Conoce Atico34 - Solicita presupuesto
Denuncias & SancionesLOPDGDD & RGPD

Infracciones y Sanciones LOPD/RGPD, criterios, procesos y ejemplos de multas

Repasamos cuáles son las sanciones por incumplir la Ley de Protección de datos; cómo se gradúan las sanciones RGPD y las sanciones LOPD y cuáles son los criterios y procesos para su aplicación en función de la gravedad de las infracciones RGPD y LOPD cometidas.

Sanciones por incumplir la Ley de Protección de Datos (RGPD y LOPDGDD)

El RGPD y la LOPD recogen, en esencia, las mismas sanciones por incumplimiento de la protección de datos, sin embargo, hay algunas distinciones en función de cómo están recogidas en cada texto que debemos tener en cuenta.

Cabe recordar que para que una entidad pueda ser sancionada, es necesario presentar una denuncia de protección de datos ante la AEPD, que es la autoridad de control del cumplimiento de esta normativa en España.

Sanciones que determina la LOPD de acuerdo al tipo de infracción

Las multas en protección de datos en la LOPD se dividen en:

  • Sanción por infracciones leves: Hasta 40.000 euros.
  • Sanción por infracciones graves: de 40.001 euros a 300.000 euros.
  • Sanción por infracciones muy graves: de 300.001 euros a 20 millones de euros o el 4% volumen de facturación anual (la cuantía que resulte superior).

Cabe señalar que las sanciones en la LOPDGDD también contemplan el apercibimiento como primera opción de sanción en determinados casos de infracciones leves.

Así mismo, cuando hablamos de sanciones, no debemos confundirlas con las indemnizaciones en protección de datos que reconoce el artículo 82 del RGPD, puesto que las sanciones son administrativas y se pagan a la AEPD, mientras que en una indemnización de protección de datos, si se reconoce en proceso judicial, la cobraría el interesado, es decir la persona que solicitó la indemnización.

Infracciones leves

Son infracciones leves según la LOPD (art. 74):

  • Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información que exigen los artículos 13 y 14 del RGPD.
  • Pedir un pago al interesado para poder acceder a la información que exigen los artículos 13 y 14 del RGPD o para atender las solicitudes de ejercicio de derechos contempladas en los artículos 15 a 22 del citado Reglamento.
  • No atender las solicitudes de los ejercicios de los derechos que se establecen en los artículos 15 a 22 del RGPD.
  • No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.
  • No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del RGPD
  • No cumplir con la obligación de informar al afectado de los destinatarios a los que se haya comunicado la rectificación, supresión o limitación del tratamiento.
  • No cumplir con la supresión de datos referidos a una persona fallecida cuando así lo exige el artículo 3 de la LOPDGDD.
  • Incumplimiento de las obligaciones de los responsables y encargados del tratamiento.
  • Que el registro de actividades de tratamiento no contenga toda la información que exige el artículo 30 del RGPD.
  • Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.
  • Dar información inexacta a la AEPD en los supuestos en los que el responsable del tratamiento debe elevar una consulta previa, de acuerdo al artículo 36 del RGPD.
  • No publicar los datos de contacto del delegado de protección de datos o comunicarlos a la AEPD.
  • Incumplimiento de las obligaciones de los organismos de certificación de informar a la AEPD de la expedición, renovación o retirada de una certificación.
  • Incumplimiento de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a la AEPD de las medidas que resulten oportunas en caso de infracción del código.

