Infracciones y Sanciones LOPDGDD/RGPD: criterios, procesos y ejemplos

¿Cuáles son las infracciones y sanciones de la ley de protección de datos? ¿Cómo se gradúan las infracciones y sanciones en el RGPD y la LOPDGDD? ¿Cuáles son las causas más habituales de las sanciones por vulnerar la ley de protección de datos?

En este artículo responderemos a estas y otras preguntas relacionadas con las infracciones y sanciones recogidas en el RGPD y la LOPDGDD.

Sanciones establecidas en la Ley de Protección de Datos según el tipo de infracción

Cuando hablamos de las sanciones de la ley de protección de datos, debemos distinguir entre las cuantías de las multas del RGPD y la cuantía de las multas de la LOPDGDD, no por qué se basen en diferentes criterios (puesto que comparten los mismos), sino porque el Reglamento europeo es menos detallado a la hora de graduar y establecer la cuantía de las sanciones que la ley española.

En cualquier caso, ante un incumplimiento del RGPD o la LOPDGDD, deberemos hacer una denuncia de protección de datos ante la AEPD, que es la autoridad de control del cumplimiento de esta normativa en España

Así, las sanciones que establece el RGPD son:

• Para infracciones graves: multa de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que resulte más alta).
• Para infracciones muy graves: multa de hasta 20 millones de euros (o el 4% de la facturación anual, aplicando la cuantía que resulte más alta).

En caso de la LOPDGDD española, las infracciones por protección de datos se dividen en leves, graves y muy graves.

Cabe señalar que cuando hablamos de sanciones, no debemos confundirlas con las indemnizaciones en protección de datos que reconoce el artículo 82 del RGPD, puesto que las sanciones son administrativas y se pagan a la AEPD, mientras que en una indemnización de protección de datos, si se reconoce en proceso judicial, la cobraría el interesado, es decir la persona que solicitó la indemnización.

Sanciones RGPD para infracciones Leves: multa de hasta 40.000 €

La Ley Orgánica 3/2018 considera como infracciones LOPD leves:

• Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información que exigen los artículos 13 y 14 del RGPD.
• Pedir un pago al interesado para poder acceder a la información que exigen los artículos 13 y 14 del RGPD o para atender las solicitudes de ejercicio de derechos contempladas en los artículos 15 a 22 del citado Reglamento.
• No atender las solicitudes de los ejercicios de los derechos que se establecen en los artículos 15 a 22 del RGPD.
• No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.
• No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del RGPD
• No cumplir con la obligación de informar al afectado de los destinatarios a los que se haya comunicado la rectificación, supresión o limitación del tratamiento.
• No cumplir con la supresión de datos referidos a una persona fallecida cuando así lo exige el artículo 3 de la LOPDGDD.
• Incumplimiento de las obligaciones de los responsables y encargados del tratamiento.
• Que el registro de actividades de tratamiento no contenga toda la información que exige el artículo 30 del RGPD.
• Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.
• Dar información inexacta a la AEPD en los supuestos en los que el responsable del tratamiento debe elevar una consulta previa, de acuerdo al artículo 36 del RGPD.
• No publicar los datos de contacto del delegado de protección de datos o comunicarlos a la AEPD.
• Incumplimiento de las obligaciones de los organismos de certificación de informar a la AEPD de la expedición, renovación o retirada de una certificación.
• Incumplimiento de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a la AEPD de las medidas que resulten oportunas en caso de infracción del código.

La multa de estas infracciones puede alcanzar hasta los 40.000 €.

Sanciones RGPD Graves: multa de 40.001 € a 300.000 €

Se pueden considerar como graves:

