Sanciones infracciones RGPD Y LOPDGDD

Es necesario recordar que la Agencia española de protección de datos realiza la imposición de sanciones bien por la presentación de denuncias o bien si realiza inspecciones por propia iniciativa.  

Además, será objeto de publicación en el BOE la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea en este caso la Agencia española de protección de datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica. Ejemplo 

LOPDGDD, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

RGPD Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)

Las sanciones en protección de datos en la LOPD se dividen en:

Sanción por infracciones leves: Hasta 40.000 euros.

Sanción por infracciones graves: de 40.001 euros a 300.000 euros.

Sanción por infracciones muy graves: de 300.001 euros a 20 millones de euros o el 4% volumen de facturación anual (la cuantía que resulte superior).

La agencia española de protección de datos podrá imponer multas por infringir el RGPD y LOPD garantizando que serán efectivas, proporcionadas y disuasorias.

Las sanciones leves: es decir las sanciones por importe igual o inferior a 40.000 euros prescriben en el plazo de un año.

Las sanciones graves: es decir las sanciones comprendidas entre 40.000 y 300.000 euros prescriben a los dos años.

Las sanciones muy graves: es decir las sanciones por un importe superior a 300.000 euros prescriben a los tres años. 

El apercibimiento

También se contempla en la LOPDGDD el apercibimiento como opción para determinado tipo de sanciones. 

Que significa apercibimiento: Posibilidad excepcional otorgada al órgano judicial de no acordar la apertura del procedimiento sancionador y en su lugar requerir al sujeto responsable para que en un determinado plazo adopte las medidas correctoras pertinentes y el sujeto no hubiera sido apercibido con anterioridad.

La decisión de la Autoridad de Control en este caso la Agencia española de protección de datos  para imponer una multa administrativa y calcular su importe tendrá en cuenta:

• La naturaleza, gravedad y duración de la infracción en relación con el fin del tratamiento. 

• El número de interesados afectados.

• El nivel de los perjuicios sufridos por los interesados. 

• La intencionalidad o negligencia de la infracción.

• Las categorías de datos afectados por la infracción. 

• El grado de responsabilidad del Responsable del Tratamiento o Encargado del Tratamiento.

• La reiteración de infracciones del Responsable del Tratamiento o Encargado del Tratamiento.

• Las medidas tomadas por el Responsable del Tratamiento o Encargado del Tratamiento para paliar los perjuicios sufridos por los      interesados.

• El grado de cooperación con la Autoridad de Control con el fin de remediar la infracción y mitigar sus posibles efectos adversos.

• La forma en que la Autoridad de Control ha tenido conocimiento de la infracción (si se ha notificado, o en la medida que se ha hecho).

• El cumplimiento de las medidas ordenadas previamente por la Autoridad de Control contra el Responsable del Tratamiento o Encargado del Tratamiento en relación con el asunto.

• La adhesión a códigos de conducta o a mecanismos de certificación aprobados por la Autoridad de Control.

• Otros factores agravantes o atenuantes aplicables a las circunstancias de cada caso, como:

• Los beneficios financieros obtenidos o las pérdidas evitadas por la infracción.

• El carácter continuado de la infracción.

• La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.

• La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.

• La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

• La afectación a los derechos de los menores. 

• Disponer, cuando no fuere obligatorio, de un DPO.

• El sometimiento por parte del Responsable del Tratamiento o Encargado del Tratamiento, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

• El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del RGPD. 

• La exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del reglamento de protección de datos.

• No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.

• No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado.

• El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo 19 del RGPD.

• El  incumplimiento  de  la  obligación  de  informar  al  afectado, cuando  así  lo  haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.

• El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de la LOPDGDD.

• La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo  26  del  Reglamento  o  la  inexactitud  en  la  determinación  de  las mismas.

• No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento.

• La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones de la normativa de protección de datos. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme a la legislación de protección de datos o en los supuestos en que fuese necesario para evitar la infracción de la  legislación  y  se  hubiese  advertido  de  ello  al responsable o al encargado del tratamiento.

• Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del RGPD.

• La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una brecha de seguridad de los datos personales. 

• El incumplimiento de la obligación de documentar cualquier brecha de seguridad. 

• El incumplimiento del deber de comunicación al afectado de una brecha de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados.

• Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa.

• No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.

• El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación.

• El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código.

• El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.

• No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela.

• El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado.

• La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.

• La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.

