Todavía hay empresas y profesionales que desconocen que incumplir la normativa de protección de datos personales puede exponerles a sanciones económicas que en los casos más graves, pueden alcanzar hasta los 20 millones de euros. En esta entrada vamos a detallar las sanciones RGPD y LOPD existentes, cómo se gradúan y aplican.

No cumplir con la normativa de Protección de Datos tiene sanciones

Más allá de los riesgos que la mala gestión de una empresa o un profesional puede ocasionar en la información personal de los interesados y los lógicos daños que esto puede provocar tanto en su reputación como en su cuenta de resultados, existen sanciones por no cumplir la ley de protección de datos vigente, sanciones que se traducen en multas cuya cuantía depende de la gravedad de la infracción cometida y que puede alcanzar cifras elevadas.

Si bien, la normativa actual reconoce diferentes grados de responsabilidad para aquellas personas encargadas de llevar a cabo el tratamiento de datos personales, desde su recogida hasta su almacenamiento y uso, de manera que las sanciones del RGPD y de la LOPD pueden variar si el infractor es una administración pública, una empresa o una persona física (por ejemplo, el responsable del tratamiento).

Así, además de tener en cuenta las infracciones LOPD o RGPD cometidas y el grado de las mismas, también se valora, a la hora de determinar la cuantía de las multas tanto el grado de responsabilidad como la capacidad de intervención de la persona o entidad encargada del tratamiento de datos personales.

Cabe mencionar que, desde la entrada en vigor en mayo de 2018 del RGPD, la cuantía de las sanciones se incrementó de manera ostensible, superando con creces la cuantía máxima de 600.000 euros que imponía la Ley Orgánica 15/1999 de protección de datos, como ya hemos mencionado en la introducción de este artículo y como veremos en detalle más adelante.

Normativa aplicable

Son dos las normativas aplicables; por un lado el RGPD (Reglamento Europeo de Protección de Datos) y por otro la LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales, comúnmente llamada LOPD, puesto que sustituyó a esta ley al adaptar el RGPD al derecho español).

Los artículos 83 y 84 del Reglamento europeo recogen, de manera general, las condiciones para la imposición de multas administrativas y el rango que pueden alcanzar las multas según el RGPD. Pero al tratarse de un marco para toda la UE, no concreta expresamente las conductas objeto de sanción ni establece actuaciones específicas ante su comisión o qué criterios deben seguirse para su graduación, sino que deja estos aspectos en manos de la autoridad de control competente en cada país miembro.

Lo que sí nos dice el RGPD es que las sanciones deben imponerse teniendo en cuenta:

  • La naturaleza, gravedad y duración de la infracción, el número de interesados afectados, así como el nivel de los perjuicios ocasionados.
  • Si la infracción es causa de una negligencia o hay intencionalidad detrás de ella.
  • Si el encargado o el responsable del tratamiento ha tomado medidas para reducir los daños o perjuicios ocasionados a los interesados.
  • El grado de responsabilidad del responsable o encargado, teniendo en cuenta también las medidas de seguridad aplicadas.
  • Si se han cometido infracciones anteriores.
  • Si se ha cooperado y en qué medida con la autoridad de control para solucionar la infracción y los daños causados.
  • Las categorías de datos personales afectadas.
  • Si la infracción se notificó a la autoridad competente por el encargado o responsable.
  • La existencia de medidas técnicas y organizativas previas para evitar la comisión de infracciones por negligencia.
  • Otros factores agravantes o atenuantes que se puedan aplicar.

Por su parte, LOPD sí nos ofrece una mayor concreción tanto del régimen sancionador como de la graduación de las infracciones, que divide en muy graves, graves y leves (de acuerdo a los artículos 72, 73 y 74 de la ley respectivamente). Sin embargo, respecto a las sanciones, se muestra también bastante genérica, remitiéndonos al RGPD.