Infracciones graves

Son infracciones graves de acuerdo a la LOPD (art.73):

  • Tratar datos de menores de edad sin recabar su consentimiento, cuando tenga edad para ello, o de sus padres o tutores.
  • No acreditar esfuerzos razonables para verificar la validez del consentimiento del menor o de sus padres o tutores.
  • No atender de forma reiterada u obstaculizar la solicitud de los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos en los tratamientos en los que no se requiere la identificación del afectado.
  • No adoptar las medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño.
  • No adoptar las medidas técnicas y organizativas que garanticen el tratamiento de los datos personales necesarios para cada uno de los fines específicos del tratamiento.
  • No adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.
  • Brechas de seguridad ocurridas por no haber adoptado las medidas adecuadas de seguridad.
  • No designar un representante del responsable o encargado del tratamiento no establecido en territorio de la UE, de acuerdo al artículo 27 del RGPD.
  • No atender las solicitudes de las agencias de protección de datos.
  • Contratar un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias, de acuerdo al Capítulo IV del RGPD.
  • Encargar el tratamiento de datos a un tercero sin el debido contrato.
  • Contratación por parte del encargado del tratamiento de otros encargados sin contar con la autorización del responsable.
  • Infracción de lo dispuesto en el artículo 28.10 del RGPD respecto a la determinación de los fines y los medios de tratamiento por parte del encargado.
  • No disponer del registro de actividades.
  • No cooperar con la AEPD u otras autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.
  • El tratamiento de datos personales sin cumplir con lo recogido en el artículo 28 de la LOPDGDD.
  • Incumplir el deber de informar de las violaciones de seguridad por parte del encargado del tratamiento al responsable.
  • No informar de las violaciones de seguridad a la AEPD, según el artículo 33 del RGPD.
  • No informar al afectado de una violación de seguridad de datos personales.
  • Llevar a cabo el tratamiento de datos sin realizar una evaluación de impacto cuando esta es exigible.
  • Tratar datos personales sin haber realizado consulta previa a la AEPD cuando esta sea obligatoria.
  • No designar a un delegado de protección de datos cuando sea obligatorio.
  • No permitir que el delegado de protección de datos pueda cumplir con sus funciones.
  • Utilizar sellos o certificaciones en materia de protección de datos que no hayan sido otorgados por una entidad de certificación acreditada o estén expirados.
  • Incumplimientos de los organismos de certificación recogidos en el artículo 73, letras z, aa, ab y ac de la LOPDGDD.

Infracciones muy graves

Finalmente, son infracciones LOPD muy graves (art. 72):

  • Tratamiento de datos personales que vulneren las garantías y principios establecidos en el artículo 5 del RGPD.
  • Trata datos personales sin la legitimación establecida en el artículo 6 del RGPD.
  • No cumplir con los requisitos exigidos en el artículo 7 del RGPD para la validez del consentimiento.
  • Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.
  • Trata datos personales de las categorías recogidas en el artículo 9 del RGPD sin que concurra alguna de las circunstancias previstas de dicho artículo y del artículo 9 de la LOPDGDD.
  • Tratar datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos del artículo 10 del RGPD y el artículo 10 de la LOPDGDD.
  • Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos establecidos en el artículo 27 de la LOPDGDD.
  • La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
  • Vulnerar el deber de confidencialidad.
  • Exigir el pago de un canon para facilitar la información al afectado a la que se refieren los artículos 13 y 14 del RGPD.
  • No atender u obstaculizar la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
  • Transferencias internacionales de datos personales sin las debidas garantías.
  • Incumplir las resoluciones dictadas por la AEPD.
  • Incumplir con la obligación del bloqueo de datos.
  • No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación.
  • Obstruir una inspección de la AEPD.
  • Reversión deliberada de un procedimiento de anonimización para que se pueda reindentificar a los afectados.

Sanciones por incumplir RGPD según el tipo de infracción

Las multas RGPD se dividen en:

  • Sanción por infracciones graves: Multa hasta 10 millones de euros o 2% del volumen de facturación anual (la cuantía que resulte superior).
  • Sanción por infracciones muy graves: Multa hasta 20 millones de euros o el 4% volumen de facturación anual (la cuantía que resulte superior).

Infracciones graves del RGPD

Son infracciones graves en el RGPD vulnerar los siguientes artículos:

  • Obligaciones del responsable y del encargado, arts.: 8, 11, 25 a 39, 42 y 43.
  • Obligaciones de los organismos de certificación, arts.: 42 y 43.
  • Obligaciones de la autoridad control, arts.: 41.4.