• La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

• La falta de la debida diligencia, de las medidas técnicas y organizativas en la seguridad de los datos personales.

• El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea.

• La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

• La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas. 

• Encargar el tratamiento  de  datos  a  un  tercero  sin la previa formalización de un contrato u otro acto jurídico.

• La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

• La infracción por un encargado del tratamiento, al determinar los fines y los medios del tratamiento.

• No disponer del registro de actividades de tratamiento.

• No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento.

• No cooperar con las autoridades de control en el desempeño de sus funciones.

• El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos necesarios y mencionados en el artículo 28 del RGPD.

• El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

• El incumplimiento del deber de notificación a la autoridad de protección de datos de una brecha de seguridad de los datos personales.

• El incumplimiento del deber de comunicación al afectado de una brecha de la seguridad de los datos si  el  responsable  del  tratamiento  hubiera  sido  requerido  por  la  autoridad  de protección de datos para llevar a cabo dicha notificación.

• El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

• El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del Reglamento o cuando la ley establezca la obligación de llevar a cabo esa consulta.

• El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea obligatorio su nombramiento.

• No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

• La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.

• Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos.

• El desempeño de funciones que el RGPD reserva a los organismos  de  certificación, sin  haber  sido  debidamente  acreditado.

• El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido reglamentariamente.

• El  desempeño  de  funciones  que  el  artículo  41  del  Reglamento  (UE) 2016/679 reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.

• La falta de adopción por parte de los organismos acreditados de supervisión de un código  de  conducta  de  las  medidas  que  resulten  oportunas  en  caso  que  se  hubiera producido una infracción del código.

• El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del RGPD. Estos son los principios de: “licitud, lealtad y transparencia” , “limitación de la finalidad del tratamiento”, “minimización de datos” , “exactitud de los datos” , “limitación del plazo de conservación” “integridad y confidencialidad”.

• El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del RGPD. El tratamiento será licito si se cumple al menos una de las siguientes condiciones: 

-El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; Artículo 6.1. a) (RGPD)

-El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; Artículo 6.1. b) (RGPD)

-El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; Artículo 6.1. c) (RGPD)

-El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; Artículo 6.1  d) (RGPD)

-El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; Artículo 6.1. e)  RGPD

-El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre  que  sobre  dichos  intereses no  prevalezcan los  intereses o  los  derechos  y  libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Artículo 6.1. f) (RGPD)

• El incumplimiento de los requisitos exigidos por el artículo 7 del RGPD para la validez del consentimiento.

• La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.

• El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, (categorías especiales de datos) sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de la LOPDGDD.

• El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 10 de la LOPDGDD.

• El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de la LOPDGDD.

• La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del RGPD.

• La vulneración del deber de confidencialidad establecido en el artículo 5 de la LOPDGDD.

• La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 fuera de los supuestos establecidos en su artículo 12.5.

• El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

• La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos  o  excepciones  establecidos en  los  artículos  44  a  49  del  RGPD.

• El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el RGPD.

• El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de la LOPDGDD.

• No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.

• La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

• La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

Son sujetos obligados: 

Los responsables y encargados del tratamiento.

Los representantes del responsable o encargado no establecidos en el territorio de la UE.

Las entidades de certificación.

Las entidades acreditadas de supervisión de los códigos de conducta. 

No está sujeto al régimen sancionador: 

El delegado de protección de datos (DPO)

Las sanciones más impuestas por parte de la agencia española de protección de datos suelen realizarse por no cumplir con los siguientes artículos de RGPD :

Artículo 5 del RGPD: El incumplimiento de los principios generales de tratamiento de datos. Ejemplo  

Artículo 6 del RGPD: El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679, es decir la falta de una base legal para realizar el tratamiento de datos. Ejemplo

Artículos 13 y 14 del RGPD: que constituye el incumplimiento del deber de informar sobre el tratamiento de datos. Ejemplo 

Artículo 32 del RGPD: El incumplimiento de medidas de seguridad insuficientes o inexistentes  para proteger los datos personales. Ejemplo 

Artículos del 15 al 22 del RGPD: El incumplimiento de los derechos de los interesados. Enlace 

Artículo 58 RGPD: Cooperación insuficiente con la Agencia Española de protección de datos. Enlace 

La agencia española de protección de datos también impone sanciones a individuos particulares cuando se exceden en el tratamiento de datos personales. En el ejemplo que añadimos a continuación se impone una sanción a un individuo por la instalación de una cámara de videovigilancia junto a la entrada de la vivienda que es susceptible de captar imágenes de zonas comunitarias del inmueble donde se ubica la vivienda. Enlace a la resolución. 