Aun así, las sanciones de la LOPD se dividen en tres horquillas en función de su gravedad (como veremos más adelante).

Para la graduación de las multas, la LOPD tiene en cuenta los siguientes aspectos:

  • Si la infracción es continua en el tiempo.
  • Si hay una vinculación entre la actividad del infractor con el tratamiento de datos personales.
  • Los beneficios obtenidos a consecuencia de la infracción.
  • Si la conducta del afectado es la que ha podido llevar a la comisión de la infracción.
  • Si se ha producido un proceso de absorción posterior a la comisión de la infracción, eximiendo de responsabilidad a la entidad absorbente.

Concepto para Sanciones RGPD LOPD

¿Qué órgano impone las sanciones en España?

En España, el órgano encargado de imponer las sanciones LOPD y RGPD es la Agencia Española de Protección de Datos (AEPD).

Además, aparte de imponer sanciones, la AEPD también puede llevar a cabo investigaciones, así como designar personal competente para su realización. También es el órgano al que se deben dirigir las reclamaciones o denuncias cuando seamos testigos o afectados por una infracción en materia de protección de datos.

¿Cuáles son los sujetos responsables?

De acuerdo a la normativa vigente, son sujetos responsables:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas de supervisión de los códigos de conducta.

Resulta importante matizar que la figura del Delegado de Protección de Datos (DPO) no puede ser objeto de sanción.

¿Cómo funciona el régimen sancionador en España?

El régimen sancionador en materia de protección de datos en España está recogido en los artículos 70 a 78 de la LODPGDD y complementa aquellas «lagunas» dejadas por el carácter más genérico del RGPD.

Estos artículos recogen los sujetos responsables ya citados, la graduación de las infracciones y qué comportamientos se consideran muy graves, graves y leves, los plazos de prescripción, las sanciones y las medidas correctivas y el régimen aplicable a determinadas categorías de responsables o encargados de tratamiento (relacionados con las administraciones públicas y de justicia).

Tipos de infracciones y sanciones establecidas por la LOPDGDD y el RGPD

Las sanciones LOPD desde 2018 se imponen atendiendo al grado de gravedad de las infracciones, tal y como se recoge en la ley:

Muy graves

Las que supongan un incumplimiento sustancial del tratamiento y tengan que ver con:

  • Uso de los datos para una finalidad diferente a la pactada.
  • Omisión del deber de correcta información al afectado.
  • Exigencia de un pago para poder acceder a los datos propios almacenados.
  • Transferencia internacional de información sin garantías.

Graves

Serán consideradas infracciones graves las que supongan una vulneración sustancial del tratamiento y tengan que ver con:

  • Datos de un menor recabados sin consentimiento.
  • Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos.
  • Incumplimiento de nombrar responsable o encargado de tratamiento de datos.

Leves

Las restantes no contempladas en los grupos anteriores.

Algunos ejemplos:

  • No transparencia de la información.
  • Incumplimiento de no informar al afectado cuando lo haya solicitado.
  • Incumplimiento por parte del encargado de sus obligaciones.

Cuantías de las sanciones LOPD/RGPD en función de su gravedad

El RGPD establece las siguientes cuantías para las sanciones:

  • 10 millones de euros o el equivalente al 2% del volumen de negocio total anual para las infracciones comprendidas en el apartado 4, letras a, b y c del artículo 83.
  • 20 millones de euros o el equivalente al 4% del volumen de negocio total anual para las infracciones comprendidas en el apartado 5, letras a, b, c, d y e y apartado 6 del artículo 83.

Por su parte, aunque la LOPD nos remite al RGPD en materia de sanciones, gracias al detalle de los plazos de prescripción de las mismas, podemos establecer las cuantías de las sanciones de la agencia de protección de datos, dividiéndolas en:

sanciones RGPD LOPD

Plazo de prescripción de las sanciones

El plazo de prescripción de las sanciones también varía en función de la gravedad:

  • Para las muy graves, el plazo son 3 años
  • Para las graves, el plazo es de 2 años
  • Para las leves, el plazo es de 1 año

El plazo de prescripción comienza a computar desde el día siguiente al que la resolución que impone la sanción se considere firme.

sanciones RGPD LOPD

¿Cómo funciona el procedimiento sancionador de la AEPD?

