Ponente: JAVIER ALVAREZ HERNANDO
Taller: VISION PRACTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE DATOS Y COMPLIANCE.
ORGANIZA: THOMSON REUTERS
LUGAR: ASOCIACION DE LA PRENSA DE MADRID.
FECHA: 22/09/2017
BREVE REFERENCIA AL CONTENIDO:
Novedades del Reglamento General de Protección de Datos, de aplicación a partir de Mayo de 2018. El Reglamento establece un cambio de paradigma en materia de protección de datos. Propone un modelo basado en criterios como, la responsabilidad activa, flexibilidad, la importancia del contexto y la cooperación, dirigido tanto a entidades públicas, privadas, autoridades de protección de datos.
En la presentación se analizan las novedades más importantes, a juicio del ponente, que ofrece la nueva regulación sobre privacidad.
ADECUACION DE LAS ORGANIZACIONES AL NUEVO MODELO NORMATIVO DE PROTECCION DE DATOS
1. Madrid, 22 de septiembre de 2017. Asociación de la Prensa de Madrid
VISION PRÁCTICA PARA LA EMPRESA: NOVEDADES EN PROTECCION DE
DATOS Y COMPLIANCE
ADECUACION DE LAS ORGANIZACIONES AL
NUEVO MODELO NORMATIVO DE
PROTECCION DE DATOS
Javier Alvarez Hernando. Abogado. @_JavierAlvarez
2. MARCO JURÍDICO
Novedades Reglamento:
o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (LOPD).
o Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la LOPD.
o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de
abril de 2016 relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE:
§ Aplicable a partir del 25 de mayo de 2018.
§ Propone un modelo de protección de datos basado en criterios como la responsabilidad
activa, la flexibilidad, la importancia del contexto y la cooperación.
o Anteproyecto de la Ley Orgánica de Protección de Datos de carácter
personal.
3. Protección de datos.
Novedades introducidas por el Reglamento Europeo.
• El derecho a la protección de datos sigue considerándose como
un derecho fundamental (no absoluto), si bien ahora se
reconoce expresamente en el REPD (Considerandos 1 y 4) y en el
Anteproyecto LOPD (art. 1.2).
4. ü El REPD establece un cambio de paradigma en materia de protección de
datos. Propone un modelo basado en criterios como, la responsabilidad
activa, flexibilidad, la importancia del contexto y la cooperación, dirigido
tanto a entidades públicas, privadas, autoridades de protección de datos.
ü Reglamento implica una aplicación directa, sin necesidad de transposición, y
un desplazamiento de normas nacionales. Cabe su desarrollo por los
Estados Miembros en supuestos de aclaración de conceptos, determinar las
condiciones del tratamiento para cumplir una ley o en interés público (art 6.2)
o tratamiento de datos sensibles (art. 9.2); limitar los derechos de los
interesados (art. 23.1); multas si o no a AAPP (83.7); otras sanciones que no
sean multas (84.1); consentimiento menores; extensión DPD otros sectores…
ü NO se contempla la inscripción, modificación o supresión de ficheros (RGPD).
DESAPARECE LA OBLIGACION.
Protección de datos.
Novedades introducidas por el Reglamento
Europeo.
5. Ámbito de aplicación más amplio: el REPD se
aplica a responsables y a encargados:
• establecidos en la UE si tratan
datos personales.
• no establecidos en la UE si realizan
tratamiento de datos que deriven de
la oferta de bienes y servicios
destinados a ciudadanos europeos,
o bien como consecuencia de la
monitorización o seguimiento de su
comportamiento. Estas
organizaciones deben designar un
representante en la UE e informar
de ello a los ciudadanos.
6. Definiciones más amplias y conceptos nuevos:
ü Datos personales: Se entiende por dato personal (art. 4.1 REPD): (... toda
información sobre una persona física identificada o identificable (“el
interesado"); se considerará persona física identificable toda persona cuya
identidad pueda determinarse, directa o indirectamente, en particular
mediante un identificador (NOVEDAD), como por ejemplo un nombre, un
número de identificación, datos de localización, un identificador en línea o
uno o varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona…
ü Datos sensibles: se incluyen datos genéticos y biométricos.
