Infracciones y Sanciones LOPDGDD/RGPD: criterios, procesos y ejemplos

El día 27 de julio de 2018 se aprobó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. En esta guía vemos las principales sanciones LOPD, la cuantía de las multas y el procedimiento sancionador.

Sanciones establecidas por la LOPD-GDD en función del tipo de infracción

En casos de incumplimiento de la LOPDGDD podemos poner una denuncia de protección de datos ante la AEPD, que es la autoridad de control del cumplimiento de esta normativa en España

Las sanciones por no cumplir la ley de protección de datos pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación anual. Las infracciones se dividen en leves, graves y muy graves.

Sanciones para infracciones Leves: multa de hasta 40.000 €

La Ley Orgánica 3/2018 considera como infracciones LOPD leves:

• Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información que exigen los artículos 13 y 14 del RGPD.
• Pedir un pago al interesado para poder acceder a la información que exigen los artículos 13 y 14 del RGPD o para atender las solicitudes de ejercicio de derechos contempladas en los artículos 15 a 22 del citado Reglamento.
• No atender las solicitudes de los ejercicios de los derechos que se establecen en los artículos 15 a 22 del RGPD.
• No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.
• No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del RGPD
• No cumplir con la obligación de informar al afectado de los destinatarios a los que se haya comunicado la rectificación, supresión o limitación del tratamiento.
• No cumplir con la supresión de datos referidos a una persona fallecida cuando así lo exige el artículo 3 de la LOPDGDD.
• Incumplimiento de las obligaciones de los responsables y encargados del tratamiento.
• Que el registro de actividades de tratamiento no contenga toda la información que exige el artículo 30 del RGPD.
• Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.
• Dar información inexacta a la AEPD en los supuestos en los que el responsable del tratamiento debe elevar una consulta previa, de acuerdo al artículo 36 del RGPD.
• No publicar los datos de contacto del delegado de protección de datos o comunicarlos a la AEPD.
• Incumplimiento de las obligaciones de los organismos de certificación de informar a la AEPD de la expedición, renovación o retirada de una certificación.
• Incumplimiento de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a la AEPD de las medidas que resulten oportunas en caso de infracción del código.

La multa de estas infracciones puede alcanzar hasta los 40.000 €.

Sanciones Graves: multa de 40.001 € a 300.000 €

Se pueden considerar como graves:

• Tratar datos de menores de edad sin recabar su consentimiento, cuando tenga edad para ello, o de sus padres o tutores.
• No acreditar esfuerzos razonables para verificar la validez del consentimiento del menor o de sus padres o tutores.
• No atender de forma reiterada u obstaculizar la solicitud de los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos en los tratamientos en los que no se requiere la identificación del afectado.
• No adoptar las medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño.
• No adoptar las medidas técnicas y organizativas que garanticen el tratamiento de los datos personales necesarios para cada uno de los fines específicos del tratamiento.
• No adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.
• Brechas de seguridad ocurridas por no haber adoptado las medidas adecuadas de seguridad.
• No designar un representante del responsable o encargado del tratamiento no establecido en territorio de la UE, de acuerdo al artículo 27 del RGPD.
• No atender las solicitudes de las agencias de protección de datos.
• Contratar un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias, de acuerdo al Capítulo IV del RGPD.
• Encargar el tratamiento de datos a un tercero sin el debido contrato.
• Contratación por parte del encargado del tratamiento de otros encargados sin contar con la autorización del responsable.
• Infracción de lo dispuesto en el artículo 28.10 del RGPD respeto a la determinación de los fines y los medios de tratamiento por parte del encargado.
• No disponer del registro de actividades.
• No cooperar con la AEPD u otras autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.
• El tratamiento de datos personales sin cumplir con lo recogido en el artículo 28 de la LOPDGDD.
• Incumplir el deber de informar de las violaciones de seguridad por parte del encargado del tratamiento al responsable.
• No informar de las violaciones de seguridad a la AEPD, según el artículo 33 del RGPD.
• No informar al afectado de una violación de seguridad de datos personales.
• Llevar a cabo el tratamiento de datos sin realizar una evaluación de impacto cuando esta es exigible.
• Tratar datos personales sin haber realizado consulta previa a la AEPD cuando esta sea obligatoria.
• No designar a un delegado de protección de datos cuando sea obligatorio.
• No permitir que el delegado de protección de datos pueda cumplir con sus funciones.
• Utilizar sellos o certificaciones en materia de protección de datos que no hayan sido otorgados por una entidad de certificación acreditada o estén expirados.
• Incumplimientos de los organismos de certificación recogidos en el artículo 73, letras z, aa, ab y ac de la LOPDGDD.

