Infracciones y Sanciones RGPD y LOPDGDD

Todavía hay empresas y profesionales que desconocen que incumplir la normativa de protección de datos personales puede exponerles a sanciones económicas que en los casos más graves, pueden alcanzar hasta los 20 millones de euros. En esta entrada vamos a detallar las sanciones RGPD y LOPD existentes, cómo se gradúan y aplican.

Sanciones establecidas por el RGPD y la LOPDGDD según el tipo de infracción

Más allá de los riesgos que la mala gestión de una empresa o un profesional puede ocasionar en la información personal de los interesados y los lógicos daños que esto puede provocar tanto en su reputación como en su cuenta de resultados, existen sanciones por no cumplir la ley de protección de datos vigente, sanciones que se traducen en multas cuya cuantía depende de la gravedad de la infracción cometida y que puede alcanzar cifras elevadas.

Si bien, la normativa actual reconoce diferentes grados de responsabilidad para aquellas personas encargadas de llevar a cabo el tratamiento de datos personales, desde su recogida hasta su almacenamiento y uso, de manera que las sanciones del RGPD y de la LOPDGDD (o LOPD) pueden variar si el infractor es una administración pública, una empresa o una persona física (por ejemplo, el responsable del tratamiento).

Así, además de tener en cuenta las infracciones LOPD o RGPD cometidas y el grado de las mismas, también se valora, a la hora de determinar la cuantía de las multas tanto el grado de responsabilidad como la capacidad de intervención de la persona o entidad encargada del tratamiento de datos personales.

Las multas del RGPD solo establecen dos rangos de sanciones:

• 10 millones de euros o el equivalente al 2% del volumen de negocio total anual para las infracciones comprendidas en el apartado 4, letras a, b y c del artículo 83.
• 20 millones de euros o el equivalente al 4% del volumen de negocio total anual para las infracciones comprendidas en el apartado 5, letras a, b, c, d y e y apartado 6 del artículo 83.

Por su parte, las sanciones en LOPD se diferencian en leves, graves y muy graves y establecen diferentes cuantías para las multas, dentro de la horquilla especificada en el RGPD.

Sanciones para infracciones leves: 40.000 €

Según la ley de protección de datos son infracciones leves aquellas comprendidas en el artículo 74 de LOPDGDD; la multa por cometerlas puede alcanzar los 40.000 € dependiendo de la gravedad y la infracción en sí.

Son ejemplos de sanciones leves por no cumplir la ley de protección de datos:

• No transparencia de la información.
• Incumplimiento de no informar al afectado cuando lo haya solicitado.
• Incumplimiento por parte del encargado del tratamiento de sus obligaciones.
• No atender las solicitudes de derechos ARCO cuando lo requieran los titulares de los datos.

Estas infracciones prescriben al año.

Sanciones graves: 40.001 € a 300.000 €

Según la ley de protección de datos son infracciones graves las recogidas en el artículo 73 de la LOPDGDD, la multa para estas infracciones va de los 40.001 € a los 300.000 €.

Son consideradas infracciones graves, por ejemplo:

• Datos de un menor recabados sin consentimiento.
• Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos.
• Incumplimiento de nombrar responsable del tratamiento o al encargado del tratamiento de datos.

Estas infracciones prescriben a los dos años.

Sanciones muy graves: 300.001 € a 20.000.000 €

Según la ley de protección de datos son infracciones muy graves las recogidas en el artículo 72 de la LOPDGDD; la sanción para estas va de los 300.001 € a los 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte mayor).

Ejemplos de infracciones muy graves son:

• Uso de los datos para una finalidad diferente a la pactada.
• Obstruir una inspección de la AEPD.
• Reversión deliberada de un procedimiento de anonimización para que sea posible re-identificar a los titulares de los datos.
• Transferencia internacional de información sin garantías.

El plazo de prescripción para las infracciones muy graves es de tres años.

¿Cuáles son los criterios para graduar la cuantía de las sanciones?

Aparte de quién comete la infracción y su grado de responsabilidad en el tratamiento de datos personales, hay otros criterios de graduación para las sanciones LOPDGDD, como los derechos personales afectados, los beneficios que se hayan podido obtener, la reincidencia en la misma u otras infracciones, la intencionalidad o la negligencia y cualquier otra circunstancia que sea relevante para determinar la culpabilidad.

Las causas más habituales de sanciones en protección de datos en España

Si bien, los motivos de sanciones en ley de protección de datos son numerosos, lo cierto es que hay ciertos tipos de infracciones que se cometen de forma más habitual y que han sido motivo del mayor número de sanciones RGPD en España desde la entrada en vigor del Reglamento y la LOPDGDD.

Así, de acuerdo con los últimos informes publicados, las causas más habituales por las que las empresas pueden recibir una sanción LOPD o RGPD en España son:

• Base legal insuficiente para el procesamiento de datos, es decir, las empresas no pudieron justificar debidamente la necesidad y legitimidad para tratar los datos personales que habían recabado.
• Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información y evitar brechas de seguridad que expusieran los datos personales de los interesados en peligro.
• Incumplimiento de los principios generales de procesamiento de datos.

Ejemplos de sanciones por no cumplir con el RGPD y la LOPDGDD

Que las sanciones son un tema serio dentro de la normativa, lo podemos comprobar viendo las diferentes empresas sancionadas por la ley de protección de datos en los últimos años, puesto que desde la entrada en vigor del RGPD, hemos visto publicarse diferentes resoluciones en diferentes países de la UE, con multas de cuantías muy elevadas.

A continuación os dejamos varios ejemplos de sanciones por no cumplir la ley de protección de datos recibidas por empresas más que conocidas:

• La autoridad inglesa multó a British Airways con 204 millones de euros alegando falta de seguridad en la empresa, cuando esta sufrió una brecha de seguridad que dejó al descubierto la información de las tarjetas de crédito de 500.000 clientes, así como información de vuelos y reservas.
• En Reino Unido, la cadena de hoteles Marriott fue multada con 110 millones de euros por no llevar a cabo una due diligence adecuado al adquirir la empresa Starwood, que habría provocado una brecha de seguridad con la que quedaron expuestos unos 339 millones de registros de clientes de 31 nacionalidades del EEE (Espacio Económico Europeo).
• La compañía inmobiliaria alemana Deutsche Wohnen fue multada con 14,5 millones por no implementar una política de conservación de datos y por guardarlos más tiempo del necesario.
• Más cerca de casa, la AEPD sancionó a BBVA con 5 millones de euros por hacer uso de los datos personales de sus clientes sin el consentimiento de los mismos.
• También por uso indebido de los datos personales de sus clientes, CaixaBank tuvo que pagar una sanción de 6 millones de euros.

Las mayores multas impuestas en protección de datos en Europa

Las mayores sanciones por protección de datos impuestas en Europa recaen en:

• Amazon, multada en julio de 2021 con 746 millones de euros por la Comisión Nacional de Protección de Datos de Luxemburgo (por haber expuesto datos a terceros sin consentimiento de los titulares).
• Seguida por WhatsApp, que también fue multada en 2021 con 225 millones de euros por la Comisión de Protección de Datos de Irlanda (como consecuencia de investigación iniciada en 2018 para comprobar si la compañía cumplía con el RGPD).
• Les sigue Google y su multa de 50 millones impuesta por la autoridad de control francesa (por no informar lo suficiente).
• Y H&M, multada por el controlador alemán con 35,5 millones de euros (por la vigilancia ilegal de los empleados de unos de sus centros en Núremberg).

Aumento de las sanciones por incumplimiento de la normativa de protección de datos en 2021

Como hemos visto en el punto anterior, Amazon se convirtió en 2021 en la compañía con la mayor sanción en protección de datos impuesta hasta la fecha y no es casualidad; 2021 se ha convertido en un año récord en lo que a sanciones por vulneraciones del RGPD se refiere, aumentando en 521% la cantidad de sanciones impuestas respecto a 2020.