Infracciones muy graves del RGPD

Son infracciones muy graves en el RGPD las siguientes vulneraciones de artículos:

  • De los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, arts.; 5, 6, 7 y 9.
  • De los derechos de los interesados, arts.: 12 a 22.
  • De las transferencias internacionales, arts.; 44 a 49.
  • Toda obligación en virtud del Derecho de los Estados miembros que se adopte de acuerdo al capítulo IX del RGPD
  • Incumplir una resolución de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control de acuerdo al art. 58.2, o no facilitar el acceso en incumplimiento del art. 58.1.

Tabla resumen infracciones y multas LOPD y RGPD

Infracciones LOPD Multas LOPD Infracciones RGPD Multas RGPD
Leves: Art. 74 Hasta 40.000 € Graves: Arts. 8, 11, 25 a 39, 41.4, 42 y 43 10 millones de euros o el 2% de la facturación anual
Graves: Art. 73 De 40.001 € a 300.000 € Muy Graves: Arts. 5, 6, 7, 9, 12 a 22, 44 a 49, 58.1 y 58.2 20 millones de euros o el 4% de la facturación anual
Muy graves: Art. 72 De 300.001 € a 20 millones de euros (o el 4% de la facturación anual)

 

tarifas proteccion datos

Criterios para graduar la cuantía de las sanciones RGPD y LOPDGDD

La cuantía de las sanciones por protección de datos que tanto el RGPD como la LOPDGDD imponen, se valora según los derechos personales afectados, los beneficios obtenidos, la posible reincidencia, la intencionalidad y cualquier circunstancia que sea relevante para determinar la culpabilidad, culpabilidad, así como el tamaño y volumen de facturación de la empresa (es decir, es muy probable que a una pyme no se le impongan las mismas multas administrativas RGPD y LOPD que grandes empresas como Amazon o Meta, por ejemplo).

Es decir, las multas por incumplimiento del RGPD y LOPDGDD se imponen en función de diferentes criterios, aparte de los contemplados en ambas leyes y citados en arriba. Por ejemplo, la recogida de datos sin previo aviso puede ser sancionada con 40.000 euros si se trata de una infracción reiterada.

Las causas más habituales para no cumplir la Ley de Protección de Datos en España

Las causas más habituales para no cumplir la Ley de Protección de Datos en España y por las que las entidades son sancionadas son:

  • La falta de legitimidad para llevar a cabo el tratamiento de datos.
  • No tener medidas de seguridad adecuadas para garantizar la seguridad de la información
  • No cumplir con los principios de protección de datos.

Cabe señalar que España es uno de los países donde se producen más sanciones de la Ley de Protección de Datos de la UE, aunque no por las cuantías más altas.

Insuficiente fundamento legal para el procesamiento de los datos

Las entidades son sancionadas por no poder acreditar que existe una base legal suficiente que justifique el tratamiento de los datos personales recogidos, es decir, no pueden demostrar que el tratamiento es necesario y no únicamente útil, como exige la normativa de protección de datos.

Medidas inadecuadas para la seguridad de los datos

A tenor del número de brechas de seguridad documentado, el segundo motivo de sanción en materia de protección de datos es contar con medidas técnicas y organizativas insuficientes para garantizar la seguridad de los datos personales. Es decir, que muchas de esas brechas de seguridad se han debido a una mala planificación de la seguridad, facilitando así el acceso a la información de terceros no autorizados y su filtración.

Incumplimiento de los principios de procesamiento de datos

Esta es la tercera causa más habitual tras la imposición de sanciones en protección de datos, pero también la que cubre las infracciones menos graves, por lo que las cuantías de las multas suele ser menor.