• Tratar datos de menores de edad sin recabar su consentimiento, cuando tenga edad para ello, o de sus padres o tutores.
• No acreditar esfuerzos razonables para verificar la validez del consentimiento del menor o de sus padres o tutores.
• No atender de forma reiterada u obstaculizar la solicitud de los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos en los tratamientos en los que no se requiere la identificación del afectado.
• No adoptar las medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño.
• No adoptar las medidas técnicas y organizativas que garanticen el tratamiento de los datos personales necesarios para cada uno de los fines específicos del tratamiento.
• No adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.
• Brechas de seguridad ocurridas por no haber adoptado las medidas adecuadas de seguridad.
• No designar un representante del responsable o encargado del tratamiento no establecido en territorio de la UE, de acuerdo al artículo 27 del RGPD.
• No atender las solicitudes de las agencias de protección de datos.
• Contratar un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias, de acuerdo al Capítulo IV del RGPD.
• Encargar el tratamiento de datos a un tercero sin el debido contrato.
• Contratación por parte del encargado del tratamiento de otros encargados sin contar con la autorización del responsable.
• Infracción de lo dispuesto en el artículo 28.10 del RGPD respeto a la determinación de los fines y los medios de tratamiento por parte del encargado.
• No disponer del registro de actividades.
• No cooperar con la AEPD u otras autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.
• El tratamiento de datos personales sin cumplir con lo recogido en el artículo 28 de la LOPDGDD.
• Incumplir el deber de informar de las violaciones de seguridad por parte del encargado del tratamiento al responsable.
• No informar de las violaciones de seguridad a la AEPD, según el artículo 33 del RGPD.
• No informar al afectado de una violación de seguridad de datos personales.
• Llevar a cabo el tratamiento de datos sin realizar una evaluación de impacto cuando esta es exigible.
• Tratar datos personales sin haber realizado consulta previa a la AEPD cuando esta sea obligatoria.
• No designar a un delegado de protección de datos cuando sea obligatorio.
• No permitir que el delegado de protección de datos pueda cumplir con sus funciones.
• Utilizar sellos o certificaciones en materia de protección de datos que no hayan sido otorgados por una entidad de certificación acreditada o estén expirados.
• Incumplimientos de los organismos de certificación recogidos en el artículo 73, letras z, aa, ab y ac de la LOPDGDD.

La multa de estas infracciones se encuentra entre 40.001 € y 300.000 €.

Sanciones RGPD Muy Graves: multa entre 300.001 € a 20.000.000 €

Dentro de las infracciones RGPD y LOPDGDD muy graves están:

• Tratamiento de datos personales que vulneren las garantías y principios establecidos en el artículo 5 del RGPD.
• Trata datos personales sin la legitimación establecida en el artículo 6 del RGPD.
• No cumplir con los requisitos exigidos en el artículo 7 del RGPD para la validez del consentimiento.
• Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.
• Trata datos personales de las categorías recogidas en el artículo 9 del RGPD sin que concurra alguna de las circunstancias previstas de dicho artículo y del artículo 9 de la LOPDGDD.
• Tratar datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos del artículo 10 del RGPD y el artículo 10 de la LOPDGDD.
• Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos establecidos en el artículo 27 de la LOPDGDD.
• La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
• Vulnerar el deber de confidencialidad.
• Exigir el pago de un canon para facilitar la información al afectado a la que se refieren los artículos 13 y 14 del RGPD.
• No atender u obstaculizar la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
• Transferencias internacionales de datos personales sin las debidas garantías.
• Incumplir las resoluciones dictadas por la AEPD.
• Incumplir con la obligación del bloqueo de datos.
• No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación.
• Obstruir una inspección de la AEPD.
• Reversión deliberada de un procedimiento de anonimización para que se pueda reindentificar a los afectados.

La multa de estas infracciones se encuentra entre 300.001 € a 20.000.000 € o el 4% de la facturación anual (la cuantía que sea mayor).

Criterios para graduar la cuantía de las sanciones RGPD y LOPDGDD

La cuantía de las sanciones por protección de datos que tanto el RGPD como la LOPDGDD imponen, se valora según los derechos personales afectados, los beneficios obtenidos, la posible reincidencia, la intencionalidad y cualquier circunstancia que sea relevante para determinar la culpabilidad.

Es decir, las multas LOPD se imponen en función de diferentes criterios, aparte de los contemplados en las infracciones LOPD recogidas en el punto anterior. Por ejemplo, la recopilación de datos sin previo aviso puede tener una multa de acuerdo al RGPD y la LOPD que podría alcanzar los 40.000 € si es una infracción reiterada.

Las causas más habituales de sanciones en protección de datos 2021

Los motivos más habituales de sanciones en protección de datos en 2021 los encontramos recogidos en el informe elaborado por la compañía ESET sobre protección de datos dentro de la UE. Las empresas sancionadas por no cumplir con la ley de protección de datos de acuerdo con este informe, lo fueron por alguna de las siguientes causas:

• No cumplir con los principios de procesamiento de datos personales
• Tener una base legal insuficiente para llevar a cabo el procesamiento de datos personales
• Contar con medidas técnicas y organizativas de seguridad insuficientes
• Cumplimiento insuficiente de los derechos de los interesados
• Cumplimiento insuficiente de las obligaciones de información

Este informe también recoge un ranking de los países cuyas empresas han recibido más multas por incumplimiento de la ley de protección de datos y España encabeza la lista con 273 multas RGPD recibidas por compañías a causa de vulneraciones de la Ley de Protección de Datos. Si bien, en lo que a cuantía se refiere, estas sanciones por incumplimiento de la Ley de Protección de Datos no han sido las más elevadas respecto a otros países.

¿Cuáles son los motivos más comunes de multas RGPD y LOPDGDD en España?

Los motivos más comunes detrás de la aplicación del régimen sancionador en protección de datos por parte de la AEPD en España han sido los siguientes:

• Base legal insuficiente para el procesamiento de datos: Las compañías sancionadas lo fueron, porque no pudieron acreditar que existía una base legal suficiente que justificase el tratamiento de los datos personales que habían recogido, es decir, no consiguieron demostrar que el tratamiento era necesario y no únicamente útil, como exige la normativa de protección de datos.
• Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información: A tenor del número de brechas de seguridad documentado, el segundo motivo de sanción en materia de protección de datos es contar con medidas técnicas y organizativas insuficientes para garantizar la seguridad de los datos personales. Es decir, que muchas de esas brechas de seguridad se han debido a una mala planificación de la seguridad, facilitando así el acceso a la información de terceros no autorizados y su filtración.
• Incumplimiento de los principios generales de procesamiento de datos: Esta es la tercera causa más habitual tras la imposición de sanciones en protección de datos, pero también la que cubre las infracciones menos graves, por lo que las cuantías de las multas suele ser menor.

Estos son los principales motivos para las sanciones de la agencia de protección de datos, pero hay muchos otros.

¿Cuáles son las mayores sanciones RGPD impuestas en Europa?

Estas sanciones por no cumplir con la Ley de Protección de Datos han aparecido en las noticias, puesto que las cuantías de las multas han sido las más elevadas impuestas hasta la fecha.

El ranking de sanciones de la ley de protección de datos lo encabeza Amazon, multada por la Comisión Nacional de Protección de Datos de Luxemburgo en julio de 2021 con 746 millones de euros, por haber expuesto los datos personales de sus usuarios a terceros sin el consentimiento de estos (aunque la compañía está apelando dicha multa).

Le sigue Google, multada por la autoridad de control francesa con 50 millones de euros, por considerar que la empresa no informó de manera suficiente a sus usuarios sobre cómo se recopilaban y utilizaban sus datos para crear publicidad dirigida.

Este peculiar top 3 de multas por violación del RGPD lo cierra H&M, multada por el controlador alemán con 35,5 millones de euros por vigilancia ilegal de cientos de sus empleados en su centro de Núremberg.

Ejemplos de sanciones por no cumplir la ley de protección de datos

Desde que entró en vigor la normativa europea, las sanciones RGPD han estado a la orden del día. En este punto vemos algunas de las multas que se han impuesto a diversas empresas por o cumplir la normativa de protección de datos.

Multas RGPD importantes en el mundo

Una de las sanciones por vulnerar la ley de protección de datos más altas hasta el momento fue la que le impuso en Francia la Comisión Nacional de la Informática y las Libertades a Google. La autoridad francesa condenó al gigante de internet a pagar 50 millones de euros por no actuar con transparencia y no cumplir con la exigencia de consentimiento para el envío de publicidad personalizada.

En Alemania, la firma H&M fue multada con 35 millones de euros por la Agencia para la Protección de Datos y Libertad de Información de Hamburgo. El motivo fue que la empresa estaba recopilando información de la vida privada de sus empleados sin consentimiento.

Por su parte, la empresa de telecomunicaciones italiana TIM tuvo que hacer frente a una sanción por protección de datos de casi 28 millones de euros impuesta por la Agencia de Protección de Datos de Italia. En este caso, la razón fue que la empresa había estado usando datos personales de clientes sin consentimiento.

Las primeras sanciones RGPD

Ya hemos visto cuáles han sido algunas de las sanciones RGPD más cuantiosas en el mundo. Pero ¿cuáles fueron las primeras?

Una de las primeras multas RGPD fue la que se le impuso al Hospital do Barreiro en Portugal. En total, fueron dos sanciones de 150.000 euros y otra de 100.000 euros por vulnerar los principios de confidencialidad y minimización de datos, al permitir a los médicos del hospital acceder al historial clínico de los pacientes sin restricción alguna.