ü Seudonomización: no es un método de anonimización; simplemente,
reduce la vinculabilidad de un conjunto de datos con la identidad original del
interesado y es, en consecuencia, una medida de seguridad útil. Consiste en
la sustitución de un atributo (normalmente un atributo único) por otro en un
registro.
7. Novedades en el Reglamento Europeo de Protección de Datos.
Datos de contacto de personas jurídicas
o Con el RLOPD actualmente vigente, los datos de contacto de personas jurídicas en
determinadas circunstancias, se les excluía del ámbito de aplicación de la LOPD,
cuestión que parece cambiar con el Reglamento Europeo que no hace mención
alguna a exclusiones para este tipo de datos, si bien el tratamiento de estos datos
encuentra su legitimación en la regla de ponderación de intereses del artículo 6.1
f) del REPD.
o El anteproyecto de reforma de la LOPD (artículo 12) señala que es posible que ese
tratamiento se encuentre amparado en la regla de ponderación de intereses del art. 6.1
f) del REPD si:
• Tratamiento de mínimos datos imprescindibles para su localización profesional.
• Tratamiento con fines de mantenimiento de relaciones de cualquier tipo con la
persona jurídica.
o Artículo 6 REPD Licitud del tratamiento 1. El tratamiento solo será lícito si se cumple
al menos una de las siguientes condiciones: f) el tratamiento es necesario para la
satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o
por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los
derechos y libertades fundamentales del interesado que requieran la protección de
datos personales, en particular cuando el interesado sea un niño.
8. Legitimación para tratar datos personales
ü El Reglamento Europeo mantiene los principios ya recogidos tanto en la
Directiva 95/46/CE, como en la LOPD, consistente en que todo tratamiento
de datos personales exige una base jurídica que lo legitime, a saber (art. 6
REPD):
• Consentimiento de afectado.
• Existencia de una relación contractual.
• Existencia de un interés legítimo prevalente del responsable o de
terceros a los que se ceden o comunican los datos personales. No
aplicable a la AAPP.
• Justificado en una necesidad vital del interesado.
• Cuando resulte una obligación legal para el responsable del
tratamiento.
• Exista un interés público o se derive del ejercicio de poderes públicos.
ü Este principio de tratamiento leal y lícito debe vincularse al principio de
transparencia.
9. Consentimiento inequívoco y explícito.
ü El Reglamento impone que el consentimiento para
tratar datos personales, con carácter general, sea
libre, informado, específico e inequívoco. El
consentimiento debe prestarse mediante una acción
positiva del interesado, es decir, no será válido como
hasta ahora, el consentimiento tácito.
ü Por otro lado, para datos sensibles (origen étnico,
opiniones políticas, salud, orientación sexual…);
perfilado o TID se requiere un
“consentimiento explícito”, es decir, que la
declaración se refiera de forma explícita al
consentimiento y al tratamiento en cuestión.
ü Hay que tener presente que el consentimiento
obtenido debe ser verificable, es decir, que la entidad
que lo ha recogido esté en condiciones de demostrar
que la obtención del consentimiento respetó las
directrices legales indicadas anteriormente.
10. Interés legítimo como base jurídica para el tratamiento
de datos
ü el tratamiento será licito si es necesario para la satisfacción de intereses
legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los derechos
y libertades fundamentales del interesado.
ü Directiva 95/46/CE y la LOPD: el art. 7 f) de la Directiva 95/46/CE. Efecto
directo de este artículo según Sentencia TJUE 24/11/2011.
AEPD: los centros educativos pueden facilitar las calificaciones de sus hijos
mayores de edad; publicación en un web de una asociación farmacéutica de
compensaciones económicas dadas a profesionales sanitarios; videovigilancia
(cesión de imágenes de la policía a entidades respecto a atracos en bancos); …
ü Art. 6.1 f) del REPD se refiere a esta figura. Requiere una evaluación meticulosa
(C 47). En las evaluaciones de impacto hay que describir este interés legitimo (art.
35.7). Considerando (47): constituye un interés legítimo los tratamientos de
datos:
• necesarios para la prevención del fraude,
• y con fines de mercadotecnia directa (como posibilidad).