La multa de estas infracciones se encuentra entre 40.001 € y 300.000 €.

Sanciones Muy Graves: multa entre 300.001 € a 20.000.000 €

Dentro de las infracciones muy graves están:

• Tratamiento de datos personales que vulneren las garantías y principios establecidos en el artículo 5 del RGPD.
• Trata datos personales sin la legitimación establecida en el artículo 6 del RGPD.
• No cumplir con los requisitos exigidos en el artículo 7 del RGPD para la validez del consentimiento.
• Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.
• Trata datos personales de las categorías recogidas en el artículo 9 del RGPD sin que concurra alguna de las circunstancias previstas de dicho artículo y del artículo 9 de la LOPDGDD.
• Tratar datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos del artículo 10 del RGPD y el artículo 10 de la LOPDGDD.
• Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos establecidos en el artículo 27 de la LOPDGDD.
• La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
• Vulnerar el deber de confidencialidad.
• Exigir el pago de un canon para facilitar la información al afectado a la que se refieren los artículos 13 y 14 del RGPD.
• No atender u obstaculizar la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
• Transferencias internacionales de datos personales sin las debidas garantías.
• Incumplir las resoluciones dictadas por la AEPD.
• Incumplir con la obligación del bloqueo de datos.
• No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación.
• Obstruir una inspección de la AEPD.
• Reversión deliberada de un procedimiento de anonimización para que se pueda reindentificar a los afectados.

La multa de estas infracciones se encuentra entre 300.001 € a 20.000.000 € o el 4% de la facturación anual (la cuantía que sea mayor).

Criterios para graduar la cuantía de las sanciones

La cuantía de las sanciones por protección de datos que la LOPDGDD impone, se valora según los derechos personales afectados, los beneficios  obtenidos, reincidencia, intencionalidad y cualquier  circunstancia que sea relevante para determinar la culpabilidad.

Es decir, las multas LOPD se imponen en función de diferentes criterios, aparte de los contemplados en las infracciones recogidas en el punto anterior. Por ejemplo, la recopilación de datos sin previo aviso puede tener una multa LOPD que podría alcanzar los 40.000 € si es una infracción reiterada.

Las causas más habituales de sanciones en protección de datos 2021

Los motivos más habituales de sanciones en protección de datos en 2021 los encontramos recogidos en el informe elaborado por la compañía ESET sobre protección de datos dentro de la UE. Las empresas sancionadas por no cumplir con la ley de protección de datos de acuerdo con este informe, lo fueron por alguno de las siguientes causas:

• No cumplir con los principios de procesamiento de datos personales
• Tener una base legal insuficiente para llevar a cabo el procesamiento de datos personales
• Contar con medidas técnicas y organizativas de seguridad insuficientes
• Cumplimiento insuficiente de los derechos de los interesados
• Cumplimiento insuficiente de las obligaciones de información

Este informe también recoge un ranking de los países cuyas empresas han recibido más multas y España encabeza la lista con 273 sanciones recibidas por compañías a causa de vulneraciones de la Ley de Protección de Datos. Si bien, en lo que a cuantía se refiere, estas multas por no incumplir la Ley de Protección de Datos no han sido las más elevadas respecto a otros países.

