¡Pide presupuesto en 2 min! ✓
Denuncias & SancionesLOPDGDD & RGPD

Infracciones y Sanciones LOPDGDD/RGPD: criterios, procesos y ejemplos

By
11 Mins read
1375
0
Share

El día 27 de julio de 2018 se aprobó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. En esta guía vemos las principales sanciones LOPD, la cuantía de las multas y el procedimiento sancionador.

Sanciones establecidas por la LOPD-GDD en función del tipo de infracción

En casos de incumplimiento de la LOPDGDD podemos poner una denuncia de protección de datos ante la AEPD, que es la autoridad de control del cumplimiento de esta normativa en España

Las sanciones por no cumplir la ley de protección de datos pueden variar entre 600 y 601.012,10 €. Las infracciones se dividen en leves, graves y muy graves.

Sanciones para infracciones Leves: multa entre 600 € y 60.101,21€

El Real Decreto-ley 5/2018 considera como infracciones LOPD leves:

  • No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP)
  • La recopilación de datos personales sin previamente haber informado
  • No atender a las  posibles consultas por parte de la AGPD.
  • No ocuparse de aquellas posibles solicitudes de rectificación o cancelación de datos
  • La multa de estas infracciones se encuentra entre 600 € y 60.101,21€.

Sanciones Graves: multa entre 60.101,21 € y 300.506,05 €.

Se pueden considerar como graves:

  • No inscribir los ficheros en la AEPD
  • Hacer un uso de los ficheros con una finalidad distinta para la que fueron creados.
  • No contar con el consentimiento del interesado para recopilar sus datos personales
  • No permitir el acceso a los ficheros por parte del interesado
  • Conservar datos inexactos o no efectuar las modificaciones que fueran solicitadas
  • No cumplir los principios y garantías de la LOPD
  • El tratamiento de datos especialmente protegidos sin la autorización del afectado
  • No referir a la AGPD las notificaciones previstas en la LOPD.
  • No mantener los ficheros con las debidas condiciones de seguridad.
  • La multa de estas infracciones se encuentra entre 60.101,21 € y 300.506,05 €.

Sanciones Muy Graves: multa entre 300.506,05 € a 601.012,10 €

Dentro de las infracciones muy graves están:

  • La creación de ficheros que revelen datos especialmente protegidos.
  • La recogida de datos de una manera fraudulenta o engañosa.
  • Recabar datos especialmente protegidos sin la autorización del afectado.
  • Dificultar o no atender de forma reiterada las solicitudes de rectificación o cancelación.
  • La vulneración del secreto de datos especialmente protegidos.
  • La cesión o comunicación de datos cuando no esté permitida.
  • No concluir en el uso ilegítimo a petición de la AGPD.
  • El tratamiento de los datos de forma ilegítima o con desconsideración de garantías y principios que le sean de aplicación.
  • No atender de manera sistemática a los requerimientos de la AGPD.
  • La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
  • La multa de estas infracciones se encuentras entre 300.506,05 € a 601.012,10 €.

Criterios para graduar la cuantía de las sanciones

La cuantía de las sanciones por protección de datos que la LOPDGDD impone se valora según los derechos personales afectados, los beneficios  obtenidos, reincidencia, intencionalidad y cualquier  circunstancia que sea relevante para determinar la culpabilidad.

Se pueden considerar infracciones leves la recopilación de datos sin previo aviso, no atender una solicitud de rectificación o anulación o no solicitar la inscripción del fichero en el Registro General de Protección de Datos. Estas infracciones llevarán aparejada una multa LOPD de entre 900€ y 4.0000€

Las infracciones de carácter grave como por ejemplo no inscribir ficheros en la AEPD, utilizar los datos para una finalidad distinta a la que se crearon, no permitir el acceso a los ficheros, modificarlos sin consentimiento o mantener los ficheros sin las debidas medidas de seguridad tendrán multas LOPD de entre 40.0001€ y 300.000€

Las infracciones muy graves como pueden ser la obtención de datos de manera fraudulenta, vulnerar el secreto de datos especialmente protegidos, el trato de datos de forma ilegítima o no atender las solicitudes de cancelación serán sancionadas con multas de entre 300.001€ y 600.000€.

Ejemplos de sanciones por no cumplir la ley de protección de datos

Desde que entró en vigor la normativa europea, las sanciones RGPD han estado ala orden del día. En este punto vemos algunas de las multas que se han impuesto a diversas empresas por o cumplir la normativa de protección de datos.

Multas Importantes en el mundo

Una de las sanciones más altas hasta el momento fue la que le impuso en Francia la Comisión Nacional de la Informática y las Libertades a Google. La autoridad francesa condenó al gigante de internet a pagar 50 millones de euros por no actuar con transparencia y no cumplir con la exigencia de consentimiento para el envío de publicidad personalizada.

En Alemania, la firma H&M fue multada con 35 millones de euros por la Agencia para la Protección de Datos y Libertad de Información de Hamburgo. El motivo fue que la empresa estaba recopilando información de la vida privada de sus empleados sin consentimiento.

Por su parte, la empresa de telecomunicaciones italiana TIM tuvo que hacer frente a una sanción por protección de datos de casi 28 millones de euros impuesta por la Agencia de Protección de Datos de Italia. En este caso, la razón fue que la empresa había estado usando datos personales de clientes sin consentimiento.

Las primeras sanciones

Ya hemos visto cuáles han sido algunas de las sanciones RGPD más cuantiosas en el mundo. Pero ¿cuáles fueron las primeras?

Una de las primeras multas RGPD fue la que se le impuso al Hospital do Barreiro en Portugal. En total, fueron dos sanciones de 150.000 euros y otra de 100.000 euros por vulnerar los principios de confidencialidad y minimización de datos, al permitir a los médicos del hospital acceder al historial clínico de los pacientes sin restricción alguna.

Otra de las primeras sanciones RGPD tuvo como víctima a la red social alemana Knuddels. El motivo fue la filtración de más de 800.000 direcciones de correo y los datos y contraseñas de casi 2 millones de usuarios. Además, estos datos luego fueron publicados online sin cifrar.

En España, una de las primeras sanciones LOPDGDD se le puso a Vodafone, por no respetar el derecho a la cancelación del servicio de un usuario. Dicho usuario recibió más de 200 SMS a pesar de que había ejercido su derecho de cancelación del servicio, por lo que Vodafone fue multada con 45.000 euros.

Algunas sanciones en España

Una de las sanciones RGPD en España más cuantiosas fue la que obligó a la empresa Caixabank ha pagar 6 millones de euros por uso ilícito de los datos personales de sus clientes.

Las entidades bancarias han sido protagonistas de algunas de las multas por protección de datos más elevadas. Por ejemplo, BBVA también fue sancionada por la AEPD a pagar 5 millones de euros por usar datos personales de sus clientes sin consentimiento.

La AEPD también sancionó a Worten con 10.000 € por vender a un cliente como producto nuevo un disco duro ya usado, y en cuyo interior además se encontraban almacenados datos personales de todos los empleados de la empresa.

La última empresa que ha sido sancionada (2021)

Las autoridades competentes imponen sanciones continuamente a las empresas que incumplen la normativa de protección de datos. Sin embargo, una de las últimas multas más mediáticas fue la que impusieron las autoridades noruegas a la red social Grindr. Las continuas violaciones en los requisitos de consentimiento han llevado a esta compañía a tener que pagar una multa de 9,6 millones de euros (el 10% de su facturación anual).

El Órgano sancionador en España

El órgano encargado de hacer las investigaciones e imponer las sanciones LOPD es la AEPD (Agencia Española de Protección de Datos), la cual puede designar a personal competente para la investigación.

Personal competente para la investigación

Según la normativa se considera personal competente a:

  • Funcionarios de la Agencia
  • Funcionarios externos que hayan sido previamente habilitados por el Director de la AEPD

En los casos en que haya actuaciones conjuntas, serán competentes las autoridades de control de otros Estados Miembros de la Unión Europea en los casos en los que se actúe y colabore con la Agencia.

