Blog

Protección de Datos

Infracciones y sanciones de protección de datos

25 abril, 2019

Una de las novedades destacadas del Reglamento (UE) 2016/679 de Protección de Datos es el establecimiento de un nuevo régimen sancionador.

La anterior Ley Orgánica 15/1999 de Protección de Datos (LOPD) contemplaba multas de hasta un máximo de 600.000 euros en caso de incumplimiento. Con la nueva normativa, las empresas que no cumplan las obligaciones se exponen a multas de hasta 20 millones de euros o el 4% de la facturación anual.

 

NUEVO RÉGIMEN SANCIONADOR

El Reglamento Europeo ha incrementado considerablemente el régimen sancionador, aunque dejando amplia flexibilidad para determinar la cuantía de las sanciones.

El RGPD fija dos franjas económicas en función del tipo de infracciones que detecten las autoridades de control:

  • Hasta 10 millones de euros o, en caso de una empresa, hasta el 2% de la facturación.
  • Hasta 20 millones de euros o, en caso de una empresa, hasta el 4% de la facturación.

 

TIPO DE SANCIONES DE PROTECCIÓN DE DATOS

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales desarrolla el sistema de sanciones del RGPD. La LOPDGDD categoriza las infracciones en muy graves, graves y leves. Algunos de los actos sancionables de cada uno de los tres niveles, así como los plazos de prescripción, son:

 

Infracciones muy graves (prescriben a los 3 años)
  • Vulnerar los principios establecidos en el RGPD.
  • Incumplir los requisitos exigidos para la validez del consentimiento.
  • Tratar datos personales para una finalidad distinta para la cual fueron recogidos.
  • Exigir un pago para atender las solicitudes de ejercicio de derechos.
  • Realizar una transferencia internacional de datos personales sin garantías.
  • Incumplir resoluciones dictadas por la autoridad de protección de datos.
  • Revertir deliberadamente la anonimización con el fin de reidentificar a los titulares.

 

Infracciones graves (prescriben a los 2 años):
  • Tratar datos de un menor de edad sin su consentimiento, o el de los padres o tutores legales si procede.
  • No adoptar medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos o un nivel de seguridad adecuado.
  • Contratar un encargado de tratamiento que no ofrezca las garantías suficientes o sin la previa formalización de un contrato.
  • No disponer del registro de actividades de tratamiento.
  • No notificar una violación de seguridad de los datos a la autoridad de control.
  • Tratar datos personales sin realizar una evaluación del impacto cuando sea exigible.
  • No designar un delegado de protección de datos (DPD) cuando sea obligatorio.

 

Infracciones leves (prescriben en 1 año):
  • No cumplir el principio de transparencia de la información.
  • Incumplir el deber de informar al interesado.
  • No suprimir los datos referidos a una persona fallecida cuando ello fuera obligatorio.
  • Disponer de un Registro de actividades de tratamiento incompleto.
  • Notificar una violación de seguridad a la autoridad de protección de datos de forma defectuosa.
  • No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la autoridad de control.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *