El día 27 de julio de 2018 se aprobó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. En esta guía vemos las principales sanciones LOPD, la cuantía de las multas y el procedimiento sancionador.
En este artículo hablamos de:
- Sanciones establecidas por la LOPD-GDD en función del tipo de infracción
- Criterios para graduar la cuantía de las sanciones
- Ejemplos de sanciones por no cumplir la ley de protección de datos
- El Órgano sancionador en España
- El régimen sancionador en España
- Normativa reguladora del procedimiento sancionador: Lopdgdd, RGPD y Real Decreto-ley 5/2018
- El procedimiento sancionador
- Últimas novedades a las sanciones en materia de protección de datos (2021)
Sanciones establecidas por la LOPD-GDD en función del tipo de infracción
En casos de incumplimiento de la LOPDGDD podemos poner una denuncia de protección de datos ante la AEPD, que es la autoridad de control del cumplimiento de esta normativa en España
Las sanciones por no cumplir la ley de protección de datos pueden variar entre 600 y 601.012,10 €. Las infracciones se dividen en leves, graves y muy graves.
Sanciones para infracciones Leves: multa entre 600 € y 60.101,21€
El Real Decreto-ley 5/2018 considera como infracciones LOPD leves:
- No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP)
- La recopilación de datos personales sin previamente haber informado
- No atender a las posibles consultas por parte de la AGPD.
- No ocuparse de aquellas posibles solicitudes de rectificación o cancelación de datos
- La multa de estas infracciones se encuentra entre 600 € y 60.101,21€.
Sanciones Graves: multa entre 60.101,21 € y 300.506,05 €.
Se pueden considerar como graves:
- No inscribir los ficheros en la AEPD
- Hacer un uso de los ficheros con una finalidad distinta para la que fueron creados.
- No contar con el consentimiento del interesado para recopilar sus datos personales
- No permitir el acceso a los ficheros por parte del interesado
- Conservar datos inexactos o no efectuar las modificaciones que fueran solicitadas
- No cumplir los principios y garantías de la LOPD
- El tratamiento de datos especialmente protegidos sin la autorización del afectado
- No referir a la AGPD las notificaciones previstas en la LOPD.
- No mantener los ficheros con las debidas condiciones de seguridad.
- La multa de estas infracciones se encuentra entre 60.101,21 € y 300.506,05 €.
Sanciones Muy Graves: multa entre 300.506,05 € a 601.012,10 €
Dentro de las infracciones muy graves están:
- La creación de ficheros que revelen datos especialmente protegidos.
- La recogida de datos de una manera fraudulenta o engañosa.
- Recabar datos especialmente protegidos sin la autorización del afectado.
- Dificultar o no atender de forma reiterada las solicitudes de rectificación o cancelación.
- La vulneración del secreto de datos especialmente protegidos.
- La cesión o comunicación de datos cuando no esté permitida.
- No concluir en el uso ilegítimo a petición de la AGPD.
- El tratamiento de los datos de forma ilegítima o con desconsideración de garantías y principios que le sean de aplicación.
- No atender de manera sistemática a los requerimientos de la AGPD.
- La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
- La multa de estas infracciones se encuentras entre 300.506,05 € a 601.012,10 €.
Criterios para graduar la cuantía de las sanciones
La cuantía de las sanciones por protección de datos que la LOPDGDD impone se valora según los derechos personales afectados, los beneficios obtenidos, reincidencia, intencionalidad y cualquier circunstancia que sea relevante para determinar la culpabilidad.
Se pueden considerar infracciones leves la recopilación de datos sin previo aviso, no atender una solicitud de rectificación o anulación o no solicitar la inscripción del fichero en el Registro General de Protección de Datos. Estas infracciones llevarán aparejada una multa LOPD de entre 900€ y 4.0000€
Las infracciones de carácter grave como por ejemplo no inscribir ficheros en la AEPD, utilizar los datos para una finalidad distinta a la que se crearon, no permitir el acceso a los ficheros, modificarlos sin consentimiento o mantener los ficheros sin las debidas medidas de seguridad tendrán multas LOPD de entre 40.0001€ y 300.000€
Las infracciones muy graves como pueden ser la obtención de datos de manera fraudulenta, vulnerar el secreto de datos especialmente protegidos, el trato de datos de forma ilegítima o no atender las solicitudes de cancelación serán sancionadas con multas de entre 300.001€ y 600.000€.
Ejemplos de sanciones por no cumplir la ley de protección de datos
Desde que entró en vigor la normativa europea, las sanciones RGPD han estado ala orden del día. En este punto vemos algunas de las multas que se han impuesto a diversas empresas por o cumplir la normativa de protección de datos.
Multas Importantes en el mundo
Una de las sanciones más altas hasta el momento fue la que le impuso en Francia la Comisión Nacional de la Informática y las Libertades a Google. La autoridad francesa condenó al gigante de internet a pagar 50 millones de euros por no actuar con transparencia y no cumplir con la exigencia de consentimiento para el envío de publicidad personalizada.
En Alemania, la firma H&M fue multada con 35 millones de euros por la Agencia para la Protección de Datos y Libertad de Información de Hamburgo. El motivo fue que la empresa estaba recopilando información de la vida privada de sus empleados sin consentimiento.
Por su parte, la empresa de telecomunicaciones italiana TIM tuvo que hacer frente a una sanción por protección de datos de casi 28 millones de euros impuesta por la Agencia de Protección de Datos de Italia. En este caso, la razón fue que la empresa había estado usando datos personales de clientes sin consentimiento.
Las primeras sanciones
Ya hemos visto cuáles han sido algunas de las sanciones RGPD más cuantiosas en el mundo. Pero ¿cuáles fueron las primeras?
Una de las primeras multas RGPD fue la que se le impuso al Hospital do Barreiro en Portugal. En total, fueron dos sanciones de 150.000 euros y otra de 100.000 euros por vulnerar los principios de confidencialidad y minimización de datos, al permitir a los médicos del hospital acceder al historial clínico de los pacientes sin restricción alguna.
Otra de las primeras sanciones RGPD tuvo como víctima a la red social alemana Knuddels. El motivo fue la filtración de más de 800.000 direcciones de correo y los datos y contraseñas de casi 2 millones de usuarios. Además, estos datos luego fueron publicados online sin cifrar.
En España, una de las primeras sanciones LOPDGDD se le puso a Vodafone, por no respetar el derecho a la cancelación del servicio de un usuario. Dicho usuario recibió más de 200 SMS a pesar de que había ejercido su derecho de cancelación del servicio, por lo que Vodafone fue multada con 45.000 euros.
Algunas sanciones en España
Una de las sanciones RGPD en España más cuantiosas fue la que obligó a la empresa Caixabank ha pagar 6 millones de euros por uso ilícito de los datos personales de sus clientes.
Las entidades bancarias han sido protagonistas de algunas de las multas por protección de datos más elevadas. Por ejemplo, BBVA también fue sancionada por la AEPD a pagar 5 millones de euros por usar datos personales de sus clientes sin consentimiento.
La AEPD también sancionó a Worten con 10.000 € por vender a un cliente como producto nuevo un disco duro ya usado, y en cuyo interior además se encontraban almacenados datos personales de todos los empleados de la empresa.
La última empresa que ha sido sancionada (2021)
Las autoridades competentes imponen sanciones continuamente a las empresas que incumplen la normativa de protección de datos. Sin embargo, una de las últimas multas más mediáticas fue la que impusieron las autoridades noruegas a la red social Grindr. Las continuas violaciones en los requisitos de consentimiento han llevado a esta compañía a tener que pagar una multa de 9,6 millones de euros (el 10% de su facturación anual).
El Órgano sancionador en España
El órgano encargado de hacer las investigaciones e imponer las sanciones LOPD es la AEPD (Agencia Española de Protección de Datos), la cual puede designar a personal competente para la investigación.
Personal competente para la investigación
Según la normativa se considera personal competente a:
- Funcionarios de la Agencia
- Funcionarios externos que hayan sido previamente habilitados por el Director de la AEPD
En los casos en que haya actuaciones conjuntas, serán competentes las autoridades de control de otros Estados Miembros de la Unión Europea en los casos en los que se actúe y colabore con la Agencia.
Sujetos Responsables
En caso de cometerse una infracción en materia de Protección de Datos, se consideran sujetos responsables:
- Responsable del tratamiento
- Encargado del tratamiento
- Representantes de los responsables o encargados de los tratamientos no establecidos en la Unión Europea
- Entidades de certificación
- Entidades acreditadas de supervisión de los códigos de conducta (AEPD)
- Autoridades de control
Es importante destacar que la figura del D.P.O. no podrá ser sancionado como sujeto responsable.
