Sanciones de la Ley de Protección de Datos

sanciones de la ley de proteccion de datos
Tabla de contenidos

Tratar de evitar las posibles sanciones de la ley de protección de datos es uno de los aspectos más importantes de la normativa. Cumplir todos los requisitos recogidos en la normativa vigente no solo es un compromiso ético, sino también un requisito legal.

Desde WeOk te ofrecemos un artículo sobre las sanciones y multas por incumplir la protección de datos, algunos ejemplos, las causas más habituales, y como evitarlas.

 

Sanciones de la Ley de protección de datos

En general, la LOPDGDD y el RGPD incluyen las mismas sanciones por no cumplir la ley de protección de datos, pero es cierto que hay ciertas diferencias según cómo están recogidas en cada una de ellas.

Sanciones LOPDGDD

Las sanciones económicas en protección de datos determinadas por la Ley Orgánica de Protección de Datos se dividen en tres categorías:

  • multa por infracción muy grave: desde 300.001 a 20 millones de euros o el 4% de la facturación anual de la empresa (la mayor cantidad).
  • multa por infracción grave: desde 40.001 hasta 300.000 euros.
  • multa por infracción leve: hasta 40.000 euros.

Es importante tener en cuenta que las sanciones de la LOPDGDD incluyen como primera opción de sanción el apercibimiento.

 

Sanciones LOPDGDD

Ejemplos de sanciones LOPDGDD

Algunos ejemplos de infracciones muy graves recogidas en el artículo 72 de la LOPDGDD son:

  • la utilización de los datos para una finalidad incompatible con la finalidad para la que fueron recogidos, sin el consentimiento del afectado o sin una base legal.
  • la vulneración del deber de confidencialidad establecido en el artículo 5 de la LOPDGDD.
  • la exigencia de un pago para que el afectado tenga acceso a los datos.
  • el impedimento, la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en el RGPD.
  • La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad competente de protección de datos.

En el artículo 73 se recogen otros ejemplos de infracciones graves:

  • el tratamiento de datos personales de menores sin su consentimiento o el de su titular.
  • el incumplimiento de la obligación de designar un representante del responsable de tratamiento no establecido en el territorio de la UE conforme al Reglamento.
  • no disponer del registro de actividades de tratamiento o no ponerlo a disposición de la autoridad de protección de datos que lo haya solicitado.
  • el tratamiento de datos personales sin haber llevado a cabo la evaluación de impacto.
  • el incumplimiento del deber del encargado de tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que fuera consciente.

Por último, estos son algunos ejemplos de infracciones leves recogidos en el artículo 74 de la LOPDGDD:

  • el incumplimiento del principio de transparencia o el derecho de información del afectado.
  • el incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales.
  • el incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando fuera exigible de acuerdo al artículo 3 de la LOPDGDD.
  • el incumplimiento de la obligación de documentar cualquier violación de seguridad.
  • no publicar los datos de contacto del Delegado de Protección de Datos o no comunicarlos a la autoridad competente cuando su nombramiento sea obligatorio.

Sanciones RGPD

Las sanciones RGPD se dividen en dos grupos:

  • multas por infracciones muy graves: hasta 20 millones de euros o  el 4% del volumen de facturación anual (la cantidad superior).
  • multas por infracciones graves: hasta 10 millones de euros o  el 2% del volumen de facturación anual (la cantidad superior).

Ejemplos de sanciones RGPD

Las infracciones muy graves son las que vulneran ciertos artículos del Reglamento General de Protección de Datos. Por ejemplo:

  • los datos se recogen sin el consentimiento expreso del interesado.
  • no comunicar al interesado la finalidad del tratamiento de sus datos.
  • no comunicarle al interesado la existencia del derecho a la rectificación y supresión de datos personales.

Por otra parte, algunos ejemplos de infracciones graves recogidos por el RGPD son:

  • el encargado de tratamiento recurre a otro encargado sin la autorización previa por escrito del responsable.
  • el responsable no lleva un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
  • el responsable de tratamiento no coopera con la autoridad de control que lo solicite.

Cómo se calculan las sanciones RGPD y LOPDGDD

La Agencia Española de Protección de Datos (AEPD) tiene en cuenta una serie de criterios a la hora de establecer el importe de una sanción de protección de datos. Algunos de estos criterios son:

  • la naturaleza, gravedad y duración de la infracción.
  • el número de afectados.
  • la intencionalidad de la infracción.
  • el grado de responsabilidad del encargado de tratamiento.
  • la reiteración de infracciones.
  • las medidas tomadas por el responsable de tratamiento para reducir los daños sufridos por los interesados.
  • el grado de cooperación con la autoridad de control.

