Todavía hay empresas y profesionales que desconocen que incumplir la normativa de protección de datos personales puede exponerles a sanciones económicas que en los casos más graves, pueden alcanzar hasta los 20 millones de euros. En esta entrada vamos a detallar las sanciones RGPD y LOPD existentes, cómo se gradúan y aplican.
Sanciones establecidas por el RGPD y la LOPDGDD según el tipo de infracción
Más allá de los riesgos que la mala gestión de una empresa o un profesional puede ocasionar en la información personal de los interesados y los lógicos daños que esto puede provocar tanto en su reputación como en su cuenta de resultados, existen sanciones por no cumplir la ley de protección de datos vigente, sanciones que se traducen en multas cuya cuantía depende de la gravedad de la infracción cometida y que puede alcanzar cifras elevadas.
Si bien, la normativa actual reconoce diferentes grados de responsabilidad para aquellas personas encargadas de llevar a cabo el tratamiento de datos personales, desde su recogida hasta su almacenamiento y uso, de manera que las sanciones del RGPD y de la LOPDGDD (o LOPD) pueden variar si el infractor es una administración pública, una empresa o una persona física (por ejemplo, el responsable del tratamiento).
Así, además de tener en cuenta las infracciones LOPD o RGPD cometidas y el grado de las mismas, también se valora, a la hora de determinar la cuantía de las multas tanto el grado de responsabilidad como la capacidad de intervención de la persona o entidad encargada del tratamiento de datos personales.
Las multas del RGPD solo establecen dos rangos de sanciones:
- 10 millones de euros o el equivalente al 2% del volumen de negocio total anual para las infracciones comprendidas en el apartado 4, letras a, b y c del artículo 83.
- 20 millones de euros o el equivalente al 4% del volumen de negocio total anual para las infracciones comprendidas en el apartado 5, letras a, b, c, d y e y apartado 6 del artículo 83.
Por su parte, las sanciones en LOPD se diferencian en leves, graves y muy graves y establecen diferentes cuantías para las multas, dentro de la horquilla especificada en el RGPD.
Sanciones para infracciones leves: 40.000 €
Según la ley de protección de datos son infracciones leves aquellas comprendidas en el artículo 74 de LOPDGDD; la multa por cometerlas puede alcanzar los 40.000 € dependiendo de la gravedad y la infracción en sí.
Son ejemplos de sanciones leves por no cumplir la ley de protección de datos:
- No transparencia de la información.
- Incumplimiento de no informar al afectado cuando lo haya solicitado.
- Incumplimiento por parte del encargado del tratamiento de sus obligaciones.
- No atender las solicitudes de derechos ARCO cuando lo requieran los titulares de los datos.
Estas infracciones prescriben al año.
Sanciones graves: 40.001 € a 300.000 €
Según la ley de protección de datos son infracciones graves las recogidas en el artículo 73 de la LOPDGDD, la multa para estas infracciones va de los 40.001 € a los 300.000 €.
Son consideradas infracciones graves, por ejemplo:
- Datos de un menor recabados sin consentimiento.
- Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos.
- Incumplimiento de nombrar responsable del tratamiento o al encargado del tratamiento de datos.
Estas infracciones prescriben a los dos años.
Sanciones muy graves: 300.001 € a 20.000.000 €
Según la ley de protección de datos son infracciones muy graves las recogidas en el artículo 72 de la LOPDGDD; la sanción para estas va de los 300.001 € a los 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte mayor).
Ejemplos de infracciones muy graves son:
- Uso de los datos para una finalidad diferente a la pactada.
- Obstruir una inspección de la AEPD.
- Reversión deliberada de un procedimiento de anonimización para que sea posible re-identificar a los titulares de los datos.
- Transferencia internacional de información sin garantías.
El plazo de prescripción para las infracciones muy graves es de tres años.
¿Cuáles son los criterios para graduar la cuantía de las sanciones?
Aparte de quién comete la infracción y su grado de responsabilidad en el tratamiento de datos personales, hay otros criterios de graduación para las sanciones LOPDGDD, como los derechos personales afectados, los beneficios que se hayan podido obtener, la reincidencia en la misma u otras infracciones, la intencionalidad o la negligencia y cualquier otra circunstancia que sea relevante para determinar la culpabilidad.
Las causas más habituales de sanciones en protección de datos en España
Si bien, los motivos de sanciones en ley de protección de datos son numerosos, lo cierto es que hay ciertos tipos de infracciones que se cometen de forma más habitual y que han sido motivo del mayor número de sanciones RGPD en España desde la entrada en vigor del Reglamento y la LOPDGDD.
Así, de acuerdo con los últimos informes publicados, las causas más habituales por las que las empresas pueden recibir una sanción LOPD o RGPD en España son:
- Base legal insuficiente para el procesamiento de datos, es decir, las empresas no pudieron justificar debidamente la necesidad y legitimidad para tratar los datos personales que habían recabado.
- Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información y evitar brechas de seguridad que expusieran los datos personales de los interesados en peligro.
- Incumplimiento de los principios generales de procesamiento de datos.
Ejemplos de sanciones por no cumplir con el RGPD y la LOPDGDD
Que las sanciones son un tema serio dentro de la normativa, lo podemos comprobar viendo las diferentes empresas sancionadas por la ley de protección de datos en los últimos años, puesto que desde la entrada en vigor del RGPD, hemos visto publicarse diferentes resoluciones en diferentes países de la UE, con multas de cuantías muy elevadas.
A continuación os dejamos varios ejemplos de sanciones por no cumplir la ley de protección de datos recibidas por empresas más que conocidas:
- La autoridad inglesa multó a British Airways con 204 millones de euros alegando falta de seguridad en la empresa, cuando esta sufrió una brecha de seguridad que dejó al descubierto la información de las tarjetas de crédito de 500.000 clientes, así como información de vuelos y reservas.
- En Reino Unido, la cadena de hoteles Marriott fue multada con 110 millones de euros por no llevar a cabo una due diligence adecuado al adquirir la empresa Starwood, que habría provocado una brecha de seguridad con la que quedaron expuestos unos 339 millones de registros de clientes de 31 nacionalidades del EEE (Espacio Económico Europeo).
- La compañía inmobiliaria alemana Deutsche Wohnen fue multada con 14,5 millones por no implementar una política de conservación de datos y por guardarlos más tiempo del necesario.
- Más cerca de casa, la AEPD sancionó a BBVA con 5 millones de euros por hacer uso de los datos personales de sus clientes sin el consentimiento de los mismos.
- También por uso indebido de los datos personales de sus clientes, CaixaBank tuvo que pagar una sanción de 6 millones de euros.
Las mayores multas impuestas en protección de datos en Europa
Las mayores sanciones por protección de datos impuestas en Europa recaen en:
- Amazon, multada en julio de 2021 con 746 millones de euros por la Comisión Nacional de Protección de Datos de Luxemburgo (por haber expuesto datos a terceros sin consentimiento de los titulares).
- Seguida por WhatsApp, que también fue multada en 2021 con 225 millones de euros por la Comisión de Protección de Datos de Irlanda (como consecuencia de investigación iniciada en 2018 para comprobar si la compañía cumplía con el RGPD).
- Les sigue Google y su multa de 50 millones impuesta por la autoridad de control francesa (por no informar lo suficiente).
- Y H&M, multada por el controlador alemán con 35,5 millones de euros (por la vigilancia ilegal de los empleados de unos de sus centros en Núremberg).
Aumento de las sanciones por incumplimiento de la normativa de protección de datos en 2021
Como hemos visto en el punto anterior, Amazon se convirtió en 2021 en la compañía con la mayor sanción en protección de datos impuesta hasta la fecha y no es casualidad; 2021 se ha convertido en un año récord en lo que a sanciones por vulneraciones del RGPD se refiere, aumentando en 521% la cantidad de sanciones impuestas respecto a 2020.
Así, durante 2021 se impusieron 412 sanciones, que equivalen a 1.100 millones de euros; lejos quedan ya los 436.000 euros recaudados por el mismo motivo en 2018, año en que entró en vigor el RGPD en la mayoría de los Estados miembros de la UE.
Uno de los principales motivos detrás de este aumento en las sanciones es, sin duda, la conocida sentencia Schrems II, que tumbó el Privacy Shield que permitía a las empresas estadounidenses transferir datos personales desde la UE a sus servidores en EE. UU. y que ha endurecido las condiciones para que esas transferencias se puedan efectuar con las mismas garantías que establece el RGPD.