El régimen sancionador en España
El régimen sancionador español pretende dar respuesta a una serie de cuestiones que el RGPD (Reglamento europeo de Protección de Datos) dejó abiertas como:
- Identificación y atribuciones de aquellas personas que ejercerán de autoridad para realizar una inspección y determinar que se cumpla con el reglamento
- Mecanismos que se deben de usar por el personal autorizado
- Régimen aplicable al personal de investigación
- Régimen sancionador para los casos en que no se cumpla lo establecido por el Reglamento europeo
- Reemplaza las infracciones y sanciones LOPD por las del RGPD
- Determina qué sujetos van a ser responsables
- Determina el procedimiento sancionador
- Se designa a la AEPD como representante de España en el Comité Europeo para que informe a las autoridades autonómicas acerca de las decisiones adoptadas en la UE
- Se pretende dar transparencia a la actuación de la AEPD a través de la publicación de sus resoluciones cuando:
- atiendan los derechos ARCO de acceso, rectificación, cancelación, oposición, limitación y portabilidad;
- pongan fin a los procedimientos de reclamación;
- archiven actuaciones previas de investigación;
- sancionen con apercibimiento a las Administraciones Públicas;
- impongan medidas cautelares y
- las demás que determine el Estatuto de la AEPD
Normativa reguladora del procedimiento sancionador: Lopdgdd, RGPD y Real Decreto-ley 5/2018
Las normas que actualmente regulan el procedimiento sancionador en materia de Protección de Datos son:
RGPD
El Reglamento europeo de Protección de Datos únicamente regula criterios o cuestiones básicas en relación a las infracciones y sanciones RGPD. No alude a cuestiones como:
- Graduación especifica de las sanciones
- Prescripción tanto de las infracciones como de las sanciones
- Procedimiento sancionador
- Potestad de inmovilización de los ficheros
- Todo lo referente a las infracciones de las Administraciones Públicas
Real Decreto-ley 5/2018
Este Real Decreto-ley de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos comprende 14 artículos, y su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del RGPD.
El procedimiento sancionador
La Agencia Española de Protección de Datos examinará de oficio su competencia al inicio de cualquier actuación para determinar el carácter nacional o transfronterizo y el procedimiento a seguir para imponer las sanciones LOPD. En caso de que la AEPD considere que no tiene competencia, remitirá la reclamación a la Autoridad de control principal que considere competente y ese traslado se lo notificará a quien hubiera presentado la reclamación.
Inicio de procedimiento
El inicio del procedimiento para establecer sanciones LOPD puede producirse de dos maneras:
- Cuando no se atiendan a la solicitud de ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad
- Cuando pueda existir una infracción del reglamento
En cuanto a la admisión de las reclamaciones, estas serán evaluadas por la AEPD. No se admitirán aquellas que:
- No versen sobre cuestiones de protección de datos de carácter personal
- Carezcan manifiestamente de fundamento
- Sean abusivas
- No aporten indicios racionales de la existencia de una infracción
- El responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento cuando no se haya causado perjuicio al afectado y que el derecho del afectado quede plenamente garantizado mediante la aplicación de esas medidas
Tanto la admisión como la inadmisión, debe notificarse al reclamante en el plazo de 3 meses. En caso de no haber una comunicación expresa en dicho plazo, se entiende que la reclamación ha sido admitida y continúa su tramitación.
Alegaciones
Puede existir una fase previa de alegaciones para la investigación una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.
Finalizada la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.
Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
Actuaciones de inspección
La AEPD podrá llevar a cabo actuaciones de inspección a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.
No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.
En el ejercicio de estas actividades de investigación, los funcionarios de la AEPD pueden:
- Recabar la información precisa para el cumplimiento de sus funciones
- Realizar inspecciones
- Solicitar la exhibición o el envío de documentos o datos necesarios
- Examinarlos, obtener copia e inspeccionar los equipos
- Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación
Contratos de encargo de tratamiento
Aquellos contratos de encargado de tratamiento que se hayan realizado de forma previa al día 25 de mayo de 2018, cuando haya sido conforme al artículo 12 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas), continuarán vigentes hasta la fecha de vencimiento y en caso de haberse pactado de forma indefinida su vigencia, se mantendrá hasta el día 25 de mayo de 2022.
Últimas novedades a las sanciones en materia de protección de datos (2021)
Una de las novedades más importantes en materia de protección de datos ha sido la publicación por parte de la AEPD de una nueva “Guía sobre el uso de cookies“. Esta guía incluye nuevas exigencias respecto al tratamiento de esto archivos. Entre otros requisitos, ahora será necesario brindar al usuario la posibilidad rechazar las cookies desde la pantalla de inicio de la página web.
Por otro lado, la justicia europea también se ha pronunciado acerca de las transferencias internacionales de datos. En concreto, la Resolución del Tribunal de Justicia de la Unión Europea (TJUE) ha determinado la invalidez de la Decisión (UE) 2016/1250 que establecía el acuerdo Privacy Shield como el regulador de las transferencias de datos entre EE.UU y la UE. Una de las principales razones es que en estos momentos EE.UU no puede garantizar los niveles de transparencia, privacidad y confidencialidad que exige la normativa europea.
Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.