¿Pueden sancionarme por incumplir el RGPD?

El Reglamento general en materia de protección de datos (RGPD) introduce como novedad la posibilidad de imponer sanciones en caso de incumplimiento de la normativa en materia de protección de datos personales. En este artículo queremos aclarar las preguntas más frecuentes en esta materia.

¿Pueden sancionarme por incumplir el RGPD?

Sí, el RGPD establece que para garantizar la protección efectiva de los datos personales en la Unión Europea, es necesario reforzar los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de datos personales, (responsables y encargados) estableciendo un régimen de sanciones coherente y armonizado en todo el territorio europeo.

Si bien el RGPD establece un sistema de sanciones que permite un cierto margen de apreciación a los Esatdos miembros, en España será aplicable la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LO 3/2018) que contempla su régimen sancionador en el Título IX y que pasaremos a analizar a continuación.

Nuestra ley orgánica, tomando en consideración lo establecido en el RGPD, procede a describir las conductas típicas, distinguiendo entre:

  • infracciones muy graves,
  • infracciones graves e
  • infracciones leves

infracciones

¿En qué casos pueden sancionarme?

La ley orgánica española establece una exhaustiva lista de acciones consideradas contrarias a la normativa en protección de datos personales:

Infracciones muy graves

Entre las infracciones más graves destaca el tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto exigido por ley, la no designación de delegado de protección de datos cuando sea obligatorio o el uso de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contra con una base legal para ello o sin el consentimienot del afectado.

Para conocer en detalles las acciones consideradas como infracciones muy graves, lea atentamente el Artículo 72 de la LO 3/2018.

Infracciones graves

Ejemplo de infracciones graves serían las expuestas en el Artículo 73 de la ley orgánica española  como no disponer del registro de actividades de tratamiento de datos personales, no ponerlo a disposición de la autoridad de protección de datos que lo haya solicitado, no cooperar con las autoridades de control en el desempeño de sus funciones o el incumplimiento por parte del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

Infracciones leves

El Artículo 74 de la LO 3/2018 detalla las acciones tipificadas como infracciones leves. Entre ellas destaca especialmente el no disponer de un registro de actividades de tratamiento que incorpore toda la información exigida por la legislación en esta materia, la notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales o no poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento.

Las sanciones a imponer en materia de protección de datos personales han de ser efectivas, proporcionadas y disuasorias. La naturaleza de dichas sanciones, ya sea penal o administrativa, debe ser determinada por cada Estados miembro de la Unión Europea.

¿Qué cantidades pueden llegar a imponerse?

Las multas administrativas se impondrán, en función de las circunstancias de cada caso. Para decidir la imposición de una multa administrativa y su cuantía, el RGPD establece que se tendrá debidamente en cuenta:

  1. la naturaleza, gravedad y duración de la infracción, atendiendo al número de interesados afectados y el nivel de los daños y perjuicios sufridos;
  2. la intencionalidad o negligencia en la infracción;
  3. cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  4. el grado de responsabilidad del responsable o del encargado del tratamiento, considerando las medidas técnicas u organizativas que hayan aplicado;
  5. toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  6. el grado de cooperación con la autoridad de control;
  7. las categorías de los datos de carácter personal afectados por la infracción;
  8. la forma en que la autoridad de control tuvo conocimiento de la infracción;
  9. la adhesión a códigos de conducta o a mecanismos de certificación, y
  10. cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

fines

En caso de incumplimiento, pueden llegar a imponerse multas administrativas de hasta 20 millones de euros o tratándose de una empresa, de una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior (se optaría por la que suponga una mayor cuantía).

Cada Estado miembro podrá imponer las multas administrativas y/o sanciones que considere adecuadas para garantizar el cumplimiento del Reglamento.

¿A quién pueden imponerse las sanciones?

El Artículo 70 de la LO 3/2018 establece claramente que podrán imponérsele sanciones a:

a) responsables de los tratamientos
b) encargados de los tratamientos.
c) representantes de responsables/encargados de tratamientos no establecidos en la UE
d) entidades de certificación.
e) entidades acreditadas de supervisión de los códigos de conducta.

También podrá ser impuesto a la Administración General del Estado, de las CCAA y demás entidades locales, órganos jurisdiccionales, organismos públicos y entidades de derecho público, universidades y fundaciones públicas o el mismo Banco de España entre otras instituciones, según establece el Artículo 77 de la ley orgánica española.

Tanto el RGPD como la ley orgánica española declaran que este régimen sancionador no es aplicable al delegado de protección de datos.

Más información:

¿Qué ley aplicar en materia de protección de datos personales?

10 consejos prácticos para responsables de tratamientos de datos personales

Primeras sanciones por incumplir el RGPD

Sanciones por incumplir el RGPD en España

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: