Multas de hasta 20 millones de euros por protección de datos en Francia

En 2018 entrará en funcionamiento la Regulación de Protección de Datos europea y eso significa que las empresas y organizaciones de la UE tienen aproximadamente unos dos años para prepararse para la posibilidad de recibir multas de hasta el 4% del volumen total de negocio, pero las empresas en Francia tendrán que acostumbrarse mucho antes.

Una ley aprobada el pasado 26 de enero por la Asamblea Nacional Francesa y ratificada por el senado hace tan solo unos días modifica el actual artículo 47 de la Ley Francesa de Protección de Datos para dar a la Agencia de Protección de datos gala (CNIL) la autoridad para imponer multas de hasta 20 millones de euros o 4% del volumen de negocio por incumplimiento de la ley. Hasta ahora la multa máxima era de 150,000 euros.

La CNIL llevaba años quejándose por el poco poder de disuasión que las multas tenían para grandes multinacionales para las que 150,000 euros no era una cantidad significativa. En vista de estas reivindicaciones por parte de la agencia, varios diputados decidieron presentar enmiendas a la ley para aumentar los poderes sancionadores de la CNIL y el debate parlamentario que se celebró sobre el tema dejó claro hay un consenso mayoritario entre los grupos políticos sobre la necesidad de endurecer las sanciones en materia de protección de datos. El gobierno, a través del Secretario de Estado de Economía Digital, se opuso en principio pero acabó cediendo y apoyando la ley.

La nueva ley, tras una serie de modificaciones para adecuarla a la legalidad, contempla un primer nivel sanciones de hasta 10 millones de euros o 2% del volumen de negocio para infracciones consideradas menos graves y un segundo nivel con multas de hasta 20 millones de euros o hasta el 4% del volumen total de negocio para aquellos incumplimientos de la ley considerados más graves.

Este incremento del volumen de las sanciones le da a Francia una ventaja de dos años respecto al resto de países europeos para que sus empresas se adapten a un escenario de mayor autoridad y poder sancionador por parte de las autoridades de protección de datos.