• cesiones dentro de un grupo empresarial (C 48)
11. Calidad de los datos.
ü El legislador comunitario ha mantenido, en esencia, el principio de calidad
(adecuación, finalidad o pertinencia y proporcionalidad), que se contienen en
el artículo 4 de la LOPD.
ü se incorpora la exigencia de que los datos personales deben ser adecuados,
pertinentes, limitados (principio de minimización de datos), y deben ser
objeto de tratamiento durante el tiempo estrictamente necesario
atendiendo a los fines del mismo (Art. 5).
12. Principio de información
Información que debe prestarse según la LOPD
• La existencia de un fichero o tratamiento de datos, de la finalidad de la recogida de éstos y de los
destinatarios de la información.
• El carácter obligatorio o facultativo de la respuesta a las preguntas que sean planteadas.
• Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
• La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
• La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Información adicional que debe proporcionarse según el Reglamento Europeo.
• Los datos de contacto del delegado de protección de datos, en el caso de existir.
• Identificación de la base jurídica o legitimación del tratamiento.
• El plazo o los criterios de conservación de la información.
• La existencia de decisiones automatizadas o elaboración de perfiles: (art. 22, apartados 1 y 4), y al
menos en tales casos: a) información significativa sobre la lógica aplicada; b) la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.
• La previsión de transferencias internacionales de datos.
• El derecho a presentar una reclamación ante la Autoridad de Control.
• Y en el caso de que los datos no se hubieran obtenido del propio interesado debe informarse acerca
del origen de los datos y las categorías de los mismos. 1 mes para hacerlo, o en la 1ª comunicación
(debe indicarse la FAP).
13. Información por capas o niveles
ü Por el principio de transparencia
(arts. 12.1 REPD y 21.1. A. Reforma
LOPD) la información a los
interesados debe proporcionarse
con un lenguaje claro y sencillo; de
forma concisa, transparente,
inteligible y de fácil acceso.
ü Información proporcionada por
capas o niveles (art. 21 A. Reforma
LOPD): información básica +
información adicional. “Guía para el
cumplimiento del deber de informar”,
publicada en 2017 AEPD.
14. Derechos de los interesados
ü Se mantienen los derechos existentes, pero se
refuerzan algo mas, y se crean otros: como el derecho
al olvido y el derecho a la portabilidad.
ü El derecho al olvido (recogido en la Sentencia del
TJUE de 13 de mayo de 2014) supone que el
interesado pueda solicitar el bloqueo de los resultados
de los buscadores en Internet que se refieran a ellos y
estas resulten obsoletas, incompletas, falsas o
irrelevantes y no tengan un interés público.
ü El derecho a la portabilidad implica que el interesado
puede solicitar a la entidad que esté tratando sus datos
de forma automatizada, su recuperación en un formato
que permita su traslado a otra entidad responsable,
incluso de forma directa. Pensemos en los sistemas de
computación en nube o cloud computing.
15. Encargados del tratamiento
ü El Reglamento Europeo exige en su art. 28.1. que las relaciones
responsable/encargado del tratamiento se regulen en un contrato,
o en un acto jurídico (esta es la novedad).
ü Se regula, de una forma minuciosa, el contenido mínimo de los
contratos de encargo con acceso a datos por cuenta de terceros.
ü Con el REPD, se introduce un principio de responsabilidad activa,
en la elección y supervisión de los encargados, los cuales deben
ofrecer garantías suficientes para aplicar las medidas técnicas y
organizativas apropiadas, conforme establece el Reglamento. En
este sentido Art 30 A Reforma LOPD), realización de una evaluación
de impacto y la consulta previa. El propio precepto menciona una
serie de riesgos concretos que pueden aconsejar la adopción de
medidas técnicas y organizativas adecuadas.
16. Responsabilidad activa
ü Se introduce el principio de accountability (art. 24) que exige aplicar
criterios de responsabilidad activa, de tal guisa que las obligaciones de los
responsables se dirigen de forma esencial a la adopción de medidas
preventivas que deben de “estar en condiciones de acreditar“: A TRAVES DE
MECANISMOS DE CERTIFICACION. Con este objetivo se configuran una
batería de medidas:
17. Protección de datos desde el diseño.
ü La protección de datos desde el diseño (Privacy by Design) a fin de asegurar
que las garantías de protección de los datos se incorporan ya en la
temprana fase de planificación de los procedimientos y sistemas:
adopción de medidas técnicas y organizativas (seunimización,
minimización…) Hay que analizar la naturaleza, el ámbito, contexto, finalidad
tratamiento, los riesgos, estado de la técnica, coste… (art. 25)
18. Protección de datos por defecto
ü La configuración predefinida de los mecanismos de recogida de
datos personales sólo debe recopilar aquellos datos que sean
estrictamente necesarios. (art. 25).
