¿Miedo a sanciones RGPD LOPD por incumplimientos de la normativa?

Uno de los principales desconocimientos de las empresas en materia de protección de datos personales, más allá de los riesgos que una mala gestión puede provocar en la información personal de los interesados y los lógicos daños que esto provocaría en su reputación y su cuenta de resultados, consiste en las sanciones a las que se expone para el caso de incumplimiento.

A estos efectos, una de las novedades incluidas en el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) es incrementar ostensiblemente el importe de estas sanciones hasta cifras de 20 millones de euros. Esto supone un aumento radical frente a los 600 mil euros previstos en la anterior normativa de la Ley Orgánica 15/1999.

El RGPD, si bien si concreta el rango que puedan alcanzar estas sanciones, recoge un sistema de sanciones y actuaciones de corte muy genérico, no concretando expresamente las conductas objeto de sanción ni estableciendo actuaciones específicas ante su comisión.

Afortunadamente, la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (Modelos LOPD), si concreta conductas típicas, manteniendo la diferencia entre infracciones muy graves, graves y leves. Por el otro lado, persiste en la vaguedad con respecto a la fijación de la cuantía, manteniendo el amplio abanico del Reglamento para fijar una multa.

Tipos de infacciones RGPD – LOPD

De tal forma, el régimen estatal en materia de infracciones por protección de datos, se divide en muy graves, graves y leves:

Muy graves

Las que supongan un incumplimiento sustancial del tratamiento y tengan que ver con:

  • Uso de los datos para una finalidad diferente a la pactada.
  • Omisión del deber de correcta información al afectado.
  • Exigencia de un pago para poder acceder a los datos propios almacenados.
  • Transferencia internacional de información sin garantías.

Plazo de prescripción: 3 años.

Graves

Serán consideradas infracciones graves las que supongan una vulneración sustancial del tratamiento y tengan que ver con:

  • Datos de un menor recabados sin consentimiento.
  • Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos.
  • Incumplimiento de nombrar responsable o encargado de tratamiento de datos.

Plazo de prescripción: 2 años.

Leves

Las restantes no contempladas en los grupos anteriores.

Algunos ejemplos:

  • No transparencia de la información.
  • Incumplimiento de no informar al afectado cuando lo haya solicitado.
  • Incumplimiento por parte del encargado de sus obligaciones.

Plazo de prescripción: 1 año.

SUJETOS RESPONSABLES

  1. Los responsable de los tratamientos.
  2. Los encargados de los tratamientos.
  3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. Las entidades de certificación.
  5. Las entidades acreditadas de supervisión de los códigos de conducta.

Resulta importante matizar que la figura del Delegado de Protección de Datos (DPO) no puede ser objeto de sanción.

IMPORTE DE LAS SANCIONES RGPD – LOPD

Como comentábamos anteriormente la LOPD GDD no determina la cuantía de las sanciones, sino una vez más nos remite al RGPD, impidiendo llevar a cabo ninguna determinación.
El importe de las sanciones del RPGD es el siguiente:

  • Infracciones muy graves: se sancionarán con multas administrativas que pueden alcanzar los veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% de la facturación.
  • Infracciones graves: se sancionarán con multas administrativas que puedan ascender hasta los diez millones de euros o, si se trata de una empresa, una cuantía máxima del 2 % de la facturación.

ALEGACIONES

Dentro del procedimiento sancionador existe una fase previa de alegaciones, una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado

CONCLUSIÓN

El espíritu que el legislador ha querido imbuir en el establecimiento de estas sanciones es claramente disuasorio, pretendiendo que la Administración y las empresas se vean compelidas a cumplir puntualmente con la normativa de protección de datos ya que como ciudadanos de la Unión Europea tenemos el derecho a tener nuestra privacidad bajo control. Es por ello que ante el temor a una sanción de esta magnitud todas las empresas debemos ser observantes y garantizar la protección de datos de nuestros clientes, empleados y demás interesados.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola quisiera saber cómo proceder para sancionar a un hotel que aunque mi hija incumplió una norma, el hotel la echo intimidandola y colgó en boomkim que es una página de reserva a nivel mundial su nombre con apellidos y fotos de sus pertenecías en la habitación e insultándola como huésped guarro

  2. Buenos días
    me gustaría saber como puedo hacer para que borren mis datos personales de una pagina de prestamos, les he escrito 5 emails ya adjuntando el modelo que ellos piden al derecho a eliminación de mis datos con una copia del DNI, y siguen pidiendome lo mismo una y otra vez, cuando ya se lo he enviado 5 veces, están mareándome

    muchas graciasss

  3. Hola, mi antigua empresa me solicita un pago por un pacto de no competencia y en vez de mandar la solicitud a mi dirección se lo ha mandado a mi actual empresa a través de burofax por lo que han declarado a mi empresa que yo debo un supuesto dinero comprometiendo mi despido en mi actual empresa

  4. Hola buenos días, nos estan llegando decenas de currículums de personas solicitantes de empleo para una oferta de trabajo falsa que nosotros nunca hemos solicitado. A través de un portal de empleo que se llama Indeed España. Hace unos meses, en mayo de este año, nos paso lo mismo y llegaron cientos de currículums de solicitantes para una oferta de trabajo que se han inventado. No hay manera de ponerse en contacto con esta empresa y no responden a nuestros requerimientos. No sabemos si desde la Agencia de Protección de Datos pueden ustedes hacer algo al respecto. Un saludo y gracias de antemano.

    1. Buenos días Fernando, al tratarse de una empresa no está afectada por la normativa de Protección de datos que se aplica únicamente a personas físicas por lo que siento no poder ayudarle.