Ayuda Ley Protección Datos

Infracciones y Sanciones RGPD y LOPDGDD

Todavía hay empresas y profesionales que desconocen que incumplir la normativa de protección de datos personales puede exponerles a sanciones económicas que en los casos más graves, pueden alcanzar hasta los 20 millones de euros. En esta entrada vamos a detallar las sanciones RGPD y LOPD existentes, cómo se gradúan y aplican.

Sanciones establecidas por el RGPD y la LOPDGDD según el tipo de infracción

Más allá de los riesgos que la mala gestión de una empresa o un profesional puede ocasionar en la información personal de los interesados y los lógicos daños que esto puede provocar tanto en su reputación como en su cuenta de resultados, existen sanciones por no cumplir la ley de protección de datos vigente, sanciones que se traducen en multas cuya cuantía depende de la gravedad de la infracción cometida y que puede alcanzar cifras elevadas.

Si bien, la normativa actual reconoce diferentes grados de responsabilidad para aquellas personas encargadas de llevar a cabo el tratamiento de datos personales, desde su recogida hasta su almacenamiento y uso, de manera que las sanciones del RGPD y de la LOPDGDD (o LOPD) pueden variar si el infractor es una administración pública, una empresa o una persona física (por ejemplo, el responsable del tratamiento).

Así, además de tener en cuenta las infracciones LOPD o RGPD cometidas y el grado de las mismas, también se valora, a la hora de determinar la cuantía de las multas tanto el grado de responsabilidad como la capacidad de intervención de la persona o entidad encargada del tratamiento de datos personales.

Las multas del RGPD solo establecen dos rangos de sanciones:

Por su parte, las sanciones en LOPD se diferencian en leves, graves y muy graves y establecen diferentes cuantías para las multas, dentro de la horquilla especificada en el RGPD.

Sanciones para infracciones leves: 40.000 €

Según la ley de protección de datos son infracciones leves aquellas comprendidas en el artículo 74 de LOPDGDD; la multa por cometerlas puede alcanzar los 40.000 € dependiendo de la gravedad y la infracción en sí.

Son ejemplos de sanciones leves por no cumplir la ley de protección de datos:

Estas infracciones prescriben al año.

Sanciones graves: 40.001 € a 300.000 €

Según la ley de protección de datos son infracciones graves las recogidas en el artículo 73 de la LOPDGDD, la multa para estas infracciones va de los 40.001 € a los 300.000 €.

Son consideradas infracciones graves, por ejemplo:

Estas infracciones prescriben a los dos años.

Sanciones muy graves: 300.001 € a 20.000.000 €

Según la ley de protección de datos son infracciones muy graves las recogidas en el artículo 72 de la LOPDGDD; la sanción para estas va de los 300.001 € a los 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte mayor).

Ejemplos de infracciones muy graves son:

El plazo de prescripción para las infracciones muy graves es de tres años.

¿Cuáles son los criterios para graduar la cuantía de las sanciones?

Aparte de quién comete la infracción y su grado de responsabilidad en el tratamiento de datos personales, hay otros criterios de graduación para las sanciones LOPDGDD, como los derechos personales afectados, los beneficios que se hayan podido obtener, la reincidencia en la misma u otras infracciones, la intencionalidad o la negligencia y cualquier otra circunstancia que sea relevante para determinar la culpabilidad.

Las causas más habituales de sanciones en protección de datos en España

Si bien, los motivos de sanciones en ley de protección de datos son numerosos, lo cierto es que hay ciertos tipos de infracciones que se cometen de forma más habitual y que han sido motivo del mayor número de sanciones RGPD en España desde la entrada en vigor del Reglamento y la LOPDGDD.

Así, de acuerdo con los últimos informes publicados, las causas más habituales por las que las empresas pueden recibir una sanción LOPD o RGPD en España son:

Ejemplos de sanciones por no cumplir con el RGPD y la LOPDGDD

Que las sanciones son un tema serio dentro de la normativa, lo podemos comprobar viendo las diferentes empresas sancionadas por la ley de protección de datos en los últimos años, puesto que desde la entrada en vigor del RGPD, hemos visto publicarse diferentes resoluciones en diferentes países de la UE, con multas de cuantías muy elevadas.

A continuación os dejamos varios ejemplos de sanciones por no cumplir la ley de protección de datos recibidas por empresas más que conocidas:

Las mayores multas impuestas en protección de datos en Europa

Las mayores sanciones por protección de datos impuestas en Europa recaen en:

Aumento de las sanciones por incumplimiento de la normativa de protección de datos en 2021

Como hemos visto en el punto anterior, Amazon se convirtió en 2021 en la compañía con la mayor sanción en protección de datos impuesta hasta la fecha y no es casualidad; 2021 se ha convertido en un año récord en lo que a sanciones por vulneraciones del RGPD se refiere, aumentando en 521% la cantidad de sanciones impuestas respecto a 2020.

Así, durante 2021 se impusieron 412 sanciones, que equivalen a 1.100 millones de euros; lejos quedan ya los 436.000 euros recaudados por el mismo motivo en 2018, año en que entró en vigor el RGPD en la mayoría de los Estados miembros de la UE.

Uno de los principales motivos detrás de este aumento en las sanciones es, sin duda, la conocida sentencia Schrems II, que tumbó el Privacy Shield que permitía a las empresas estadounidenses transferir datos personales desde la UE a sus servidores en EE. UU. y que ha endurecido las condiciones para que esas transferencias se puedan efectuar con las mismas garantías que establece el RGPD.