Sujetos Responsables

En caso de cometerse una infracción en materia de Protección de Datos, se consideran sujetos responsables:

  • Responsable del tratamiento
  • Encargado del tratamiento
  • Representantes de los responsables o encargados de los tratamientos no establecidos en la Unión Europea
  • Entidades de certificación
  • Entidades acreditadas de supervisión de los códigos de conducta (AEPD)
  • Autoridades de control

Es importante destacar que la figura del D.P.O. no podrá ser sancionado como sujeto responsable.

sanciones rgpd

El régimen sancionador en España

El régimen sancionador español pretende dar respuesta a una serie de cuestiones que el RGPD (Reglamento europeo de Protección de Datos) dejó abiertas como:

  • Identificación y atribuciones de aquellas personas que ejercerán de autoridad para realizar una inspección y determinar que se cumpla con el reglamento
  • Mecanismos que se deben de usar por el personal autorizado
  • Régimen aplicable al personal de investigación
  • Régimen sancionador para los casos en que no se cumpla lo establecido por el Reglamento europeo
  • Reemplaza las infracciones y sanciones LOPD por las del RGPD
  • Determina qué sujetos van a ser responsables
  • Determina el procedimiento sancionador
  • Se designa a la AEPD como representante de España en el Comité Europeo para que informe a las autoridades autonómicas acerca de las decisiones adoptadas en la UE
  • Se pretende dar transparencia a la actuación de la AEPD a través de la publicación de sus resoluciones cuando:
    • atiendan los derechos ARCO de acceso, rectificación, cancelación, oposición, limitación y portabilidad;
    • pongan fin a los procedimientos de reclamación;
    • archiven actuaciones previas de investigación;
    • sancionen con apercibimiento a las Administraciones Públicas;
    • impongan medidas cautelares y
    • las demás que determine el Estatuto de la AEPD

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




· Responsable del tratamiento: Grupo Atico34 SL.
· Finalidad: gestionar el envío de información y prospección comercial, relacionada con nuestros servicios y/o productos.
· Legitimación: consentimiento del interesado.
· Destinatarios: no se cederán datos a terceros, salvo obligación legal.
· Derechos: podrá ejercer los derechos de acceso, rectificación, limitación de tratamiento, supresión, portabilidad y oposición al tratamiento de sus datos de carácter personal, así como a la retirada del consentimiento prestado para el tratamiento de los mismos.
· Información adicional: puede consultar la información detallada sobre Protección de Datos en esta página web.

Normativa reguladora del procedimiento sancionador: Lopdgdd, RGPD y Real Decreto-ley 5/2018

Las normas que actualmente regulan el procedimiento sancionador en materia de Protección de Datos son:

RGPD

El Reglamento europeo de Protección de Datos únicamente regula criterios o cuestiones básicas en relación a las infracciones y sanciones RGPD. No alude a cuestiones como:

  • Graduación especifica de las sanciones
  • Prescripción tanto de las infracciones como de las sanciones
  • Procedimiento sancionador
  • Potestad de inmovilización de los ficheros
  • Todo lo referente a las infracciones de las Administraciones Públicas

Real Decreto-ley 5/2018

Este Real Decreto-ley de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos comprende 14 artículos, y su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del RGPD.

El procedimiento sancionador

La Agencia Española de Protección de Datos examinará de oficio su competencia al inicio de cualquier actuación para determinar el carácter nacional o transfronterizo y el procedimiento a seguir para imponer las sanciones LOPD. En caso de que la AEPD considere que no tiene competencia, remitirá la reclamación a la Autoridad de control principal que considere competente y ese traslado se lo notificará a quien hubiera presentado la reclamación.

Inicio de procedimiento

El inicio del procedimiento para establecer sanciones LOPD puede producirse de dos maneras:

  • Cuando no se atiendan a la solicitud de ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad
  • Cuando pueda existir una infracción del reglamento

En cuanto a la admisión de las reclamaciones, estas serán evaluadas por la AEPD.  No se admitirán aquellas que:

  • No versen sobre cuestiones de protección de datos de carácter personal
  • Carezcan manifiestamente de fundamento
  • Sean abusivas
  • No aporten indicios racionales de la existencia de una infracción
  • El responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento cuando no se haya causado perjuicio al afectado y que el derecho del afectado quede plenamente garantizado mediante la aplicación de esas medidas

Tanto la admisión como la inadmisión, debe notificarse al reclamante en el plazo de 3 meses. En caso de no haber una comunicación expresa en dicho plazo, se entiende que la reclamación ha sido admitida  y continúa su tramitación.

 

Alegaciones

Puede existir una fase previa de alegaciones para la investigación una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Actuaciones de inspección

La AEPD podrá llevar a cabo actuaciones de inspección a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

En el ejercicio de estas actividades de investigación, los funcionarios de la AEPD pueden:

  • Recabar la información precisa para el cumplimiento de sus funciones
  • Realizar inspecciones
  • Solicitar la exhibición o el envío de documentos o datos necesarios
  • Examinarlos, obtener copia e inspeccionar los equipos
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación

Contratos de encargo de tratamiento

Aquellos contratos de encargado de tratamiento que se hayan realizado de forma previa al día 25 de mayo de 2018, cuando haya sido conforme al artículo 12 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas), continuarán vigentes hasta la fecha de vencimiento y en caso de haberse pactado de forma indefinida su vigencia, se mantendrá hasta el día 25 de mayo de 2022.

Últimas novedades a las sanciones en materia de protección de datos (2021)

Una de las novedades más importantes en materia de protección de datos ha sido la publicación por parte de la AEPD de una nueva “Guía sobre el uso de cookies“. Esta guía incluye nuevas exigencias respecto al tratamiento de esto archivos. Entre otros requisitos, ahora será necesario brindar al usuario la posibilidad  rechazar las cookies desde la pantalla de inicio de la página web.

Por otro lado, la justicia europea también se ha pronunciado acerca de las transferencias internacionales de datos. En concreto, la Resolución del Tribunal de Justicia de la Unión Europea (TJUE) ha determinado la invalidez de la Decisión (UE) 2016/1250 que establecía el acuerdo Privacy Shield como el regulador de las transferencias de datos entre EE.UU y la UE. Una de las principales razones es que en estos momentos EE.UU no puede garantizar los niveles de transparencia, privacidad y confidencialidad que exige la normativa europea.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




· Responsable del tratamiento: Grupo Atico34 SL.
· Finalidad: gestionar el envío de información y prospección comercial, relacionada con nuestros servicios y/o productos.
· Legitimación: consentimiento del interesado.
· Destinatarios: no se cederán datos a terceros, salvo obligación legal.
· Derechos: podrá ejercer los derechos de acceso, rectificación, limitación de tratamiento, supresión, portabilidad y oposición al tratamiento de sus datos de carácter personal, así como a la retirada del consentimiento prestado para el tratamiento de los mismos.
· Información adicional: puede consultar la información detallada sobre Protección de Datos en esta página web.

1375
0
Share
Fernando Tablado

About author
Licenciado en Periodismo por la Universidad Pontificia de Salamanca. Redactor online con más de 12 años de experiencia. Especialidad en temas legales, fiscales y financieros. Experto en marketing online y contenidos web.
Articles
Related posts
GlosarioInternetLOPDGDD & RGPD

Cookies de seguimiento: ¿Qué son y para qué sirven?

By
6 Mins read
Como ocurre con las cookies reales, entre las cookies que se emplean en Internet existe diferentes tipos en función de los fines…
GoogleLOPDGDD & RGPD

Privacy Sandbox: la mejora de privacidad que prevé Google

By
3 Mins read
En 2019, Google presentó su iniciativa para mejorar la privacidad de la gente que usa Chrome para navegar por Internet: Privacy Sandbox….
EcommerceLOPDGDD & RGPD

Las Condiciones generales de contratación en tiendas online

By
6 Mins read
¿Te imaginas que cada vez que realizas una compra en una tienda online, tuvieses que «sentarte» a negociar las condiciones de compra…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.