Otra de las primeras sanciones RGPD tuvo como víctima a la red social alemana Knuddels. El motivo fue la filtración de más de 800.000 direcciones de correo y los datos y contraseñas de casi 2 millones de usuarios. Además, estos datos luego fueron publicados online sin cifrar.

En España, una de las primeras sanciones LOPDGDD se le puso a Vodafone, por no respetar el derecho a la cancelación del servicio de un usuario. Dicho usuario recibió más de 200 SMS a pesar de que había ejercido su derecho de cancelación del servicio, por lo que Vodafone fue multada con 45.000 euros.

Algunas sanciones por protección de datos en España

Una de las sanciones RGPD en España más cuantiosas fue la que obligó a la empresa CaixaBank a pagar 6 millones de euros por uso ilícito de los datos personales de sus clientes.

Las entidades bancarias han sido protagonistas de algunas de las multas por protección de datos más elevadas. Por ejemplo, BBVA también fue sancionada por la AEPD a pagar 5 millones de euros por usar datos personales de sus clientes sin consentimiento.

Otra de las últimas sanciones AEPD obligó a Worten a pagar una multa de 10.000 € por vender a un cliente como producto nuevo un disco duro ya usado, y en cuyo interior, además, se encontraban almacenados datos personales de todos los empleados de la empresa.

La última empresa que ha sido sancionada (2021)

Las autoridades competentes imponen sanciones continuamente a las empresas que incumplen la normativa de protección de datos. Sin embargo, una de las últimas sanciones por protección de datos personales más mediáticas fue la que impusieron las autoridades noruegas a la red social Grindr. Las continuas violaciones en los requisitos de consentimiento han llevado a esta compañía a tener que pagar una multa de 9,6 millones de euros (el 10% de su facturación anual).

El Órgano sancionador en España

El órgano encargado de hacer las investigaciones e imponer las sanciones LOPD y RGPD es la AEPD (Agencia Española de Protección de Datos), la cual puede designar a personal competente para la investigación.

Personal competente para la investigación

Según la normativa se considera personal competente a:

• Funcionarios de la Agencia
• Funcionarios externos que hayan sido previamente habilitados por el Director de la AEPD

En los casos en que haya actuaciones conjuntas, serán competentes las autoridades de control de otros Estados Miembros de la Unión Europea en los casos en los que se actúe y colabore con la Agencia.

Sujetos Responsables

En caso de cometerse una infracción en materia de Protección de Datos, se consideran sujetos responsables:

• Responsable del tratamiento
• Encargado del tratamiento
• Representantes de los responsables o encargados de los tratamientos no establecidos en la Unión Europea
• Entidades de certificación
• Entidades acreditadas de supervisión de los códigos de conducta (AEPD)
• Autoridades de control

Es importante destacar que el D.P.O. no podrá ser sancionado como sujeto responsable.

El régimen sancionador en España

El régimen sancionador español pretende dar respuesta a una serie de cuestiones que el RGPD (Reglamento europeo de Protección de Datos) dejó abiertas como:

• Identificación y atribuciones de aquellas personas que ejercerán de autoridad para realizar una inspección y determinar que se cumpla con el reglamento
• Mecanismos que se deben de usar por el personal autorizado
• Régimen aplicable al personal de investigación
• Régimen sancionador para los casos en que no se cumpla lo establecido por el Reglamento europeo
• Reemplaza las infracciones y sanciones LOPD (anterior a la LOPDGDD) por las del RGPD
• Determina qué sujetos van a ser responsables
• Determina el procedimiento sancionador
• Se designa a la AEPD como representante de España en el Comité Europeo para que informe a las autoridades autonómicas acerca de las decisiones adoptadas en la UE
• Se pretende dar transparencia a la actuación de la AEPD a través de la publicación de sus resoluciones cuando:
  • Atiendan los derechos ARCO de acceso, rectificación, supresión, oposición, limitación y portabilidad
  • Pongan fin a los procedimientos de reclamación
  • Archiven actuaciones previas de investigación
  • Sancionen con apercibimiento a las Administraciones Públicas
  • Impongan medidas cautelares
  • Las demás que determine el Estatuto de la AEPD

Por tanto, las sanciones LOPD son más específicas y adaptadas a la realidad española.