¿Cuáles son los motivos más comunes de sanciones en protección de datos en España?

Los motivos más comunes detrás de la aplicación del régimen sancionador en protección de datos por parte de la AEPD en España han sido los siguientes:

• Base legal insuficiente para el procesamiento de datos: Las compañías sancionadas lo fueron, porque no pudieron acreditar que existía una base legal suficiente que justificase el tratamiento de los datos personales que habían recogido, es decir, no consiguieron demostrar que el tratamiento era necesario y no únicamente útil, como exige la normativa de protección de datos.
• Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información: A tenor del número de brechas de seguridad documentado, el segundo motivo de sanción en materia de protección de datos es contar con medidas técnicas y organizativas insuficientes para garantizar la seguridad de los datos personales. Es decir, que muchas de esas brechas de seguridad se han debido a una mala planificación de la seguridad, facilitando así el acceso a la información de terceros no autorizados y su filtración.
• Incumplimiento de los principios generales de procesamiento de datos: Esta es la tercera causa más habitual tras la imposición de sanciones en protección de datos, pero también la que cubre las infracciones menos graves, por lo que las cuantías de las multas suele ser menor.

¿Cuáles son las mayores multas impuestas en protección de datos en Europa?

Estas sanciones por no cumplir con la Ley de Protección de Datos han aparecido en las noticias, puesto que las cuantías de las multas han sido las más elevadas impuestas hasta la fecha.

Encabeza este ránking Amazon, multada por la Comisión Nacional de Protección de Datos de Luxemburgo en julio de 2021 con 746 millones de euros, por haber expuesto los datos personales de sus usuarios a terceros sin el consentimiento de estos (aunque la compañía está apelando dicha multa).

Le sigue Google, multada por la autoridad de control francesa con 50 millones de euros, por considerar que la empresa no informó de manera suficiente a sus usuarios sobre cómo se recopilaban y utilizaban sus datos para crear publicidad dirigida.

Este peculiar top 3 de multas por violación del RGPD lo cierra H&M, multada por el controlador alemán con 35,5 millones de euros por vigilancia ilegal de cientos de sus empleados en su centro de Núremberg.

Ejemplos de sanciones por no cumplir la ley de protección de datos

Desde que entró en vigor la normativa europea, las sanciones RGPD han estado ala orden del día. En este punto vemos algunas de las multas que se han impuesto a diversas empresas por o cumplir la normativa de protección de datos.

Multas Importantes en el mundo

Una de las sanciones más altas hasta el momento fue la que le impuso en Francia la Comisión Nacional de la Informática y las Libertades a Google. La autoridad francesa condenó al gigante de internet a pagar 50 millones de euros por no actuar con transparencia y no cumplir con la exigencia de consentimiento para el envío de publicidad personalizada.

En Alemania, la firma H&M fue multada con 35 millones de euros por la Agencia para la Protección de Datos y Libertad de Información de Hamburgo. El motivo fue que la empresa estaba recopilando información de la vida privada de sus empleados sin consentimiento.

Por su parte, la empresa de telecomunicaciones italiana TIM tuvo que hacer frente a una sanción por protección de datos de casi 28 millones de euros impuesta por la Agencia de Protección de Datos de Italia. En este caso, la razón fue que la empresa había estado usando datos personales de clientes sin consentimiento.

Las primeras sanciones

Ya hemos visto cuáles han sido algunas de las sanciones RGPD más cuantiosas en el mundo. Pero ¿cuáles fueron las primeras?

Una de las primeras multas RGPD fue la que se le impuso al Hospital do Barreiro en Portugal. En total, fueron dos sanciones de 150.000 euros y otra de 100.000 euros por vulnerar los principios de confidencialidad y minimización de datos, al permitir a los médicos del hospital acceder al historial clínico de los pacientes sin restricción alguna.

Otra de las primeras sanciones RGPD tuvo como víctima a la red social alemana Knuddels. El motivo fue la filtración de más de 800.000 direcciones de correo y los datos y contraseñas de casi 2 millones de usuarios. Además, estos datos luego fueron publicados online sin cifrar.

En España, una de las primeras sanciones LOPDGDD se le puso a Vodafone, por no respetar el derecho a la cancelación del servicio de un usuario. Dicho usuario recibió más de 200 SMS a pesar de que había ejercido su derecho de cancelación del servicio, por lo que Vodafone fue multada con 45.000 euros.

Algunas sanciones en España

Una de las sanciones RGPD en España más cuantiosas fue la que obligó a la empresa Caixabank ha pagar 6 millones de euros por uso ilícito de los datos personales de sus clientes.

Las entidades bancarias han sido protagonistas de algunas de las multas por protección de datos más elevadas. Por ejemplo, BBVA también fue sancionada por la AEPD a pagar 5 millones de euros por usar datos personales de sus clientes sin consentimiento.

La AEPD también sancionó a Worten con 10.000 € por vender a un cliente como producto nuevo un disco duro ya usado, y en cuyo interior además se encontraban almacenados datos personales de todos los empleados de la empresa.

La última empresa que ha sido sancionada (2021)

Las autoridades competentes imponen sanciones continuamente a las empresas que incumplen la normativa de protección de datos. Sin embargo, una de las últimas multas más mediáticas fue la que impusieron las autoridades noruegas a la red social Grindr. Las continuas violaciones en los requisitos de consentimiento han llevado a esta compañía a tener que pagar una multa de 9,6 millones de euros (el 10% de su facturación anual).

El Órgano sancionador en España

El órgano encargado de hacer las investigaciones e imponer las sanciones LOPD es la AEPD (Agencia Española de Protección de Datos), la cual puede designar a personal competente para la investigación.

Personal competente para la investigación

Según la normativa se considera personal competente a:

• Funcionarios de la Agencia
• Funcionarios externos que hayan sido previamente habilitados por el Director de la AEPD

En los casos en que haya actuaciones conjuntas, serán competentes las autoridades de control de otros Estados Miembros de la Unión Europea en los casos en los que se actúe y colabore con la Agencia.

Sujetos Responsables

En caso de cometerse una infracción en materia de Protección de Datos, se consideran sujetos responsables:

• Responsable del tratamiento
• Encargado del tratamiento
• Representantes de los responsables o encargados de los tratamientos no establecidos en la Unión Europea
• Entidades de certificación
• Entidades acreditadas de supervisión de los códigos de conducta (AEPD)
• Autoridades de control

Es importante destacar que la figura del D.P.O. no podrá ser sancionado como sujeto responsable.

El régimen sancionador en España

El régimen sancionador español pretende dar respuesta a una serie de cuestiones que el RGPD (Reglamento europeo de Protección de Datos) dejó abiertas como:

• Identificación y atribuciones de aquellas personas que ejercerán de autoridad para realizar una inspección y determinar que se cumpla con el reglamento
• Mecanismos que se deben de usar por el personal autorizado
• Régimen aplicable al personal de investigación
• Régimen sancionador para los casos en que no se cumpla lo establecido por el Reglamento europeo
• Reemplaza las infracciones y sanciones LOPD por las del RGPD
• Determina qué sujetos van a ser responsables
• Determina el procedimiento sancionador
• Se designa a la AEPD como representante de España en el Comité Europeo para que informe a las autoridades autonómicas acerca de las decisiones adoptadas en la UE
• Se pretende dar transparencia a la actuación de la AEPD a través de la publicación de sus resoluciones cuando:
  • atiendan los derechos ARCO de acceso, rectificación, cancelación, oposición, limitación y portabilidad;
  • pongan fin a los procedimientos de reclamación;
  • archiven actuaciones previas de investigación;
  • sancionen con apercibimiento a las Administraciones Públicas;
  • impongan medidas cautelares y
  • las demás que determine el Estatuto de la AEPD