Otro motivo es el aumento de los ciberataques y las violaciones de datos personales consecuencias de estos, como ha sido el aumento que ha experimentado el ransomware y, con él, la exfiltración de datos. En 2021 se reportaron más de 130.000 vulneraciones de datos personales, lo que equivale a una media de 356 notificaciones al día.
La AEPD, una de las autoridades que más multas ha puesto
La AEPD ha sido una de las autoridades de control que más multas ha puesto durante 2021; en total han sido 352 multas por un valor de 36,7 millones de euros,
La empresa más multada en España ha sido Vodafone, con un total de 8,5 millones de euros, como resultado de cuatro causas diferentes, 6 millones de ellos por infringir el RGPD (dos sanciones distintas).
CaixaBank fue la segunda empresa más multada, con 9 millones de euros por infringir el RGPD. Y cierra este top 3 BBVA con un total de 5,15 millones de euros en sanciones.
Previsiones en 2022: mayor regulación
Es muy posible que en 2022 se vuelva a batir el récord de sanciones impuestas, ya que, por un lado, se prevé una mayor regulación, y, por otro lado, se espera un aumento en los ciberataques que pondrán en riesgo la protección de datos de muchas empresas.
La UE ha puesto en el punto de mira las transferencias de datos a EE. UU.; sin el paraguas del Privacy Shield y con un cambió en las reglas con la aprobación en julio de 2021 de nuevas cláusulas contractuales tipo, las grandes tecnológicas norteamericanas, y también empresas más pequeñas, enfrentan una regulación más compleja y exigente, que podría derivar en la imposición de nuevas sanciones.
Marco normativo del procedimiento sancionador
Son dos las normativas aplicables; por un lado, el RGPD y por otro la LOPDGDD.
Los artículos 83 y 84 del Reglamento europeo recogen, de manera general, las condiciones para la imposición de multas administrativas y el rango que pueden alcanzar las multas según el RGPD. Pero al tratarse de un marco para toda la UE, no concreta expresamente las conductas objeto de sanción ni establece actuaciones específicas ante su comisión o qué criterios deben seguirse para su graduación, sino que deja estos aspectos en manos de la autoridad de control competente en cada país miembro.
Lo que sí nos dice el RGPD es que las sanciones deben imponerse teniendo en cuenta:
- La naturaleza, gravedad y duración de la infracción, el número de interesados afectados, así como el nivel de los perjuicios ocasionados.
- Si la infracción es causa de una negligencia o hay intencionalidad detrás de ella.
- Si el encargado o el responsable del tratamiento ha tomado medidas para reducir los daños o perjuicios ocasionados a los interesados.
- El grado de responsabilidad del responsable o encargado, teniendo en cuenta también las medidas de seguridad aplicadas.
- Si se han cometido infracciones anteriores.
- Si se ha cooperado y en qué medida con la autoridad de control para solucionar la infracción y los daños causados.
- Las categorías de datos personales afectadas.
- Si la infracción se notificó a la autoridad competente por el encargado o responsable.
- La existencia de medidas técnicas y organizativas previas para evitar la comisión de infracciones por negligencia.
- Otros factores agravantes o atenuantes que se puedan aplicar.
Por su parte, como ya vimos, LOPDGDD sí nos ofrece una mayor concreción tanto del régimen sancionador como de la graduación de las infracciones.
El órgano sancionador en España
En España, el órgano encargado de imponer las sanciones en protección de datos es la Agencia Española de Protección de Datos (AEPD).
Además, aparte de imponer sanciones, la AEPD también puede llevar a cabo investigaciones, así como designar personal competente para su realización. También es el órgano al que se deben dirigir las reclamaciones o denuncias cuando seamos testigos o afectados por una infracción en materia de protección de datos.
El régimen sancionador en España
El régimen sancionador en materia de protección de datos en España está recogido en los artículos 70 a 78 de la LOPDGDD y complementa aquellas «lagunas» dejadas por el carácter más genérico del RGPD.