El procedimiento sancionador puede iniciarse de dos formas:

  • Por no atender una solicitud del ejercicio de los derechos ARCO (acceso, rectificación, cancelación, oposición, limitación o portabilidad).
  • Porque se haya producido una infracción del reglamento.

La AEPD se encargará de evaluar las reclamaciones o denuncias que reciba y tendrá un plazo de 3 meses para admitir o inadmitir a trámite la reclamación. Si pasado ese plazo, no se recibe notificación alguna, se dará por admitida la reclamación y el proceso iniciado.

Dentro del procedimiento sancionador existe una fase previa de alegaciones, una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias.

La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Ejemplos de sanciones a empresas por no cumplir con la protección de datos

Que las sanciones son un tema serio dentro de la normativa, lo podemos comprobar viendo las diferentes empresas sancionadas por la ley de protección de datos en los últimos años, puesto que desde la entrada en vigor del RGPD, hemos visto publicarse diferentes resoluciones en diferentes países de la UE, con multas de cuantías muy elevadas.

A continuación os dejamos varios ejemplos de sanciones por no cumplir la ley de protección de datos recibidas por empresas más que conocidas:

  • La autoridad inglesa multó a British Airways con 204 millones de euros alegando falta de seguridad en la empresa, cuando esta sufrió una brecha de seguridad que dejó al descubierto la información de las tarjetas de crédito de 500.000 clientes, así como información de vuelos y reservas.
  • En Reino Unido, la cadena de hoteles Marriott fue multada con 110 millones de euros por no llevar a cabo una due diligence adecuado al adquirir la empresa Starwood, que habría provocado una brecha de seguridad con la que quedaron expuestos unos 339 millones de registros de clientes de 31 nacionalidades del EEE (Espacio Económico Europeo).
  • Google recibió una multa de 50 millones de euros por parte de la Autoridad Francesa de Protección de Datos, al considerar que la información sobre el tratamiento de datos personales a disposición de los usuarios no era fácil de acceder ni entender.
  • La compañía inmobiliaria alemana Deutsche Wohnen fue multada con 14,5 millones por no implementar una política de conservación de datos y por guardarlos más tiempo del necesario.
  • Más cerca de casa, la AEPD sancionó a BBVA con 5 millones de euros por hacer uso de los datos personales de sus clientes sin el consentimiento de los mismos.
  • También por uso indebido de los datos personales de sus clientes, CaixaBank tuvo que pagar una sanción de 6 millones de euros.

Conclusión

El espíritu que el legislador ha querido imbuir en el establecimiento de estas sanciones es claramente disuasorio, pretendiendo que la Administración y las empresas se vean compelidas a cumplir puntualmente con la normativa de protección de datos, ya que como ciudadanos de la Unión Europea, tenemos el derecho a tener nuestra privacidad bajo control.

Es por ello que ante el temor a una sanción de esta magnitud, todas las empresas debemos ser observantes y garantizar la protección de datos de nuestros clientes, empleados y demás interesados.

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola quisiera saber cómo proceder para sancionar a un hotel que aunque mi hija incumplió una norma, el hotel la echo intimidandola y colgó en boomkim que es una página de reserva a nivel mundial su nombre con apellidos y fotos de sus pertenecías en la habitación e insultándola como huésped guarro