Así, durante 2021 se impusieron 412 sanciones, que equivalen a 1.100 millones de euros; lejos quedan ya los 436.000 euros recaudados por el mismo motivo en 2018, año en que entró en vigor el RGPD en la mayoría de los Estados miembros de la UE.

Uno de los principales motivos detrás de este aumento en las sanciones es, sin duda, la conocida sentencia Schrems II, que tumbó el Privacy Shield que permitía a las empresas estadounidenses transferir datos personales desde la UE a sus servidores en EE. UU. y que ha endurecido las condiciones para que esas transferencias se puedan efectuar con las mismas garantías que establece el RGPD.

Otro motivo es el aumento de los ciberataques y las violaciones de datos personales consecuencias de estos, como ha sido el aumento que ha experimentado el ransomware y, con él, la exfiltración de datos. En 2021 se reportaron más de 130.000 vulneraciones de datos personales, lo que equivale a una media de 356 notificaciones al día.

La AEPD, una de las autoridades que más multas ha puesto

La AEPD ha sido una de las autoridades de control que más multas ha puesto durante 2021; en total han sido 352 multas por un valor de 36,7 millones de euros,

La empresa más multada en España ha sido Vodafone, con un total de 8,5 millones de euros, como resultado de cuatro causas diferentes, 6 millones de ellos por infringir el RGPD (dos sanciones distintas).

CaixaBank fue la segunda empresa más multada, con 9 millones de euros por infringir el RGPD. Y cierra este top 3 BBVA con un total de 5,15 millones de euros en sanciones.

Previsiones en 2022: mayor regulación

Es muy posible que en 2022 se vuelva a batir el récord de sanciones impuestas, ya que, por un lado, se prevé una mayor regulación, y, por otro lado, se espera un aumento en los ciberataques que pondrán en riesgo la protección de datos de muchas empresas.

La UE ha puesto en el punto de mira las transferencias de datos a EE. UU.; sin el paraguas del Privacy Shield y con un cambió en las reglas con la aprobación en julio de 2021 de nuevas cláusulas contractuales tipo, las grandes tecnológicas norteamericanas, y también empresas más pequeñas, enfrentan una regulación más compleja y exigente, que podría derivar en la imposición de nuevas sanciones.

Marco normativo del procedimiento sancionador

Son dos las normativas aplicables; por un lado, el RGPD y por otro la LOPDGDD.

Los artículos 83 y 84 del Reglamento europeo recogen, de manera general, las condiciones para la imposición de multas administrativas y el rango que pueden alcanzar las multas según el RGPD. Pero al tratarse de un marco para toda la UE, no concreta expresamente las conductas objeto de sanción ni establece actuaciones específicas ante su comisión o qué criterios deben seguirse para su graduación, sino que deja estos aspectos en manos de la autoridad de control competente en cada país miembro.

Lo que sí nos dice el RGPD es que las sanciones deben imponerse teniendo en cuenta:

• La naturaleza, gravedad y duración de la infracción, el número de interesados afectados, así como el nivel de los perjuicios ocasionados.
• Si la infracción es causa de una negligencia o hay intencionalidad detrás de ella.
• Si el encargado o el responsable del tratamiento ha tomado medidas para reducir los daños o perjuicios ocasionados a los interesados.
• El grado de responsabilidad del responsable o encargado, teniendo en cuenta también las medidas de seguridad aplicadas.
• Si se han cometido infracciones anteriores.
• Si se ha cooperado y en qué medida con la autoridad de control para solucionar la infracción y los daños causados.
• Las categorías de datos personales afectadas.
• Si la infracción se notificó a la autoridad competente por el encargado o responsable.
• La existencia de medidas técnicas y organizativas previas para evitar la comisión de infracciones por negligencia.
• Otros factores agravantes o atenuantes que se puedan aplicar.