19. Mantenimiento de un registro de las actividades de tratamiento de
datos (art. 30 y C 82 y 33 del A Reforma LOPD):
ü Obligadas empresas que
empleen a más de 250
personas, y aquellas que
realicen tratamientos con
riesgo; no de forma ocasional;
tratamiento con categorías
especiales de datos o con
datos relativos a condenas e
infracciones penales.
ü Responsables como
encargados.
ü Por escrito (formato
electrónico) y a disposición de
la AEPD.
20. Delegado de protección de datos
ü Persona encargada informar a la entidad responsable o al encargado sobre
sus obligaciones legales en protección de datos, así como de velar o
supervisar el cumplimiento normativo al respecto, y de cooperar con la
autoridad de control y actuar como punto de contacto entre ésta y la entidad
responsable.
ü Uno de los ejes fundamentales del ppio. res. activa (art. 39).
ü Funciones:
ü información y asesoramiento normativo (Evaluaciones Impacto,
registro actividades, empleados..).
ü supervisión de cumplimiento normativo. Auditoria (informe anual,
formación…)
ü cooperación y enlace con la autoridad de control.
ü atención a los interesados.
21. Delegado de protección de datos
Cuando es necesario un DPD (art. 37 REPD y 35 A Reforma LOPD):
v REDP: Entidades públicas; Privadas que tratan datos especiales a gran escala, en su
actividad principal
v Colegios profesionales;
v Centros docentes que ofrezcan enseñanzas regladas. Universidades;
v Entidades que exploten redes y presten servicios de comunicaciones electrónicas;
v Prestadores de servicios de la sociedad de la información que recaben información de los
usuarios Entidades dedicadas al juego on line.;
v Entidades responsables de sistemas de información crediticia;
v Establecimientos financieros de crédito;
v Empresas de servicios de inversión,
v Entidades aseguradoras y reaseguradoras;
v Distribuidores y comercializadores de energía eléctrica o gas natural;
v Ficheros comunes para la evaluación de la solvencia patrimonial y crédito;
v Entidades que desarrollen actividades de publicidad que impliquen análisis de preferencias o
elaboración de perfiles;
v Centros sanitarios;
v Entidades que elaboran informes comerciales acerca de personas y empresas.
v Seguridad privada.
22. Delegado de protección de datos
ü Obligación de comunicación en 10 días a la AEPD que lo publicara en su sede
electrónica. (art. 35.3 y 4 A Reforma LOPD).
ü La figura del DPD (art 37.5): debe ser designado atendiendo a sus cualidades
profesionales y, en particular, se refiere expresamente el Reglamento a sus
conocimientos especializados del Derecho y la práctica en materia de protección
de datos y a su capacidad para desempeñar las funciones asignadas.
ü Art. 36 A Reforma LOPD: “el DPD, sea una persona física o jurídica, deberá reunir los
requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 y demostrar
reconocida competencia en la materia. Los requisitos podrán acreditarse por los medios
correspondientes, incluidos los mecanismos de certificación”.
ü En el Esquema de la AEPD de certificación de delegados de protección de datos se
recogen las competencias requeridas: MODELO DE CERTIFICACION: dos esquemas
de certificación (siguiendo los criterios de la norma internacional ISO/IEC 17024:2012)de
la siguiente forma:
1. esquema que acredite aquellas entidades para que, a su vez, puedan actuar como
certificadoras de DPO. Corresponderá a ENAC acreditar a las mencionadas
entidades.
2. esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos
necesarios para que se pueda obtener esta certificación.
23. Evaluaciones de impacto sobre la protección de datos
(EIPD):
ü La realización de evaluaciones de
impacto es, básicamente, un ejercicio
de análisis de los RIESGOS que un
determinado sistema de información,
producto o servicio puede entrañar
para el derecho a la protección de
datos y, como consecuencia de ese
análisis, la gestión de dichos riesgos
mediante la adopción de las
MEDIDAS necesarias para eliminar o
mitigar en lo posible aquellos que se
hayan identificado.
