Cuando hablamos de incumplimiento de la normativa de protección de datos solemos hacer alusión a las “inspecciones” y a las sanciones, pero ¿realmente sabemos qué sanciones podemos tener y cuál es la cuantía de estas sanciones? ¿Sabemos si estas sanciones prescriben?
Analicemos esta temática…
La LOPD establece, en sus artículos 72, 73 y 74 infracciones de tres tipos: leves, graves y muy graves, las cuales son las siguientes:
Infracciones leves
- El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida.
- La exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.
- No atender las solicitudes de ejercicio de los derechos establecidos, salvo que resultase de aplicación lo dispuesto en el artículo 72.1.k) de la LOPDGDD.
- No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de la LOPDGDD.
- El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.
- El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
- El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.
Infracciones graves
- El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
- No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre este.
- El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.
- La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.
- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.
- El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado.
Infracciones muy graves
- El tratamiento de datos personales vulnerando los principios y garantías establecidos.
- El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento.
- El incumplimiento de los requisitos exigidos para la validez del consentimiento.
- La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
- El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas.
- El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos.
- El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos.
- La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales.
- La vulneración del deber de confidencialidad.
- La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos de los afectados, fuera de los supuestos establecidos.
- El impedimento o la obstaculización o la no atención reiterada del ejercicio de un derecho.
CUANTÍA DE LAS SANCIONES
Multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Se impone esta sanción cuando se cometen infracciones sobre:
- Las obligaciones del responsable y del encargado aplicables al consentimiento del menor en relación con los servicios de la Sociedad de la Información.
- Las obligaciones del responsable y del encargado aplicables a tratamientos que no requieren identificación.
- Las obligaciones del responsable y del encargado aplicables a la protección de datos desde el diseño.
- Las obligaciones del responsable y del encargado aplicables a los corresponsables del tratamiento.
- Las obligaciones del responsable y del encargado aplicables a los representantes de los responsables del tratamiento no establecidos en la UE.
- Las obligaciones del responsable y del encargado aplicables a tratamientos bajo la autoridad del responsable y del encargado del tratamiento.
- Las obligaciones del responsable y del encargado aplicables al registro de las actividades del tratamiento.
- Las obligaciones del responsable y del encargado aplicables a la cooperación con la autoridad de control.
- Las obligaciones del responsable y del encargado aplicables a la seguridad del tratamiento.
- Las obligaciones del responsable y del encargado aplicables a la evaluación de impacto relativa a la protección de datos.
- Las obligaciones del responsable y del encargado aplicables a las consultas previas.
- Las obligaciones del responsable y del encargado con respecto a la figura del delegado de protección de datos.
- Las obligaciones del responsable y del encargado sobre la certificación y los organismos de certificación (notificación de una violación de seguridad a la autoridad de control, comunicación de una violación de seguridad al interesado, garantías de certificación).
Multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Se impone esta sanción cuando se cometen infracciones sobre:
- Los principios básicos para el tratamiento, las condiciones para el consentimiento, licitud del tratamiento, tratamiento de categorías especiales de datos personales.
- Los derechos de los interesados.
- Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional.
- Todas las obligaciones relativas a las situaciones específicas de tratamiento.
- El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control o el no facilitar acceso en incumplimiento.
PLAZO DE PRESCRIPCIÓN DE LAS SANCIONES
Infracciones Muy Graves: A los 3 años
Infracciones Graves: A los 2 años
Infracciones Leves: Al año
CONTRATA AHORA TU PROTECCION DE DATOS Y TE EVITAREMOS SANCIONES INNECESARIAS PORQUE PARA ALTABIR LA TRANQUILIDAD DE NUESTROS CLIENTES ES LO PRIMERO
TENEMOS UN AMPLIO CATÁLOGO DE SERVICIOS DE PROTECCIÓN DE DATOS Y CIBERSEGURIDAD
Artículo publicado por Elisa Campoy Soler
Consultora Experta y Delegada de Protección de Datos en Grupo Altabir