La Agencia Española de Protección de Datos (AEPD), con sede en Madrid, como dice su propio Estatuto, “es una autoridad administrativa independiente de ámbito estatal con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones” y que entre otras facultades posee la de ejercer la potestad sancionadora en supuestos de infracciones en materia de protección de datos de carácter personal.
Ya nos hemos acostumbrado a ver en la prensa o en redes sanciones millonarias contra grandes empresas por infracciones en materia de protección de datos de carácter personal. De la memoria anual de la AEPD se desprende que las mayores multas impuestas por la AEPD en 2022 fueron para Google LLC, de diez millones de euros; Caixabank, S.A., de dos millones cien mil euros, y Amazon Road Transport Spain, S.L., de dos millones de euros.
No obstante son también cada vez más frecuentes sanciones a empresas medianas y pequeñas por infracciones en materia de protección de datos, que aun siendo sus importes significativamente inferiores, pueden llegar a constituir un verdadero problema financiero para la empresa sancionada, aspecto este que debería hacer a las empresas entender que la protección de datos de carácter personal no debe ser un tema menor en el análisis de riesgos corporativos en la medida que cada vez es mayor el riesgo de ser sancionado con una multa significativa.
De hecho, llama la atención en la Memoria mencionada que ha habido un incremento en el número de multas entre 2021 y 2022 del 47% siendo las áreas con mayor importe global de multas los servicios de internet (55%), publicidad (11%) y asuntos laborales (11%) y es esperable que la tenencia aumente en 2023. La mayor parte de los procedimientos sancionadores sigue siendo igual que en 2021 relacionados con la videovigilancia (29%), servicios de internet (15%) y administraciones públicas (9%).
A la hora de fijar las sanciones, la AEPD debe atenerse a lo previsto en el Reglamento (UE) 2016/679 de 27 de abril, de Protección de Datos y en la Ley Orgánica 3/2018 de Protección de Datos de 5 de diciembre, que básicamente lo que hacen es fijar unos límites máximos que son de menor a mayor dependiendo si la infracción cometida es leve, grave o muy grave debiendo eso sí garantizar que la sanción sea en cada caso efectiva, proporcionada y disuasoria atendiendo a las circunstancias de cada caso concreto.
Aspectos como la naturaleza, gravedad y duración de la infracción, la intencionalidad o negligencia, medidas adoptadas para paliar los daños, reiteración, cooperación con la autoridad de control… son todos ellos factores que la AEPD debe tener en cuenta a la hora de fijar la cuantía de la infracción, ya sea leve, grave o muy grave.
Es importante para los infractores ser conscientes de que el período de prescripción de la infracción es de uno, dos o tres años dependiendo de si es leve, grave o muy grave respectivamente, es decir, que en los casos de mucha gravedad hasta transcurridos tres años uno no está a salvo de la actividad sancionadora de la AEPD por lo que será bueno prever dicha contingencia.
Lo cierto es que dado que las autoridades de control de los distintos estados miembros de la Unión Europea (la AEPD y sus equivalentes) estaban sancionando según su criterio en atención a los parámetros fijados y que dichas sanciones estaban generando diferencias entre unos estados u otros, es por ello por lo que la AEDP ha publicado el pasado 27 de julio las directrices 04/2022 sobre el cálculo de las multas bajo el Reglamento Europeo de Protección de Datos.
Con dicho documento, el Consejo Europeo de Protección de Datos ha pretendido, por tanto, armonizar la metodología que utilizan las autoridades de control al calcular el importe de la multa con el fin de evitar que las sanciones en unos estados difieran de las de otros estados ante infracciones equivalentes.
Dichas directrices no vendrán mal en particular ante el tratamiento que las autoridades de control realicen en sus procedimientos sancionadores, por ejemplo ante retos como el que supone la inteligencia artificial en materia de protección de datos ante los reguladores de los distintos miembros de la Unión Europea.
Dicha tecnología implica tratamientos globales que pueden tener un importante impacto sobre los derechos de los ciudadanos europeos que requieren de acciones armonizadas y coordinadas a nivel europeo, que de hecho ha generado, como publicó en abril la AEPD, el inicio de oficio de actuaciones previas de investigación en particular a la empresa OpenAI, propietaria del servicio ChatGPT, todavía pendiente de resolución.
El desenlace al respecto lo veremos pronto y nada sería mejor que una respuesta armonizada de los distintos estados miembros de la Unión Europea que garantizaran una adecuada protección de los datos de carácter personal de los ciudadanos europeos frente al tratamiento indiscriminado de datos de carácter personal en el marco del uso de los sistemas modernos de inteligencia artificial sin importar el territorio en el que estuvieran.