A partir del 20 de mayo de 2019, el Garante ya no tendrá que "tener en cuenta"
es la novedad, a efectos sancionatorios, del GDPR.
Como es sabido, el art. 22 del Decreto Legislativo 101/2019 disponía que el Garante de la Privacidad, al aplicar las sanciones administrativas previstas por el nuevo Reglamento Europeo (GDPR), "habría tenido en cuenta" la fase de su primera aplicación.
Una previsión genérica que, sin embargo, ha sido bien recibida durante el tiempo que ha durado, es decir, hasta el 20 de mayo de este año, cuando la efectividad de la regla mencionada ha dejado de ser efectiva. Una regla en la que las empresas habían depositado su esperanza, ya que la única sanción (que asciende a 50.000 euros) se impuso a la Asociación Rosseau por no haber dispuesto las medidas de seguridad adecuadas después de que la página web política gestionada por esta misma, había sufrido un data breach el verano del 2017.
Pero ahora el Garante de la privacidad ya no está obligado a ser comprensivo y puede proceder a imponer las sanciones previstas por el GDPR con la amplia discreción que permiten las disposiciones genéricas del mismo reglamento. Basta con decir que el GDPR cuantifica las multas solo en el máximo, indicado en 10 millones - o 20 millones - de euros, según la facturación anual. Y el Garante, al liquidarlas, debe tener en cuenta criterios tales como: la naturaleza maliciosa o negligente de las violaciones, los precedentes de la persona responsable de las propias violaciones, la naturaleza y gravedad de las infracciones, el número de víctimas, las medidas tomadas para mitigar el daño y la cooperación proporcionada al Garante por la persona responsable de la violación (LC).