ü Arts. 35 y 36 REPD. Considerando 84.
ü Guía de la AEPD para una Evaluación
del Impacto en la Protección de Datos
Personales, de 29 de octubre de 2014.
24. Supuestos tasados en los que se exige una Evaluación de impacto
ü Cuando un tratamiento vaya a entrañar un alto riesgo para los derechos y libertades
de las personas físicas atendiendo a si se emplean nuevas tecnologías, por su
naturaleza, alcance, contexto o fines
ü Cuando se realice una evaluación sistemática y exhaustiva de aspectos
personales de personas físicas (análisis de perfiles);
ü tratamiento a gran escala de las categorías especiales de datos o de los datos
personales relativos a condenas e infracciones penales.
ü Observación sistemática a gran escala de una zona de acceso público, como,
por ejemplo cuando se utilicen dispositivos optoelectrónicos (C 91)
ü EJEMPLOS: hay finalidades de tratamiento que suponen una invasión notable de la
privacidad (AEPD) como la monitorización del comportamiento o la publicidad basada
en el mismo, la elaboración de perfiles de cualquier tipo, la verificación de la
idoneidad para determinadas tareas, la evaluación de la personalidad o de la
situación financiera, laboral, social, familiar, formación, gustos o aficiones y las que
impliquen el tratamiento de datos especialmente protegidos; uso de drones; etiquetas
de radiofrecuencia o RFID…
ü El Considerando (91) del REPD aclara que el tratamiento de datos personales no debe
considerarse a gran escala si se realiza, respecto de datos personales de pacientes o
clientes, un solo médico, otro profesional de la salud o abogado. En estos casos, la
evaluación de impacto no debe ser obligatoria.
25. Consulta previa a la AEPD en las Evaluaciones de impacto
ü El responsable debe consultar a la
AEPD o autoridad de control,
previamente a comenzar el
tratamiento de datos cuando una
evaluación de impacto muestre que
el tratamiento entrañaría un alto
riesgo si el responsable no toma
medidas para mitigarlo (art. 36.1).
ü La autoridad de control deberá, en
un plazo de 8 semanas desde la
solicitud de la consulta, asesorar por
escrito al responsable
26. MEDIDAS DE SEGURIDAD FLEXIBLES ADECUADAS AL RIESGO
ü El art. 24.1 del REPD impone la obligación de
adoptar medidas técnicas y organizativas
adecuadas a la naturaleza, el ámbito, el
contexto y los fines del tratamiento, así como
los riesgos de diversa índole y gravedad
(destrucción, perdida o alteración accidental, y
el acceso o cesión no autorizadas).
ü La AEPD ha entendido que la tradicional división
en tres niveles de seguridad (básico, medio, alto)
no puede considerarse suficiente para valorar el
riesgo.
ü El REPD no hace referencia a la necesidad de
mantener un “documento de seguridad”
…………..(Registro de las actividades de
tratamiento)
27. Medidas de seguridad de mínimos.
ü El REPD, en su artículo 32, referido a la “seguridad del tratamiento” determina una
serie de medidas que deben implementarse como MINIMO. Teniendo en cuenta el
estado de la técnica, los costes, y la naturaleza, el alcance, el contexto y los
fines del tratamiento, así como riesgos de probabilidad y gravedad variables , el
responsable y el encargado deben aplicar medidas para garantizar un nivel de
seguridad adecuado al riesgo, que incluya, entre otros:
ü La seudonimización: separación de los datos identificativos con barreras técnicas u
organizativas que impidan su identificación posterior.
ü El cifrado de datos personales.
ü La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
(capacidad de un sistema de soportar y recuperarse ante desastres y perturbaciones.)
permanentes de los sistemas y servicios de tratamiento
ü La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida en caso de incidente físico o técnico.
ü Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
28. Notificación de violaciones o quiebras de la seguridad de los datos
a la AEPD.
ü Si se detecta una violación de la seguridad de los datos, se impone la
OBLIGACION a notificarla, sin dilación indebida, a la autoridad de control, a
más tardar 72 horas después de que haya tenido constancia de ella.
