Logotipo de destrucción de documentos
Consulta On-line
CONTACTE CON NOSOTROS

Sanciones por no cumplir el RGPD

Las sanciones por infracciones al RGPD se han endurecido

Ya se aplica el RGPD aprobado para todos los países de la UE y existen puntos que han cambiado con respecto a la LOPD vigente, de momento, en España. Por ejemplo las sanciones.

La protección de datos de usuarios es uno de los puntos más importantes sobre los que el nuevo RGPD pone especial atención; también habla específicamente sobre las responsabilidades del responsable y encargado de tratamiento.

Datos de recogida de papel y cartón

Podemos decir que el respeto a la privacidad y protección está por encima de cualquier uso que se le quiera dar a los datos y, de otro lado, aumentan las obligaciones de los profesionales que los manejen.
Deben existir poderes que supervisen y garanticen el cumplimiento de las normas referidas a la protección de datos y sanciones que castiguen las infracciones que se puedan producir de forma equivalente.

Nuevas sanciones del RGPD o GDPR (siglas en inglés)

El Reglamento General de Protección de Datos de 25 de abril de 2016, de aplicación en territorio español el pasado 25 de mayo, establece las siguientes sanciones:

• Multa administrativa por infracciones hasta un máximo de 10 millones de euros, o, tratándose de una empresa, de un máximo equivalente hasta el 2 % del volumen de negocio total global correspondiente al ejercicio anterior.
• Multa administrativa por infracciones hasta un máximo de 20 millones de euros, o, tratándose de una empresa, de un máximo equivalente hasta el 4 % del volumen de negocio total global correspondiente al ejercicio anterior.
• Multa administrativa por incumplimiento de determinadas resoluciones de la autoridad de control, de 20 millones de euros, o, tratándose de una empresa, de un máximo equivalente hasta el 4 % del volumen de negocio total global correspondiente al ejercicio anterior.

Con respecto a este sistema sancionador, cabe preguntarse qué tipo de infracciones pueden darse para que se abra un expediente administrativo que desemboque en semejante cuantía.

El RGPD y el Proyecto de Ley de Protección de Datos en España

Actualmente en el Parlamento Español se está tramitando un proyecto de Ley sobre Protección de Datos en el que se señalan como sujetos al régimen sancionador del RGPD, el responsable y encargado de tratamiento, excluyéndose la figura del delegado de protección de datos. Dentro de su Título IX, art. 76 se incorpora el procedimiento sancionador y las medidas correctoras que ya figuran en el Reglamento.

Asimismo en el Proyecto se incluyen las conductas que representan infracciones y que vienen tipificadas en el GDPR (en este caso por sus siglas en inglés según la UE, General Data Protection Regulation) dentro de su art. 83 apts. 4, 5 y 6.

Se trata de Infracciones, leves, graves y muy graves. Las leves hacen referencia a problemas de índole formal con respecto a obligaciones sobre el derecho a la información, transparencia, información acerca del delegado de protección, etc.

Este tipo de infracciones prescriben al año de producirse.

Las infracciones graves son vulneraciones importantes de los artículos de RGPD y hablan del uso de información de menores, ejercicio de derechos, medidas de seguridad, responsable y encargado de tratamiento de datos fuera de la UE, Evaluación de Impacto de Protección de Datos (EIPD), etc

Estas infracciones prescriben a los dos años.

Las llamadas infracciones muy graves se relacionan con los principios y garantías del RGPD. Es decir la legalidad sobre el tratamiento, validez del consentimiento, deber de información, de confidencialidad, transferencias de datos internacionales, etc.

Las muy graves prescriben a los tres años.

Por supuesto las sanciones pueden variar no solo en función de su gravedad, también debido a circunstancias que se encuentran reguladas en el Reglamento dentro del art. 83.2 y que va a ser tomado en cuenta por el Proyecto de Ley que se tramita en el parlamento.

Criterios de graduación de sanciones

Los criterios de valoración son:

• Naturaleza, gravedad y extensión en el tiempo de la infracción.
• Si existe dolo o negligencia.
• Si se han tomado medidas por parte de los responsables para paliar los daños sufridos por los interesados tras descubrirse el problema.
• La responsabilidad del responsable o del encargado de tratamiento, según las medidas de seguridad que se hayan aplicado.
• Cualquier infracción anterior cometida por el responsable o encargado del tratamiento.
• La cooperación que pueda haber habido por parte de la Autoridad de Control.
• La categoría de los datos de carácter personal que se hayan visto afectados por la infracción cometida.
• La manera en que la Autoridad de Control fue informada de la infracción; si lo hizo el responsable o el encargado, cómo y en qué medida.
• Si se cumplieron las medidas ordenadas por la Autoridad de Control.
• El grado de cumplimiento a los mecanismos de certificación.
Los factores que puedan ser agravantes o atenuantes que se puedan aplicar a cada uno de los casos, por ejemplo, el beneficio económico obtenido o los problemas evitados de forma directa o indirecta, según la infracción.

Apercibimiento dentro del RGPD

En el RGPD se habla también del apercibimiento dentro de sus considerandos, en los casos de que la infracción sea leve o también cuando exista una multa que sea desproporcionada tratándose de una persona física.

Aquí podría existir apercibimiento teniendo en cuenta circunstancias, que podrían ser, la naturaleza, de la infracción, duración, gravedad, intencionalidad, medidas adoptadas, etc. que podrían aplicarse.

El Proyecto de Ley de Protección de Datos que se tramita en España tiene en cuenta todo lo anterior tanto en el criterio sancionador, como en la prescripción y también en el caso del apercibimiento contemplando dentro de su articulado una serie de puntos con el objeto de completar el Reglamento y así favorecer una interpretación correcta sin que existan dudas cuando se apruebe la nueva Norma española. (Artículos 76 y 77)

Objeto del RGPD

Con el nuevo Reglamento, el régimen sancionador lo que pretende es potenciar la figura de los afectados frente al responsable y encargado del tratamiento, quienes se van a enfrentar a sanciones más importantes, con las que se pretende disuadir del incumplimiento del Reglamento General de Protección de Datos.
De paso es importante observar que el nuevo sistema normativo vela por el derecho a la intimidad de las personas, que es un derecho fundamental, para el cual se precisa una seguridad jurídica frente a cualquier posible agresión.
Ante este panorama, con el Reglamento ya en vigor y una Ley de Protección de Datos tramitándose, los responsables y encargados de tratamiento deben especializarse y tener muy en cuenta las consecuencias que pueden acarrear cualquier incumplimiento de los artículos vigentes en la normativa.


INFORMACIÓN Y PRESUPUESTO ON-LINE