La cuantía de las sanciones que impone el Reglamento se gradúa atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a cualquier otra circunstancia que sea relevante para determinar el grado de culpabilidad.

¿Quiénes van a ser los responsables?

Los responsables del tratamiento de protección de datos que estarán sujetos al régimen sancionador son:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas de supervisión de los códigos de conducta.

No será de aplicación al delegado de protección de datos de protección de datos este régimen sancionador, figura que ya tratamos en un post anterior.

Tipos de infracciones

Como es una enumeración muy amplia, mencionaremos solo algunas:

  • Infracciones leves

    • El incumplimiento del principio de transparencia de la información o el derecho de información del afectado.
    • No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos.
    • El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.
    • El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales.
    • Disponer de un Registro de actividades de tratamiento que no incorpore toda la información
    • Facilitar información inexacta a la Autoridad de protección de datos.
    • No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos.

  • Infracciones graves

    • El tratamiento de datos de carácter personal de un menor de edad sin recabar su consentimiento.
    • El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos.
    • La falta de adopción de aquellas medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado.
    • Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido.
    • No disponer del Registro de actividades de tratamiento.
    • No cooperar con las autoridades de control.
    • El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
    • El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.

  • Infracciones muy graves.

    • El tratamiento de datos personales vulnerando los principios y garantías.
    • El incumplimiento de los requisitos exigidos para la validez del consentimiento.
    • La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado.
    • La omisión del deber de informar al afectado acerca del tratamiento de sus datos.
    • La vulneración del deber de confidencialidad.
    • La transferencia internacional de datos de carácter personal a un destinatario de un tercer país o a una organización internacional.
    • El incumplimiento de la obligación de bloqueo de los datos cuando la misma sea exigible.
    • La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

Tipos de sanciones

Las infracciones de las disposiciones siguientes se sancionarán con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

  • Las obligaciones del responsable y del encargado.
  • Las obligaciones de los organismos de certificación.
  • Las obligaciones de la autoridad de control.

Y las siguientes infracciones se sancionarán con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

  • Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.
  • Los derechos de los interesados.
  • Las transferencias internacionales de datos personales a un destinatario en un tercer país o una organización internacional.
  • Toda obligación en virtud del Derecho de los Estados miembros.
  • El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control, o el no facilitar acceso.

Además, el incumplimiento de las resoluciones de la autoridad de control se sancionará con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Si comparamos el contenido del Reglamento en materia de sanciones con las disposiciones de la LOPD del 1999 que tenemos en la actualidad, podemos apreciar en la siguiente tabla el aumento en la cuantía de la sanción.

Norma aplicable Leve Grave Muy grave
LOPD del 1999 900 – 40.000 euros 40.001 – 300.000 euros 300.001 – 600.000 euros
Reglamento 2018 No se establece ningún rango mínimo de cuantía Multa de hasta 10.000.000 euros o, en caso de empresas, de cuantía equivalente al 2% del volumen de negocio actual global del ejercicio financiero anterior. Multa de hasta 20.000.000 euros o, en caso de empresas, de cuantía equivalente al 4% del volumen de negocio actual global del ejercicio financiero anterior.

 

No adaptarse al nuevo reglamento supone asumir un riesgo muy cuantioso, pues las empresas que no lo hagan pueden enfrentarse a sanciones de hasta 20.000.000 de euros, frente al máximo de 600.000 de la LOPD vigente en estos momentos.

El importe y el alcance de las sanciones establecidas por el régimen sancionador del RGPD, implican un importante cambio respecto a lo establecido por la normativa actual. De ello, extraemos dos conclusiones:

  • La necesidad de que las empresas adopten las medidas necesarias para garantizar el cumplimiento de la normativa, siendo muy importante poder acreditarlo. De lo contrario, pueden llegar a enfrentarse a estas sanciones, lo cual implicaría, en determinados casos, poner en riesgo la pervivencia de la empresa.
  • La intención del legislador es conceder a las sanciones una finalidad disuasoria. Estas sanciones sirven como elemento de presión para que las empresas cumplan con el Reglamento y con la normativa estatal que sea de aplicación.

 La prescripción de las sanciones

Las sanciones impuestas en aplicación del Reglamento y de esta ley orgánica prescriben en los siguientes plazos:

  • Las sanciones por importe inferior a 40.000 euros, prescriben en el plazo de un año.
  • Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
  • Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
SANCIÓN PRESCRIPCIÓN
Inferior a 40.000 euros 1 año
Entre 40.001 y 300.000 euros 2 años
Superior a 300.000 euros 3 años

FUENTES:

  • Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, de 24 de noviembre de 2017.
  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea, de 27 de abril de 2016.