Estos artículos recogen los sujetos responsables, la graduación de las infracciones y qué comportamientos se consideran muy graves, graves y leves, los plazos de prescripción, las sanciones y las medidas correctivas y el régimen aplicable a determinadas categorías de responsables o encargados de tratamiento (relacionados con las administraciones públicas y de justicia).
¿Cuáles son los sujetos responsables?
De acuerdo a la normativa vigente, son sujetos responsables:
- Los responsables de los tratamientos.
- Los encargados de los tratamientos.
- Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
- Las entidades de certificación.
- Las entidades acreditadas de supervisión de los códigos de conducta.
Resulta importante matizar que la figura del Delegado de Protección de Datos (DPO) no puede ser objeto de sanción.
El procedimiento sancionador
El procedimiento sancionador sigue una serie de fases desde su inicio a su resolución, que detallaremos a continuación:
Inicio del procedimiento
El procedimiento sancionador puede iniciarse de dos formas:
- Por no atender una solicitud del ejercicio de los derechos ARCO (acceso, rectificación, cancelación, oposición, limitación o portabilidad).
- Porque se haya producido una infracción del reglamento.
La AEPD se encargará de evaluar las reclamaciones o denuncias que reciba y tendrá un plazo de 3 meses para admitir o inadmitir a trámite la reclamación. Si pasado ese plazo, no se recibe notificación alguna, se dará por admitida la reclamación y el proceso iniciado.
No se admitirán a trámite aquellas reclamaciones que:
- No estén tengan que ver con la protección de datos personales,
- Carezcan de fundamento manifiesto.
- Sean abusivas.
- No aporten indicios claros de la existencia de una infracción.
- Previa advertencia de la AEPD, el responsable o el encargado del tratamiento hubieran adoptado las medidas correctoras necesarias para poner fin al motivo de la infracción.
Alegaciones
Dentro del procedimiento sancionador existe una fase previa de alegaciones, una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias.
La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.
Finalizada la fase de alegaciones previas, el director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.
Además, la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
Actuaciones de inspección
La AEPD podrá llevar a cabo una labor de inspección para determinar los hechos y las circunstancias que justifiquen la tramitación del procedimiento. Estas investigaciones no podrán durar más de 12 meses a contar desde la fecha de admisión a trámite o la fecha del acuerdo de iniciación.
En el transcurso de este procedimiento de investigación la AEPD puede:
- Recabar la información precisa para cumplir con sus funciones.
- Realizar inspecciones.
- Solicitar ver los documentos o datos necesarios.
- Examinar, obtener copia e inspeccionar los equipos de información.
- Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sobre los que versa la investigación.
Conclusión
El espíritu que el legislador ha querido imbuir en el establecimiento de estas sanciones es claramente disuasorio, pretendiendo que la Administración y las empresas se vean compelidas a cumplir puntualmente con la normativa de protección de datos, ya que como ciudadanos de la Unión Europea, tenemos el derecho a tener nuestra privacidad bajo control.
Es por ello que ante el temor a una sanción de esta magnitud, todas las empresas debemos ser observantes y garantizar la protección de datos de nuestros clientes, empleados y demás interesados.
Hola quisiera saber cómo proceder para sancionar a un hotel que aunque mi hija incumplió una norma, el hotel la echo intimidandola y colgó en boomkim que es una página de reserva a nivel mundial su nombre con apellidos y fotos de sus pertenecías en la habitación e insultándola como huésped guarro
Buenos días Mila, el hotel no puede publicar los datos personales sin consentimiento por lo que en ese caso puedes denunciar ante la AEPD. Te dejo el modelo de denuncia: https://ayudaleyprotecciondatos.es/modelo-denuncia-ante-aepd/
Buenos días
me gustaría saber como puedo hacer para que borren mis datos personales de una pagina de prestamos, les he escrito 5 emails ya adjuntando el modelo que ellos piden al derecho a eliminación de mis datos con una copia del DNI, y siguen pidiendome lo mismo una y otra vez, cuando ya se lo he enviado 5 veces, están mareándome
muchas graciasss
Buenos días Natalia, si ya lo has solicitado y los datos no los han eliminado puedes denunciar ante la AEPD. Te dejo el modelo de denuncia: https://ayudaleyprotecciondatos.es/modelo-denuncia-ante-aepd/
Hola estuve trabajando durante 4 años con una empresa de discomoviles y desde el año pasado ya no estoy con ellos pero siguen usando mis fotos desde el periodo cuando trabaje con ellos para promocionarse y venderse los productos por varios medios ,instagram,facebook y ferias.Gracias
Buenas tardes Valy, puedes pedirles que retiren esas imágenes y, si no lo hacen, denunciar ante la AEPD.
