Como hemos definido en POST anteriores . La norma ISO 27701 supone un mecanismo que puede favorecer tanto aumentar la madurez en las entidades que lo implanten en materia de privacidad y protección de datos, como demostrar el alineamiento con los principios y normas establecidos en el RGDP. Así lo define la Autoridad de Control Francesa de Protección de Datos (CNIL).

El RGDP incorpora un régimen sancionador que contiene multas especialmente importantes ante el incumplimiento de la norma. Así, las sanciones pueden llegar al 4% de la facturación de la entidad en el último año o a 20 millones de euros.

El Reglamento contiene una serie de disposiciones que permiten a las distintas autoridades de control graduar las sanciones; concretamente, en el artículo 83.2 RGPD establece una serie de criterios que sirven para graduar la sanción.

La RGDP establece una posibilidad de atenuación si la entidad se adhiere a un mecanismos de certificación aprobados conforme al artículo 42. También establece la posibilidad de que sirva como atenuante “cualquier otro factor”.

Las disposiciones del Reglamento en cuanto a la atenuación deben ser completadas conforme a lo dispuesto en la Ley Orgánica 3/2018 de Protección de Datos y Garantías de Derechos digitales.

Debemos hacernos la siguiente pregunta

¿Tener certificación ISO 27701, puede atenuar una posible sanción por el incumplimiento de lo dispuesto en el Reglamento General de Protección de datos?

Lo primero ha considerar es que, tener implantada la ISO 27701 no excluye que la entidad pueda cometer algún ilícito, pero sí reduce las posibilidades. Además, los controles de la ISO 27701 pueden suponer la mitigación del daño a terceros en la comisión de una infracción.

Dicho esto, y no teniendo la norma ISO 27701, a día de hoy, el reconocimiento de mecanismo de certificación aprobado conforme al artículo 42 RGPD; debemos decir, que la vía para atenuar la sanción podría ser la interpretación analógica del apartado j) del artículo 83.2 RGPD en el que favorece la atenuación de la sanción si la entidad tuviera un mecanismo de certificación.

Esta interpretación analógica además se refuerza con el criterio de la letra k) del citado artículo en el que dispone expresamente la posibilidad de atender a “cualquier otro factor agravante o aplicable a las circunstancias del caso”.

Desde luego, conforme a los criterios definidos, la AEPD , ante un indeseable incumplimiento de la norma, debería tener en cuenta el hecho de que una entidad tenga certificada la norma ISO 27701.

Santiago Cruz Roldan, Abogado.

UBT Legal & Compliance

AGENDAR LLAMADA