  2. Buenos días
    me gustaría saber como puedo hacer para que borren mis datos personales de una pagina de prestamos, les he escrito 5 emails ya adjuntando el modelo que ellos piden al derecho a eliminación de mis datos con una copia del DNI, y siguen pidiendome lo mismo una y otra vez, cuando ya se lo he enviado 5 veces, están mareándome

    muchas graciasss

    1. Hola estuve trabajando durante 4 años con una empresa de discomoviles y desde el año pasado ya no estoy con ellos pero siguen usando mis fotos desde el periodo cuando trabaje con ellos para promocionarse y venderse los productos por varios medios ,instagram,facebook y ferias.Gracias

  3. Hola, mi antigua empresa me solicita un pago por un pacto de no competencia y en vez de mandar la solicitud a mi dirección se lo ha mandado a mi actual empresa a través de burofax por lo que han declarado a mi empresa que yo debo un supuesto dinero comprometiendo mi despido en mi actual empresa

  4. Hola buenos días, nos estan llegando decenas de currículums de personas solicitantes de empleo para una oferta de trabajo falsa que nosotros nunca hemos solicitado. A través de un portal de empleo que se llama Indeed España. Hace unos meses, en mayo de este año, nos paso lo mismo y llegaron cientos de currículums de solicitantes para una oferta de trabajo que se han inventado. No hay manera de ponerse en contacto con esta empresa y no responden a nuestros requerimientos. No sabemos si desde la Agencia de Protección de Datos pueden ustedes hacer algo al respecto. Un saludo y gracias de antemano.

    1. Buenos días Fernando, al tratarse de una empresa no está afectada por la normativa de Protección de datos que se aplica únicamente a personas físicas por lo que siento no poder ayudarle.

  5. Buenas tardes
    Quiero retirar mi nombre y apellidos de una publicación del BOE del año 2002. Como puedo hacer?
    Gracias

  6. Hola. He firmado un contrato de reforma y en el mismo (es un contrato tipo) aparece el nombre de otra persona, imagino que de un cliente anterior. Tengo un contencioso con dicha empresa y mi temor es que ese mismo error se pueda cometerse ahora conmigo y mi nombre aparezca en otros contratos de otras personas. Interpreto esto como una vulneración de la protección de datos y quisiera saber si es así y si puedo utilizar esta posibilidad de denuncia ante la AEPD para alcanzar algún tipo de acuerdo o directamente denunciarlos.

    1. Buenos días Kike, efectivamente supone una infracción de la ley de protección de datos facilitar datos de terceros sin su consentimiento por lo que puede denunciarse ante la AEPD. Pero tendría que denunciarlo la persona afectada.

  7. Denuncia a mi Ayuntamiento que en una parcela de la urbanización estaba convertida en escombrera y el Alcalde comunicó al propietario de la misma ,el nombre y dirección del denunciante .
    ¿A quien debo comunicar este hecho?
    Gracias

  8. Buenos días
    Tengo la sospecha de que un funcionario de la Hacienda Foral Navarra ha accedido a mi declaración de la renta con otros fines que los estrictamente profesionales
    que puedo hacer para denunciarlo y reclamarlo ?¿?
    gracias y saludos

    1. Buenas tardes Keka, esto puedes denunciarlo ante la AEPD pero debes indicar los motivos que te hacen creer que ha existido ese acceso indebido

  9. Buenas tardes,

    Trabajo en una empresa y el otro día le tenía que enviar a un cliente un documento para firmar donde aparecen sus datos ( dni, número cuenta bancaria, dirección, teléfono) y por error se lo envié a otra persona al confundir el gmail con hotmail en el email.

    Informé de ello al titular pero me siento mal y no sé si puedo solucionar el error, gracias.

    1. Buenos días Neal, si el email ya se envió no puedes hacer nada. Está bien que hayas informado pero debes tener mucho cuidado ya que el afectado podría denunciarte.

  10. Buenos días, me consta que un funcionario esta teniendo acceso a los datos de mi hija. Estos datos están siendo cedidos a terceros, lo cual está perjudicando de manera grave a mi hija. Cómo puedo tener conocimiento de las personas funcionarias que nada tiene que ver con el asunto y se meten en los datos de la SS, mencionados?