Otro motivo es el aumento de los ciberataques y las violaciones de datos personales consecuencias de estos, como ha sido el aumento que ha experimentado el ransomware y, con él, la exfiltración de datos. En 2021 se reportaron más de 130.000 vulneraciones de datos personales, lo que equivale a una media de 356 notificaciones al día.

La AEPD, una de las autoridades que más multas ha puesto

La AEPD ha sido una de las autoridades de control que más multas ha puesto durante 2021; en total han sido 352 multas por un valor de 36,7 millones de euros,

La empresa más multada en España ha sido Vodafone, con un total de 8,5 millones de euros, como resultado de cuatro causas diferentes, 6 millones de ellos por infringir el RGPD (dos sanciones distintas).

CaixaBank fue la segunda empresa más multada, con 9 millones de euros por infringir el RGPD. Y cierra este top 3 BBVA con un total de 5,15 millones de euros en sanciones.

Previsiones en 2022: mayor regulación

Es muy posible que en 2022 se vuelva a batir el récord de sanciones impuestas, ya que, por un lado, se prevé una mayor regulación, y, por otro lado, se espera un aumento en los ciberataques que pondrán en riesgo la protección de datos de muchas empresas.

La UE ha puesto en el punto de mira las transferencias de datos a EE. UU.; sin el paraguas del Privacy Shield y con un cambió en las reglas con la aprobación en julio de 2021 de nuevas cláusulas contractuales tipo, las grandes tecnológicas norteamericanas, y también empresas más pequeñas, enfrentan una regulación más compleja y exigente, que podría derivar en la imposición de nuevas sanciones.

Marco normativo del procedimiento sancionador

Son dos las normativas aplicables; por un lado, el RGPD y por otro la LOPDGDD.

Los artículos 83 y 84 del Reglamento europeo recogen, de manera general, las condiciones para la imposición de multas administrativas y el rango que pueden alcanzar las multas según el RGPD. Pero al tratarse de un marco para toda la UE, no concreta expresamente las conductas objeto de sanción ni establece actuaciones específicas ante su comisión o qué criterios deben seguirse para su graduación, sino que deja estos aspectos en manos de la autoridad de control competente en cada país miembro.

Lo que sí nos dice el RGPD es que las sanciones deben imponerse teniendo en cuenta:

Por su parte, como ya vimos, LOPDGDD sí nos ofrece una mayor concreción tanto del régimen sancionador como de la graduación de las infracciones.

El órgano sancionador en España

En España, el órgano encargado de imponer las sanciones en protección de datos es la Agencia Española de Protección de Datos (AEPD).

Además, aparte de imponer sanciones, la AEPD también puede llevar a cabo investigaciones, así como designar personal competente para su realización. También es el órgano al que se deben dirigir las reclamaciones o denuncias cuando seamos testigos o afectados por una infracción en materia de protección de datos.

El régimen sancionador en España

El régimen sancionador en materia de protección de datos en España está recogido en los artículos 70 a 78 de la LOPDGDD y complementa aquellas «lagunas» dejadas por el carácter más genérico del RGPD.

Estos artículos recogen los sujetos responsables, la graduación de las infracciones y qué comportamientos se consideran muy graves, graves y leves, los plazos de prescripción, las sanciones y las medidas correctivas y el régimen aplicable a determinadas categorías de responsables o encargados de tratamiento (relacionados con las administraciones públicas y de justicia).

¿Cuáles son los sujetos responsables?

De acuerdo a la normativa vigente, son sujetos responsables:

Resulta importante matizar que la figura del Delegado de Protección de Datos (DPO) no puede ser objeto de sanción.

El procedimiento sancionador

El procedimiento sancionador sigue una serie de fases desde su inicio a su resolución, que detallaremos a continuación:

Inicio del procedimiento

El procedimiento sancionador puede iniciarse de dos formas:

La AEPD se encargará de evaluar las reclamaciones o denuncias que reciba y tendrá un plazo de 3 meses para admitir o inadmitir a trámite la reclamación. Si pasado ese plazo, no se recibe notificación alguna, se dará por admitida la reclamación y el proceso iniciado.

No se admitirán a trámite aquellas reclamaciones que:

Alegaciones

Dentro del procedimiento sancionador existe una fase previa de alegaciones, una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias.

La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además, la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Actuaciones de inspección

La AEPD podrá llevar a cabo una labor de inspección para determinar los hechos y las circunstancias que justifiquen la tramitación del procedimiento. Estas investigaciones no podrán durar más de 12 meses a contar desde la fecha de admisión a trámite o la fecha del acuerdo de iniciación.

En el transcurso de este procedimiento de investigación la AEPD puede:

Conclusión

El espíritu que el legislador ha querido imbuir en el establecimiento de estas sanciones es claramente disuasorio, pretendiendo que la Administración y las empresas se vean compelidas a cumplir puntualmente con la normativa de protección de datos, ya que como ciudadanos de la Unión Europea, tenemos el derecho a tener nuestra privacidad bajo control.

Es por ello que ante el temor a una sanción de esta magnitud, todas las empresas debemos ser observantes y garantizar la protección de datos de nuestros clientes, empleados y demás interesados.