Por su parte, como ya vimos, LOPDGDD sí nos ofrece una mayor concreción tanto del régimen sancionador como de la graduación de las infracciones.

El órgano sancionador en España

En España, el órgano encargado de imponer las sanciones en protección de datos es la Agencia Española de Protección de Datos (AEPD).

Además, aparte de imponer sanciones, la AEPD también puede llevar a cabo investigaciones, así como designar personal competente para su realización. También es el órgano al que se deben dirigir las reclamaciones o denuncias cuando seamos testigos o afectados por una infracción en materia de protección de datos.

El régimen sancionador en España

El régimen sancionador en materia de protección de datos en España está recogido en los artículos 70 a 78 de la LOPDGDD y complementa aquellas «lagunas» dejadas por el carácter más genérico del RGPD.

Estos artículos recogen los sujetos responsables, la graduación de las infracciones y qué comportamientos se consideran muy graves, graves y leves, los plazos de prescripción, las sanciones y las medidas correctivas y el régimen aplicable a determinadas categorías de responsables o encargados de tratamiento (relacionados con las administraciones públicas y de justicia).

¿Cuáles son los sujetos responsables?

De acuerdo a la normativa vigente, son sujetos responsables:

• Los responsables de los tratamientos.
• Los encargados de los tratamientos.
• Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
• Las entidades de certificación.
• Las entidades acreditadas de supervisión de los códigos de conducta.

Resulta importante matizar que la figura del Delegado de Protección de Datos (DPO) no puede ser objeto de sanción.

El procedimiento sancionador

El procedimiento sancionador sigue una serie de fases desde su inicio a su resolución, que detallaremos a continuación:

Inicio del procedimiento

El procedimiento sancionador puede iniciarse de dos formas:

• Por no atender una solicitud del ejercicio de los derechos ARCO (acceso, rectificación, cancelación, oposición, limitación o portabilidad).
• Porque se haya producido una infracción del reglamento.

La AEPD se encargará de evaluar las reclamaciones o denuncias que reciba y tendrá un plazo de 3 meses para admitir o inadmitir a trámite la reclamación. Si pasado ese plazo, no se recibe notificación alguna, se dará por admitida la reclamación y el proceso iniciado.

No se admitirán a trámite aquellas reclamaciones que:

• No estén tengan que ver con la protección de datos personales,
• Carezcan de fundamento manifiesto.
• Sean abusivas.
• No aporten indicios claros de la existencia de una infracción.
• Previa advertencia de la AEPD, el responsable o el encargado del tratamiento hubieran adoptado las medidas correctoras necesarias para poner fin al motivo de la infracción.

Alegaciones

Dentro del procedimiento sancionador existe una fase previa de alegaciones, una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias.

La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además, la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Actuaciones de inspección

La AEPD podrá llevar a cabo una labor de inspección para determinar los hechos y las circunstancias que justifiquen la tramitación del procedimiento. Estas investigaciones no podrán durar más de 12 meses a contar desde la fecha de admisión a trámite o la fecha del acuerdo de iniciación.

En el transcurso de este procedimiento de investigación la AEPD puede:

• Recabar la información precisa para cumplir con sus funciones.
• Realizar inspecciones.
• Solicitar ver los documentos o datos necesarios.
• Examinar, obtener copia e inspeccionar los equipos de información.
• Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sobre los que versa la investigación.

Conclusión

El espíritu que el legislador ha querido imbuir en el establecimiento de estas sanciones es claramente disuasorio, pretendiendo que la Administración y las empresas se vean compelidas a cumplir puntualmente con la normativa de protección de datos, ya que como ciudadanos de la Unión Europea, tenemos el derecho a tener nuestra privacidad bajo control.

Es por ello que ante el temor a una sanción de esta magnitud, todas las empresas debemos ser observantes y garantizar la protección de datos de nuestros clientes, empleados y demás interesados.