 

Causas habituales de las sanciones de la ley de protección de datos

Algunas de las causas más comunes en las que las empresas incurren y por las que reciben sanciones por no cumplir la ley de protección de datos son:

No tener legitimación completa para tratar los datos

Las empresas no pueden demostrar una base legal que justifique que el tratamiento de los datos es necesario, tal y como la norma exige.

No contar con las medidas de seguridad adecuadas

En la actualidad hay un gran número de brechas de seguridad que se debe a que muchas empresas no cuentan con medidas de seguridad adecuadas y suficientes para asegurar la protección de los datos personales de sus usuarios.

No cumplir con los principios para la protección de datos

La tercera causa más común por la que se sanciona a las empresas en materia de protección de datos es el incumplimiento de los principios de procesamiento de los datos, sin embargo, debemos decir que estas infracciones no suelen ser tan graves.

 

Procedimiento sancionador de las sanciones de la ley de protección de datos

La Agencia Española de Protección de Datos (AEPD) es el órgano que normalmente se encarga de imponer las sanciones en España. Sin embargo, si esta considera que no tiene competencia, trasladará el caso a la autoridad de control que considere competente.

La AEPD seguirá el siguiente procedimiento:

Procedimiento sancionador de las sanciones de la ley de protección de datos

 

Inicio del procedimiento

El proceso de establecer sanciones por vulnerar la ley de protección de datos puede iniciarse de dos formas:

  • cuando se produzca una posible infracción del reglamento.
  • cuando no se atiendan los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad.

Alegaciones

Es posible que se produzca una fase de alegaciones para determinar los derechos y las circunstancias del procedimiento. Esta fase siempre tendrá una duración máxima de 12 meses desde su admisión, desde que la AEPD actúe por iniciativa propia, o desde la comunicación por otro estado miembro de la UE.

Una vez terminada la fase de alegaciones previas, la AEPD determinará el inicio del procedimiento.

Actuaciones de inspección

Es posible que la AEPD realice actuaciones de inspección para tener una mejor visión de los hechos y circunstancias del procedimiento. Estas actuaciones tendrán una duración máxima de 18 meses desde la fecha del acuerdo de admisión a trámite o de iniciación.

Dentro de estas actuaciones de inspección se incluyen:

  • realizar inspecciones
  • inspeccionar los equipos
  • solicitar el envío de documentos
  • requerir la ejecución de tratamientos

Contratos de encargo de tratamiento

Los contratos de encargo de tratamiento suscritos antes del 25 de mayo de 2018 siguieron siendo válidos hasta su fecha de vencimiento o, si tenían vigencia indefinida, hasta el 25 de mayo de 2022. A partir de esa fecha, todos los contratos deben ser adaptados a los requisitos del RGPD y la LOPDGDD para evitar posibles sanciones.

 

Cómo evitar las sanciones por protección de datos

Para evitar las sanciones RGPD y LOPDGDD lo importante es cumplir con todo lo que dicte la normativa. Para ello, lo primero es estar al día con la ley y todas sus actualizaciones. Además, es importante tener presente qué datos utiliza la empresa y cómo se tratan. Algo que resulta muy útil en este aspecto es llevar a cabo la auditoría de protección de datos, que permite comprobar el nivel de cumplimiento de la normativa de protección de datos en la empresa.

 

Conoce las sanciones de la ley de protección de datos con WeOk

Como hemos visto, las sanciones de la ley de protección de datos pueden tener consecuencias importantes para tu empresa. Sin embargo, el cumplimiento de la normativa no debe verse solo como una obligación, sino también como una oportunidad de demostrar seguridad y garantizar confianza para tus clientes.

Desde WeOk te ofrecemos herramientas clave y asesoramiento experto en la materia, para que puedas delegar este proceso que sabemos que puede resultar algo complicado.

Si quieres más información, te invitamos a visitar nuestra entrada sobre el análisis de riesgos en protección de datos.

Si tienes cualquier consulta, no lo dudes y contáctanos.

WeOk

WeOk

ready to take your business to the next level?

Get in touch today and receive a complimentary consultation.

Request a consultation >