¿Cuáles son las infracciones y sanciones en el RGPD y la LOPD? ¿Cómo se gradúan las infracciones y sanciones en el RGPD y la LOPD? ¿Cuáles son las causas de infracción y la tipificación de las mismas? ¿Cuándo prescriben? ¡Conoce todo sobre la legislación del Delegado de Protección de Datos!
En la tribuna de hoy profundizamos en todas estas cuestiones relacionadas con las infracciones y sanciones en el RGPD y la LOPD.
Cuadro resumen Infracciones y sanciones en el RGPD
En los siguientes cuadros podremos ver de forma resumida las infracciones y sanciones en el RGPD y la LOPD así como la prescripción de las mismas.
Tipo de infracción |
Infracciones leves |
Infracciones graves |
Infracciones muy graves |
Artículos que regulan |
Las reguladas en: – El art. 74 de la LOPD 3/2018. |
Las reguladas en: – El art. 73 de la LOPD 3/2018. – El art. 83.4 del RGPD. |
Las reguladas en: – El art. 72 de la LOPD 3/2018. – El art. 83.5 del RGPD. – El art. 83.6 del RGPD
|
Sanciones |
No se regula una multa específica. |
Multa administrativa de 10.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. |
Multa administrativa de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. |
Prescripción de infracciones |
1 año |
2 años |
3 años |
Prescripción de sanciones |
Importe igual o inferior a 40.000€ prescriben en 1 año. |
Importe comprendido entre 40.001€ y 300.000€ prescriben en 2 años. |
Importe superior a 300.000€ prescriben en 3 años. |
Infracciones leves
Se consideran leves las siguientes infracciones:
- Incumplir el principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida en el RGPD.
- Exigir el pago de un canon para facilitar al afectado la información requerida en el RGPD o por atender las solicitudes de ejercicio de derechos de los afectados.
- No atender las solicitudes de ejercicio de los derechos de los afectados.
- No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
- Incumplir la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.
- Incumplir la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
- Incumplir la obligación de suprimir los datos referidos a una persona fallecida cuando fuera exigible.
- La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas.
- No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento.
- Incumplir la obligación del encargado del tratamiento de informar al responsable acerca de la posible infracción por una instrucción recibida de este.
- El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento.
- Disponer de un Registro de actividades de tratamiento que no incorpore toda la información necesaria.
- La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad.
- Incumplir la obligación de documentar cualquier violación de seguridad.
- Incumplir el deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo.
- Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa.
- No publicar los datos de contacto del DPD, o no comunicarlos a la autoridad de protección de datos.
- El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación.
- El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código.
Infracciones graves
Se consideran graves las siguientes infracciones:
- Tratar datos personales de un menor sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
- No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad.
- Impedir u obstaculizar de forma reiterada el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.
- La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento.
- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.
- Quebrantar, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado.
- Incumplir la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la UE.
- La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.
- La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas.
- Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito.
- La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
- La infracción por un encargado del tratamiento de lo dispuesto en el RGPD o la LOPDGDD, al determinar los fines y los medios del tratamiento.
- No disponer del registro de actividades de tratamiento.
- No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento.
- No cooperar con las autoridades de control.
- Tratar datos personales sin llevar a cabo una valoración previa de los riegos.
- Incumplir el deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
- Incumplir el deber de notificar a la autoridad de protección de datos de una violación de seguridad.
- Incumplir el deber de comunicación al afectado de una violación de la seguridad de los datos si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.
- Tratar datos personales sin haber llevado a cabo la EIPD en los supuestos en que la misma sea exigible.
- Tratar datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva.
- Incumplir la obligación de designar un DPD.
- No posibilitar la efectiva participación del DPD en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
- Utilizar un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.
- Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos.
- Desempeñar funciones que el RGPD reserva a los organismos de certificación, sin haber sido debidamente acreditado.
- El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido.
- Desempeñar funciones que el RGPD reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.
- La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código.
Infracciones muy graves
Se consideran muy graves las siguientes infracciones:
- Tratar datos personales vulnerando los principios y garantías establecidos en el RGPD.
- Tratar datos personales sin que concurra alguna de las condiciones de licitud del tratamiento.
- Incumplir los requisitos exigidos para la validez del consentimiento.
- Utilizar los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
- Tratar datos personales de las categorías especiales, sin que concurra alguna de las circunstancias previstas para su tratamiento.
- Tratar datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos.
- Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos.
- Omitir el deber de informar al afectado acerca del tratamiento de sus datos personales.
- Vulnerar el deber de confidencialidad.
- Exigir el pago de un canon para facilitar al afectado la información que se debe facilitar al interesado o por atender las solicitudes de ejercicio de derechos de los afectados.
- Impedir u obstaculizar de forma reiterada la atención del ejercicio de los derechos de los interesados.
- La transferencia internacional de datos personales, cuando no concurran las garantías, requisitos o excepciones establecidos para ello.
- Incumplir las resoluciones dictadas por la autoridad de protección de datos.
- Incumplir la obligación de bloqueo de los datos.
- No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos para el ejercicio de sus poderes de investigación.
- La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
- La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.
Puede profundizar en las Infracciones y sanciones en el RGPD matriculándose en el Curso de Delegado de Protección de Datos.
Deja un comentario