Además, la agencia española de protección de datos también tiene potestad para imponer sanciones de la aplicación de la ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI) sobre la vulneración del artículo 22 de la LSSI. Ejemplo

En este enlace o este otro enlace podrás visualizar una web que contiene una lista y una descripción general de las multas y sanciones que las autoridades de protección de datos de la UE han impuesto en virtud del Reglamento general de protección de datos (RGPD)

El Consejo Europeo de Protección de Datos (CEPD) ha adoptado unas directrices para armonizar la metodología que utilizan las autoridades de control al calcular el importe de la multa. 

Estas Directrices están destinadas a ser utilizadas por las autoridades de control para garantizar una aplicación y cumplimiento coherentes del RGPD

Estas Directrices tienen por objeto regular y sentar las bases de la fijación de multas por parte de las autoridades supervisoras a nivel general. Las orientaciones establecidas se aplican a todos los tipos de responsables y encargados del tratamiento, excepto las personas físicas cuando no actúan como empresas. Esto no afecta a las facultades de las autoridades nacionales para imponer multas a las personas físicas.

El cálculo del importe de la multa queda a discreción de la autoridad de control (en España la Agencia española de protección de datos).  Además, al fijar el importe de la multa, las autoridades de control tendrán debidamente en cuenta una lista de circunstancias que se refieran a las características de la infracción (su gravedad) o al carácter del autor. Por lo tanto, la cuantificación del importe de la multa se basa en una evaluación específica realizada en cada caso, teniendo en cuenta los parámetros incluidos en el RGPD

Las sanciones por el tratamiento transfronterizo de datos con respecto al Reglamento General de Protección de Datos de la Unión Europea son especialmente relevantes para las organizaciones que operan en múltiples estados miembros o que manejan datos de ciudadanos de la UE desde fuera de la Unión. El RGPD se diseñó para garantizar un enfoque coherente en toda la UE en cuanto a la protección de datos, incluidas las actividades transfronterizas.

Sanciones Transfronterizas

Cuando se trata de infracciones relacionadas con el tratamiento transfronterizo de datos, el GDPR establece un mecanismo de cooperación entre las Autoridades de Protección de Datos de los diferentes estados miembros, conocido como el "mecanismo de ventanilla única". Este mecanismo permite que una autoridad de control, generalmente en el estado miembro donde la organización tiene su principal establecimiento en la Unión europea, actúe como punto de contacto principal y coordine la investigación y las sanciones con otras Autoridades de protección de datos involucradas.

Si se realiza el tratamiento de datos en distintos países, la Autoridad de protección de datos competente (que será la autoridad principal en sus relaciones con otras Autoridades de protección de datos implicadas en la UE) es la Autoridad del país de la UE en el que tenga su establecimiento principal. Se identifica su administración central en la UE como el lugar donde se toman las decisiones sobre los fines y los medios del tratamiento de los datos personales y donde se encuentra el poder para aplicar estas decisiones. Si no cuenta con una administración central en la Unión Europea, el establecimiento principal será el lugar donde se realice el ejercicio real y efectivo de las actividades de gestión que determinan las principales decisiones, tales como los fines y los medios del tratamiento.

Si usted efectúa el tratamiento de datos con el fin de dar cumplimiento a una obligación jurídica nacional, solo la Autoridad de protección de datos de ese país de la Unión Europea será competente.

Ejemplo

El establecimiento principal de una empresa textil (es decir, su sede central) está en Portugal. Tiene sucursales en países de la comunidad europea, como España, Italia, Grecia y Francia. En estos países sus sucursales crean bases de datos que tratan los datos personales de los clientes para fines de mercadotecnia. Sin embargo, las decisiones sobre cómo ponerse en contacto con estos clientes, cuándo y por qué se toman en la sede central de Portugal. Por tanto, en este caso, la decisión del tratamiento de los datos personales para fines de mercadotecnia se considera que se toma en Portugal. La Autoridad de protección de datos principal de Portugal es la autoridad principal de su empresa.

A través del “Sistema de Información del Mercado Interior” (Sistema IMI) se realizan estos procedimientos, cuyo objetivo es favorecer la cooperación administrativa transfronteriza, la asistencia mutua entre los Estados miembros y el intercambio de información.