Normativa reguladora del procedimiento sancionador: LOPDGDD, RGPD y Real Decreto-ley 5/2018

Las normas que actualmente regulan el procedimiento sancionador en materia de Protección de Datos son:

RGPD

El Reglamento europeo de Protección de Datos únicamente regula criterios o cuestiones básicas en relación a las infracciones y sanciones RGPD. No alude a cuestiones como:

• Graduación especifica de las sanciones
• Prescripción tanto de las infracciones como de las sanciones
• Procedimiento sancionador
• Potestad de inmovilización de los ficheros
• Todo lo referente a las infracciones de las Administraciones Públicas

Real Decreto-ley 5/2018

Este Real Decreto-ley de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos comprende 14 artículos, y su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del RGPD.

El procedimiento sancionador

La Agencia Española de Protección de Datos examinará de oficio su competencia al inicio de cualquier actuación para determinar el carácter nacional o transfronterizo y el procedimiento a seguir para imponer las sanciones LOPD. En caso de que la AEPD considere que no tiene competencia, remitirá la reclamación a la Autoridad de control principal que considere competente y ese traslado se lo notificará a quien hubiera presentado la reclamación.

Inicio de procedimiento

El inicio del procedimiento para establecer sanciones LOPD puede producirse de dos maneras:

• Cuando no se atiendan a la solicitud de ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad
• Cuando pueda existir una infracción del reglamento

En cuanto a la admisión de las reclamaciones, estas serán evaluadas por la AEPD.  No se admitirán aquellas que:

• No versen sobre cuestiones de protección de datos de carácter personal
• Carezcan manifiestamente de fundamento
• Sean abusivas
• No aporten indicios racionales de la existencia de una infracción
• El responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento cuando no se haya causado perjuicio al afectado y que el derecho del afectado quede plenamente garantizado mediante la aplicación de esas medidas

Tanto la admisión como la inadmisión, debe notificarse al reclamante en el plazo de 3 meses. En caso de no haber una comunicación expresa en dicho plazo, se entiende que la reclamación ha sido admitida  y continúa su tramitación.

Alegaciones

Puede existir una fase previa de alegaciones para la investigación una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Actuaciones de inspección

La AEPD podrá llevar a cabo actuaciones de inspección a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

En el ejercicio de estas actividades de investigación, los funcionarios de la AEPD pueden:

• Recabar la información precisa para el cumplimiento de sus funciones
• Realizar inspecciones
• Solicitar la exhibición o el envío de documentos o datos necesarios
• Examinarlos, obtener copia e inspeccionar los equipos
• Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación

Contratos de encargo de tratamiento

Aquellos contratos de encargado de tratamiento que se hayan realizado de forma previa al día 25 de mayo de 2018, cuando haya sido conforme al artículo 12 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas), continuarán vigentes hasta la fecha de vencimiento y en caso de haberse pactado de forma indefinida su vigencia, se mantendrá hasta el día 25 de mayo de 2022.

Últimas novedades a las sanciones en materia de protección de datos (2021)

Una de las novedades más importantes en materia de protección de datos ha sido la publicación por parte de la AEPD de una nueva “Guía sobre el uso de cookies“. Esta guía incluye nuevas exigencias respecto al tratamiento de esto archivos. Entre otros requisitos, ahora será necesario brindar al usuario la posibilidad  rechazar las cookies desde la pantalla de inicio de la página web.

Por otro lado, la justicia europea también se ha pronunciado acerca de las transferencias internacionales de datos. En concreto, la Resolución del Tribunal de Justicia de la Unión Europea (TJUE) ha determinado la invalidez de la Decisión (UE) 2016/1250 que establecía el acuerdo Privacy Shield como el regulador de las transferencias de datos entre EE.UU y la UE. Una de las principales razones es que en estos momentos EE.UU no puede garantizar los niveles de transparencia, privacidad y confidencialidad que exige la normativa europea.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.