Ejemplos de sanciones por no cumplir la ley de protección de datos

Con carácter general, algunos ejemplos de sanciones por no cumplir la Ley de Protección de Datos podrían ser:

  • La sanción a una empresa por tratar los datos relativos a la salud de sus empleados, no estando legitimada para ello, ya que las empresas solo pueden saber si un trabajador es apto o no para desempeñar su puesto de trabajo, pero no las razones médicas detrás de ello. Este sería un ejemplo de infracción muy grave de la LOPD, puesto que los datos de salud son datos especialmente protegidos y su tratamiento, en principio, está prohibido.
  • Una empresa sería sancionada si los datos que recaba de sus clientes para cumplir con sus obligaciones contractuales, también los usa con otras finalidades, sin informar a los interesados ni recabar su consentimiento, como, por ejemplo, elaborar perfiles de usuarios o venderlos a un tercero.
  • Sería motivo de sanción por infracción grave una empresa que cede o comunica datos personales a otra empresa o profesional que le presta un servicio, pero sin haber formalizado con él un contrato de encargo de tratamiento.
  • No comunicar el nombramiento del Delegado de Protección de Datos a la AEPD sería sancionado por infracción leve.

Multas RGPD importantes en el mundo

Las multas RGPD más importantes en el mundo las encontramos en este ranking elaborado por Enforcementtracker.com:

  • Meta Platforms Ireland Limited: 1200 millones de euros por falta de base jurídica suficiente para el tratamiento, en este caso transferir datos a EE. UU. (impuesta por la autoridad irlandesa)
  • Amazon Europe Core: 746 millones de euros por no cumplir con los principios generales de protección de datos (impuesta por la autoridad de Luxemburgo).
  • Meta Platforms, Inc.: 405 millones de euros por no cumplir con los principios generales de protección de datos (impuesta por la autoridad irlandesa).
  • TikTok Limited: 345 millones de euros por no cumplir con los principios generales de protección de datos (impuesta por la autoridad irlandesa).
  • WhatsApp Ireland 225 millones de euros por cumplir adecuadamente con el deber de informar (impuesta por la autoridad irlandesa).
  • Google LLC: 90 millones de euros por falta de base jurídica suficiente para el tratamiento (impuesta por la autoridad francesa).

Estas son las sanciones RGPD más recientes y cuantiosas impuestas por diferentes autoridades de control europeas.

Las primeras sanciones RGPD

Una de las primeras multas RGPD fue la que se le impuso al Hospital do Barreiro en Portugal. En total, fueron dos sanciones de 150.000 euros y otra de 100.000 euros por vulnerar los principios de confidencialidad y minimización de datos, al permitir a los médicos del hospital acceder al historial clínico de los pacientes sin restricción alguna.

Otra de las primeras sanciones RGPD tuvo como víctima a la red social alemana Knuddels. El motivo fue la filtración de más de 800.000 direcciones de correo y los datos y contraseñas de casi 2 millones de usuarios. Además, estos datos luego fueron publicados online sin cifrar.

En España, una de las primeras sanciones LOPD se le puso a Vodafone, por no respetar el derecho a la cancelación del servicio de un usuario. Dicho usuario recibió más de 200 SMS a pesar de que había ejercido su derecho de cancelación del servicio, por lo que Vodafone fue multada con 45.000 euros.

Algunas sanciones por protección de datos en España

Una de las sanciones por protección de datos más cuantiosa y reciente impuesta en España, ha sido la dictada por la AEPD contra Google por 10 millones de euros por ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión.

Otras sanciones LOPD en España de cuantías elevadas han recaído en:

  • CaixaBank: 6 millones de euros por uso ilícito de los datos personales de sus clientes.
  • BBVA: 5 millones de euros por usar datos de sus clientes sin su consentimiento.
  • Worten: 10.000 euros por vender a un cliente como producto nuevo un disco duro ya usado, y en cuyo interior, además, se encontraban almacenados datos personales de todos los empleados de la empresa.

La última empresa que ha sido sancionada (2024)

Las autoridades competentes imponen sanciones continuamente a las empresas que incumplen la normativa de protección de datos. Sin embargo, una de las últimas sanciones por protección de datos personales más mediáticas ha sido la ya citada sanción de 1.200 millones de euros a Meta, puesto que es la sanción RGPD más elevada puesta hasta la fecha.

