Infracciones en protección de datos

Tiempo de lectura: 3 minutos

En esta entrada, hemos querido abarcar un tema que nos consultan mucho: las infracciones en protección de datos.

Bien para ello, debemos abarcar diferentes aspectos que vamos a r comentando a continuación:

¿Quién está sujeto?

Realización de Evaluaciones de impacto

Están sujetos al régimen sancionador las siguientes figuras:

  • Los Responsables del tratamiento (RT)
  • Los Encargados del tratamiento (ET)
  • Los representantes de RT o ET no establecidos en el territorio de la UE
  • Las entidades de certificación
  • Las entidades acreditadas de supervisión de los códigos de conducta

No está sujeto al régimen sancionador:

  • El Delegado de protección de datos (DPO)

Sanciones

La Autoridad de control (AC) podrá imponer multas administrativas al RT y ET por infringir el GDPR garantizando que serán efectivas, proporcionadas y disuasorias.

Las multas administrativas se impondrán en función de las circunstancias de cada caso individual, teniendo en cuenta las facultades investigadoras y correctoras conferidas a la AC.

Para el cálculo de la multa administrativa a una infracción en protección de datos y calcular su importe tendrá en cuenta:

  • La naturaleza, gravedad y duración de la infracción en relación con el fin del tratamiento.
  • El número de interesados afectados.
  • El nivel de los perjuicios sufridos por los interesados.
  • La intencionalidad o negligencia de la infracción.
  • Las categorías de datos afectados por la infracción.
  • El grado de responsabilidad del RT o ET.
  • La reiteración de infracciones del RT o ET.
  • Las medidas tomadas por el RT o ET para paliar los perjuicios sufridos por los interesados.
  • El grado de cooperación con la AC con el fin de remediar la infracción y mitigar sus posibles efectos adversos.
  • La forma en que la AC ha tenido conocimiento de la infracción (si se ha notificado, o en la medida en que se ha hecho).
  • El cumplimiento de las medidas ordenadas previamente por la AC contra el RT o ET en relación con el asunto.
  • La adhesión a códigos de conducta o a mecanismos de certificación aprobados por la AC.

Otros factores:

  • Otros factores agravantes o atenuantes aplicables a las circunstancias de una infracción en protección de datos son:
    • Los beneficios financieros obtenidos o las pérdidas evitadas por la infracción.
    • El carácter continuado de la infracción.
    • La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
    • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
    • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
    • La afectación a los derechos de los menores.
    • Disponer, cuando no fuere obligatorio, de un DPO.
    • El sometimiento por parte del RT o ET, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.

Prescripción de las Sanciones

Las sanciones impuestas en aplicación del GDPR y la LOPDGDD prescriben en los siguientes plazos:

  • 3 años: infracciones consideradas muy graves o con un importe superior a 300.000 euros.
  • 2 años: infracciones consideradas graves o con un importe comprendido entre 40.001 y 300.000 euros.
  • 1 año: infracciones consideradas leves o con un importe igual o inferior a 40.000 euros.

El plazo de prescripción de una infracción en protección de datos, comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de 6 meses por causa no imputable al infractor.

Esta información viene determinada en el RGPD y en la LOPDGDD.

Infracciones muy graves

Normativa

Artículo 83.5 y 83.6 del GDPR y 72 de la LOPDGDD

Prescripción

3 años

Multas administrativas

En función de las circunstancias de cada caso individual:

Mínimo: 300.000 €

Máximo: el importe más elevado entre 20.000.000 € y el 4 % del total de la facturación global anual del ejercicio financiero anterior

Infracciones Graves

Normativa

Artículo 83.4 del GDPR y 73 de la LOPDGDD

Prescripción

A los 2 años

Multas administrativas

En función de las circunstancias de cada caso individual:

Mínimo: entre 40.001 € y 300.000 €

Máximo: importe más elevado entre 10.000.000 € y el 2 % del total de la facturación global anual del ejercicio financiero anterior

Infracciones en protección de datos leves

Normativa

Las restantes infracciones de carácter meramente formal de los artículos 83.4 y 83.5 del GDPR y 74 de la LOPDGDD

Prescripción

1 año

Multas administrativas

En función de las circunstancias de cada caso individual, con un máximo de 40.000 €

En conclusión

Prestando un poco de atención en los preceptos del RGPD, y poniendo medidas técnicas y organizativas adecuadas podremos crear una conciencia adecuada en la organización.

El Riesgo cero no existe, pero hay que tener voluntad para hacer las cosas lo mejor posible.

 

Si te ha gustado esta entrada, puedes ver otras relacionadas con esta materia aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *