendables . . . . . . . . . . . . . . . . . . . . . . . . . . 372
BIBLIOGRAFÍA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
LEGISLACIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
1. Unión Europea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
2. Nacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
3. Autonómica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
4. Legislación de otros países . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
JURISPRUDENCIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
1. Europea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
2. Nacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
DIRECTRICES, INFORMES, GUÍAS Y OTROS DOCUMENTOS . 415
1. Adoptados por las instituciones europeas . . . . . . . . . . . . . . . . . . 415
2. Adoptados por la AEPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
3. Adoptados por otras autoridades de control de protección de
datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430
RESOLUCIONES DE LAS AUTORIDADES DE CONTROL DE
PROTECCIÓN DE DATOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
1. Adoptadas por la AEPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
1.1. Resoluciones de archivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
Página
RÉGIMEN SANCIONADOR EN PROTECCIÓN DE DATOS
18
Página
1.2. Resoluciones sancionadoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
1.3. Resoluciones de apercibimientos . . . . . . . . . . . . . . . . . . . . . . . . . 447
1.4. Resoluciones sobre reclamaciones de derechos . . . . . . . . . . . . . . . 448
1.5. Otras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448
2. Adoptadas por otras autoridades de control . . . . . . . . . . . . . . . . 449
OTRAS FUENTES CONSULTADAS . . . . . . . . . . . . . . . . . . . . . . . . . . 453
1. Diversas entidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
2. Medios de comunicación y webs . . . . . . . . . . . . . . . . . . . . . . . . . . 454