Sanciones lopdgdd

Sanciones LOPD-GDD

El procedimiento sancionador por infracciones de la ley de protección de datos

El procedimiento sancionador por infracciones de la Ley de Protección de Datos es una función de la AEPD, que es la autoridad con potestad sancionadora en España.

La Agencia Española de Protección de Datos examinará de oficio su competencia al inicio de cualquier actuación para determinar el carácter nacional o transfronterizo y el procedimiento a seguir para imponer las multas por incumplir la Ley de Protección de Datos. En caso de que la AEPD considere que no tiene competencia, remitirá la reclamación a la Autoridad de control principal que considere competente y ese traslado se lo notificará a quien hubiera presentado la reclamación.

proceso sancionador proteccion datos

El procedimiento sancionador de la ley de protección de datos

Inicio de procedimiento

El inicio del procedimiento para establecer multas RGPD y LOPDGDD puede producirse de dos maneras:

  • Cuando no se atiendan a la solicitud de ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad
  • Cuando pueda existir una infracción del reglamento

En cuanto a la admisión de las reclamaciones, estas serán evaluadas por la AEPD con el objetivo de determinar si son merecedoras de una sanción LOPD.  No se admitirán aquellas que:

  • No versen sobre cuestiones de protección de datos de carácter personal
  • Carezcan manifiestamente de fundamento
  • Sean abusivas
  • No aporten indicios racionales de la existencia de una infracción
  • El responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento cuando no se haya causado perjuicio al afectado y que el derecho del afectado quede plenamente garantizado mediante la aplicación de esas medidas

Tanto la admisión como la inadmisión deben notificarse al reclamante en el plazo de 3 meses. En caso de no haber una comunicación expresa en dicho plazo, se entiende que la reclamación ha sido admitida y continúa su tramitación.

Alegaciones

Puede existir una fase previa de alegaciones para la investigación una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el Director de la AEPD dictará, cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además, la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Actuaciones de inspección

La AEPD podrá llevar a cabo actuaciones de inspección a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 18 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

En el ejercicio de estas actividades de investigación, los funcionarios de la AEPD pueden:

  • Recabar la información precisa para el cumplimiento de sus funciones
  • Realizar inspecciones
  • Solicitar la exhibición o el envío de documentos o datos necesarios
  • Examinarlos, obtener copia e inspeccionar los equipos
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación

Contratos de encargo de tratamiento

Aquellos contratos de encargado de tratamiento que se hayan realizado de forma previa al día 25 de mayo de 2018, cuando haya sido conforme al artículo 12 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas), continuarán vigentes hasta la fecha de vencimiento y en caso de haberse pactado de forma indefinida su vigencia, se mantendrá hasta el día 25 de mayo de 2022.

¿Cómo evitar las multas RGPD y LOPDGDD?

Para evitar las multas RGPD y LOPDGDD se debe cumplir con las obligaciones derivadas de la normativa, esto implica conocer la ley, conocer qué datos se tratan en la organización y qué tratamientos se llevan a cabo, es decir, es necesario llevar a cabo una auditoría de protección de datos para identificar y conocer a qué riesgos de incumplimiento de la normativa está expuesta la empresa.

Dada la complejidad que puede suponer cumplir el RGPD y la LOPDGDD, especialmente en organizaciones que carecen de personal con conocimientos mínimos sobre la normativa y su aplicación, la mejor forma de evitar cometer infracciones y recibir sanciones es contar con el asesoramiento de un especialista en protección de datos, como los que encontrarás en Grupo Atico34.

Te ayudamos a cumplir con el RGPD y LOPDGDD

En Grupo Atico34 contamos con una dilatada experiencia ayudando a organizaciones de todo tipo y tamaño a cumplir con el RGPD y la LOPDGDD; al contratar la protección de datos con nosotros, tendrás acceso a nuestro equipo de abogados especializados en protección de datos, quienes no solo te ayudarán a cumplir con la ley y evitar que incurras en infracciones por las que ser sancionado, también resolverán todas tus dudas relacionadas con el tratamiento de datos personales.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.