Hola, mi antigua empresa me solicita un pago por un pacto de no competencia y en vez de mandar la solicitud a mi dirección se lo ha mandado a mi actual empresa a través de burofax por lo que han declarado a mi empresa que yo debo un supuesto dinero comprometiendo mi despido en mi actual empresa
Buenas tardes Raul, puedes denunciarlo ante la AEPD, te dejo el modelo de denuncia: https://ayudaleyprotecciondatos.es/modelo-denuncia-ante-aepd/
Hola buenos días, nos estan llegando decenas de currículums de personas solicitantes de empleo para una oferta de trabajo falsa que nosotros nunca hemos solicitado. A través de un portal de empleo que se llama Indeed España. Hace unos meses, en mayo de este año, nos paso lo mismo y llegaron cientos de currículums de solicitantes para una oferta de trabajo que se han inventado. No hay manera de ponerse en contacto con esta empresa y no responden a nuestros requerimientos. No sabemos si desde la Agencia de Protección de Datos pueden ustedes hacer algo al respecto. Un saludo y gracias de antemano.
Buenos días Fernando, al tratarse de una empresa no está afectada por la normativa de Protección de datos que se aplica únicamente a personas físicas por lo que siento no poder ayudarle.
Hola. He firmado un contrato de reforma y en el mismo (es un contrato tipo) aparece el nombre de otra persona, imagino que de un cliente anterior. Tengo un contencioso con dicha empresa y mi temor es que ese mismo error se pueda cometerse ahora conmigo y mi nombre aparezca en otros contratos de otras personas. Interpreto esto como una vulneración de la protección de datos y quisiera saber si es así y si puedo utilizar esta posibilidad de denuncia ante la AEPD para alcanzar algún tipo de acuerdo o directamente denunciarlos.
Buenos días Kike, efectivamente supone una infracción de la ley de protección de datos facilitar datos de terceros sin su consentimiento por lo que puede denunciarse ante la AEPD. Pero tendría que denunciarlo la persona afectada.
Buenos días Aída, para eso debes dirigirte al BOE solicitando esa cancelación de datos. Te dejo el modelo de solicitud: https://ayudaleyprotecciondatos.es/modelo-derechos-arco-cancelacion/
Denuncia a mi Ayuntamiento que en una parcela de la urbanización estaba convertida en escombrera y el Alcalde comunicó al propietario de la misma ,el nombre y dirección del denunciante .
¿A quien debo comunicar este hecho?
Gracias
Buenos días Luis, esto puedes comunicarlo a la AEPD, teléfono 912 663 517
Buenos días
Tengo la sospecha de que un funcionario de la Hacienda Foral Navarra ha accedido a mi declaración de la renta con otros fines que los estrictamente profesionales
que puedo hacer para denunciarlo y reclamarlo ?¿?
gracias y saludos
Buenas tardes Keka, esto puedes denunciarlo ante la AEPD pero debes indicar los motivos que te hacen creer que ha existido ese acceso indebido
Buenas tardes,
Trabajo en una empresa y el otro día le tenía que enviar a un cliente un documento para firmar donde aparecen sus datos ( dni, número cuenta bancaria, dirección, teléfono) y por error se lo envié a otra persona al confundir el gmail con hotmail en el email.
Informé de ello al titular pero me siento mal y no sé si puedo solucionar el error, gracias.
Buenos días Neal, si el email ya se envió no puedes hacer nada. Está bien que hayas informado pero debes tener mucho cuidado ya que el afectado podría denunciarte.
Buenos días, me consta que un funcionario esta teniendo acceso a los datos de mi hija. Estos datos están siendo cedidos a terceros, lo cual está perjudicando de manera grave a mi hija. Cómo puedo tener conocimiento de las personas funcionarias que nada tiene que ver con el asunto y se meten en los datos de la SS, mencionados?
Buenas tardes Carmen, puedes denunciar ante la AEPD para que lo investigue