ü Esta obligación no se impone en el caso de que “sea improbable que
dicha violación de la seguridad constituya un riesgo para los derechos
y las libertades de las personas físicas”. Es, decir, el responsable debe
analizar subjetivamente el supuesto concreto y determinar ese improbable
riesgo.
ü En cualquier caso, el responsable debe documentar cualquier violación
de la seguridad de los datos personales, incluidos los hechos relacionados
con ella, sus efectos y las medidas correctivas adoptadas (art. 33.5).
29. Notificación de violaciones o quiebras de la seguridad de los datos
a los afectados.
ü Cuando sea probable que la violación de la seguridad de los datos personales
entrañe un alto riesgo para los derechos y libertades de las personas físicas, el
responsable lo deberá comunicar al interesado sin dilación indebida con un
“lenguaje claro y sencillo”, como mínimo (art. 34 y C86).:
• La naturaleza de la violación de la seguridad de los datos.
• Nombre y datos de contacto del DPO de la organización.
• Una descripción de las posibles consecuencias de la violación de seguridad.
• Una descripción de las medidas adoptadas para corregir la violación o, al menos,
mitigar sus efectos.
ü Esta comunicación NO es necesaria si se cumplen ALGUNA de las
condiciones siguientes
• el responsable haya adoptado medidas de protección apropiadas sobre los datos
afectados, en particular aquellas que hagan ininteligibles los datos personales para
personas no autorizadas, como el cifrado;
• el responsable haya tomado medidas ulteriores que garanticen que ya no exista
la probabilidad de que se concretice el alto riesgo
• suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por
una comunicación pública o una medida semejante por la que se informe de manera
igualmente efectiva a los interesados.
30. Régimen sancionador en el Reglamento
ü El régimen sancionador en el REPD se
introduce en sus artículos 83 y 84,
efectuándose aclaraciones sobre estos
preceptos en los Considerandos 148 a
152 inclusive.
ü El artículo 83 (apartados 1 y 9) del REPD
señala que las imposiciones de multas
administrativas por vulneración del
Reglamento deben ser:
ü Aplicadas al caso individual (también,
el 83.2)
ü Efectivas;
ü Proporcionadas;
ü Disuasorias.
31. SANCIONES
ü Las multas pueden ir desde los 10 millones de euros,
o si se trata de una empresa, el 2% como máximo del
volumen de negocio total anual del ejercicio anterior;
hasta los 20 millones de euros o, si es una empresa,
el 4% como máximo del volumen de negocio total
anual del ejercicio anterior; y en ambos casos en el
supuesto de poder elegirse, debe optarse por la
multa resultante de mayor cuantía.
32. Graduación y atenuación de las sanciones.
ü El régimen de graduación y atenuación de las
sanciones se contempla en el apartado 2º y 3º del
meritado artículo 83 REPD, y presenta como gran
novedad el establecimiento de una modulación que
tiene en cuenta el llamado principio de
responsabilidad proactiva o accountability. Incluso,
los Considerandos aclaran que debe existir la distinción
en el infractor de si es una empresa o no lo es, en
cuyo caso, debe tenerse en cuenta sus circunstancias,
incluso, el nivel de vida del País a la hora de
determinar la sanción económica a imponer.
33. Medidas adicionales o sustitutivas de las multas
El artículo 83.2 señala que las multas se impondrán, adicionalmente, o de
forma sustitutiva a las siguientes medidas (del artículo 58, apartado 2, letras a)
a h) y j):
ü Advertencia (antes de producirse la infracción).
ü Apercibimiento (una vez producida la infracción).
ü Requerimiento de atención de los ejercicios de derechos.
ü Requerir para que los tratamientos se realicen de una determinada
manera y dentro de un plazo;
ü Requerir para que se comunique al interesado las violaciones de la
seguridad de los datos;
ü imponer una limitación temporal o definitiva del tratamiento, incluida su
prohibición;
ü ordenar la rectificación o supresión de datos o la limitación de
tratamiento; y en su caso su notificación al interesado.
ü retirar una certificación u ordenar al organismo de certificación que retire
una certificación; u ordenar que no se emita.
ü ordenar la suspensión de una transferencia internacional de datos.