Normativa reguladora del procedimiento sancionador: LOPDGDD y RGPD

Las normas que actualmente regulan el procedimiento sancionador y las multas por protección de datos son:

RGPD

El Reglamento Europeo de Protección de Datos únicamente regula criterios o cuestiones básicas con relación a las infracciones y sanciones RGPD. No alude a cuestiones como:

• Graduación especifica de las sanciones
• Prescripción tanto de las infracciones como de las sanciones
• Procedimiento sancionador
• Potestad de inmovilización de los ficheros
• Todo lo referente a las infracciones de las Administraciones Públicas

El procedimiento sancionador por infracciones de la ley de protección de datos

La Agencia Española de Protección de Datos examinará de oficio su competencia al inicio de cualquier actuación para determinar el carácter nacional o transfronterizo y el procedimiento a seguir para imponer las multas por incumplir la ley de protección de datos. En caso de que la AEPD considere que no tiene competencia, remitirá la reclamación a la Autoridad de control principal que considere competente y ese traslado se lo notificará a quien hubiera presentado la reclamación.

Inicio de procedimiento

El inicio del procedimiento para establecer multas RGPD y LOPDGDD puede producirse de dos maneras:

• Cuando no se atiendan a la solicitud de ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad
• Cuando pueda existir una infracción del reglamento

En cuanto a la admisión de las reclamaciones, estas serán evaluadas por la AEPD.  No se admitirán aquellas que:

• No versen sobre cuestiones de protección de datos de carácter personal
• Carezcan manifiestamente de fundamento
• Sean abusivas
• No aporten indicios racionales de la existencia de una infracción
• El responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento cuando no se haya causado perjuicio al afectado y que el derecho del afectado quede plenamente garantizado mediante la aplicación de esas medidas

Tanto la admisión como la inadmisión deben notificarse al reclamante en el plazo de 3 meses. En caso de no haber una comunicación expresa en dicho plazo, se entiende que la reclamación ha sido admitida  y continúa su tramitación.

Alegaciones

Puede existir una fase previa de alegaciones para la investigación una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el Director de la AEPD dictará, cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además, la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Actuaciones de inspección

La AEPD podrá llevar a cabo actuaciones de inspección a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

En el ejercicio de estas actividades de investigación, los funcionarios de la AEPD pueden:

• Recabar la información precisa para el cumplimiento de sus funciones
• Realizar inspecciones
• Solicitar la exhibición o el envío de documentos o datos necesarios
• Examinarlos, obtener copia e inspeccionar los equipos
• Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación

Contratos de encargo de tratamiento

Aquellos contratos de encargado de tratamiento que se hayan realizado de forma previa al día 25 de mayo de 2018, cuando haya sido conforme al artículo 12 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas), continuarán vigentes hasta la fecha de vencimiento y en caso de haberse pactado de forma indefinida su vigencia, se mantendrá hasta el día 25 de mayo de 2022.

Últimas novedades a las sanciones de protección de datos (2021)

Las sanciones del nuevo reglamento europeo de protección de datos no solo encuentran cobertura en las normativas particulares de cada Estado miembro, sino en otros documentos y leyes.

En España, una de las novedades más importantes en materia de protección de datos ha sido la publicación por parte de la AEPD de una nueva “Guía sobre el uso de cookies“. Esta guía incluye nuevas exigencias respecto al tratamiento de estos archivos. Entre otros requisitos, ahora será necesario brindar al usuario la posibilidad  rechazar las cookies desde la pantalla de inicio de la página web.

Por otro lado, la justicia europea también se ha pronunciado acerca de las transferencias internacionales de datos. En concreto, la Resolución del Tribunal de Justicia de la Unión Europea (TJUE) ha determinado la invalidez de la Decisión (UE) 2016/1250 que establecía el acuerdo Privacy Shield como el regulador de las transferencias de datos entre EE. UU. y la UE. Una de las principales razones es que en estos momentos EE. UU. no puede garantizar los niveles de transparencia, privacidad y confidencialidad que exige la normativa europea.

¿Cómo evitar las multas RGPD y LOPDGDD?

Si necesitas asesoramiento en protección de datos para evitar cometer infracciones de la Ley de Protección de Datos y ser sancionado por ello, puedes ponerte en contacto Grupo Atico34, nuestro equipo de expertos resolverán todas tus dudas relacionadas con el tratamiento de datos personales y, en el caso de que pudieras haber cometido una infracción, te ayudarán a encontrar la mejor forma de solucionarlo.