¡Pide presupuesto en 2 min! ✓
Denuncias & Sanciones

Sanciones RGPD y LOPDGDD en España

12 Mins read

El día 27 de julio de 2018 se aprobó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, trayendo consigo sanciones con el RGPD y la LOPDGDD.

Con este Real Decreto-ley se pretende dar soporte a los preceptos del Reglamento europeo que se quedaron a la espera de que los Estados miembros los desarrollaran en su normativa nacional. Esta normativa estuvo vigente hasta que entró en vigor la actual Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales.

Hoy me he despertado con la noticia de que la AEPD ha sancionado a la empresa Worten por vender un disco duro ya usado que contenía datos personales. Esto nos lleva a preguntarnos ¿cuánto tiempo debo conservar los datos personales después de terminar la finalidad para la que fueron recogidos? ¿cómo debo destruir esos datos personales? Vamos a intentar aclarar estas dudas analizando las infracciones y sanciones previstas por la Ley de Protección de Datos.ya que descurbrimos

Ley de Conservación de datos personales

El tratamiento de datos de carácter personal se rige, entre otros, por el principio de calidad de los datos. Dentro de éste se incluye el de mínima conservación de los datos de carácter personal, según el cuál, estos datos deberán ser cancelados cuando dejen de ser necesarios o pertinentes según el propósito para el cual hubieran sido recabados o registrados.

Pero, ¿cuando un dato personal deja de ser necesario para la finalidad para la que se obtuvo? No podemos establecer una regla general ya que este momento dependerá de la finalidad para la que se recabaron los datos.

infracciones y sanciones rgpd

Sin embargo, el RGPD admite que se podrán conservar los datos durante el plazo en el que sea posible exigir algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la utilización de medidas precontractuales solicitadas por el interesado. Para ese supuesto la cancelación deberá realizarse a través del bloqueo de los datos, que sólo estarán a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de dichas responsabilidades.

Destrucción de los datos personales

Una vez finalizado el plazo indicado anteriormente para conservar los datos personales bloqueados los datos deben destruirse. Sólo podrán conservarse si se disocian previamente o si de forma excepcional, atendidos los valores históricos, estadísticos o científicos según la normativa específica, se determina la conservación íntegra de determinados datos.

sanciones lopd

Esta excepción al principio de mínima conservación de los datos personales supone que, la AEPD, previa solicitud del responsable del tratamiento y siguiendo el procedimiento establecido, podrá acordar el mantenimiento íntegro de determinados datos teniendo en cuenta los valores históricos estadísticos o científicos de acuerdo a la legislación que resulte aplicable en cada caso.

Procedimiento para solicitar la conservación de los datos

El procedimiento que ha de seguirse para la autorización de mantenimiento de datos para fines históricos, estadísticos o científicos se establece en el LOPDGDD. Se inicia siempre a instancia del responsable, cuya solicitud deberá:

  • Detallar el tratamiento de datos al que se desea imponer la conservación
  • Motivar claramente las causas que justificarían la autorización.
  • Explicar detalladamente las medidas que el responsable del fichero pretende implantar para garantizar el derecho de los ciudadanos.
  • Presentar los documentos y pruebas que sean necesarios para demostrar la existencia de valores históricos, estadísticos o científicos.

En el plazo de 3 meses se promulgará y comunicará la resolución que se adopte por el Director de la Agencia, transcurrido dicho plazo sin que esto se hubiera realizado, el responsable podrá entender estimada su solicitud.

ejemplos sanciones lopd

Infracciones de la LOPDGDD

La cuantía de las sanciones que la LOPDGDD impone se valora según los derechos personales afectados, los beneficios  obtenidos, reincidencia, intencionalidad y cualquier  circunstancia que sea relevante para determinar la culpabilidad.

Se pueden considerar infracciones leves la recopilación de datos sin previo aviso, no atender una solicitud de rectificación o anulación o no solicitar la inscripción del fichero en el Registro General de Protección de Datos. Estas Sanciones serán de entre 900€ y 4.0000€

Las infracciones de carácter grave como por ejemplo no inscribir ficheros en la AEPD, utilizar los datos para una finalidad distinta a la que se crearon, no permitir el acceso a los ficheros, modificarlos sin consentimiento o mantener los ficheros sin las debidas medidas de seguridad tendrán sanciones de entre 40.0001€ y 300.000€

Las infracciones muy graves como pueden ser la obtención de datos de manera fraudulenta, vulnerar el secreto de datos especialmente protegidos, el trato de datos de forma ilegítima o no atender las solicitudes de cancelación serán sancionadas con multas de entre 300.001€ y 600.000€

Sanciones establecidas por la LOPDGDD

En casos de incumplimiento de la LOPDGDD podemos denunciar ante la AEPD que es la autoridad de control del cumplimiento de esta normativa en España

La sanción que impone la Agencia Española de Protección de Datos  por el incumplimiento de los requisitos y obligaciones de la LOPD puede variar entre 600 y 601.012,10 €. Las infracciones se dividen en leves, graves y muy graves.

Leves:

Se consideran leves:

  • No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP)
  • La recopilación de datos personales sin previamente haber informado
  • No atender a las  posibles consultas por parte de la AGPD.
  • No ocuparse de aquellas posibles solicitudes de rectificación o cancelación de datos
  • La multa de estas infracciones se encuentra entre 600 € y 60.101,21€.

Graves:

Se pueden considerar como graves:

  • No inscribir los ficheros en la AEPD
  • Hacer un uso de los ficheros con una finalidad distinta para la que fueron creados.
  • No contar con el consentimiento del interesado para recopilar sus datos personales
  • No permitir el acceso a los ficheros por parte del interesado
  • Conservar datos inexactos o no efectuar las modificaciones que fueran solicitadas
  • No cumplir los principios y garantías de la LOPD
  • El tratamiento de datos especialmente protegidos sin la autorización del afectado
  • No referir a la AGPD las notificaciones previstas en la LOPD.
  • No mantener los ficheros con las debidas condiciones de seguridad.
  • La multa de estas infracciones se encuentra entre 60.101,21 € y 300.506,05 €.

Muy Graves:

Dentro de las infracciones muy graves están:

  • La creación de ficheros que revelen datos especialmente protegidos.
  • La recogida de datos de una manera fraudulenta o engañosa.
  • Recabar datos especialmente protegidos sin la autorización del afectado.
  • Dificultar o no atender de forma reiterada las solicitudes de rectificación o cancelación.
  • La vulneración del secreto de datos especialmente protegidos.
  • La cesión o comunicación de datos cuando no esté permitida.
  • No concluir en el uso ilegítimo a petición de la AGPD.
  • El tratamiento de los datos de forma ilegítima o con desconsideración de garantías y principios que le sean de aplicación.
  • No atender de manera sistemática a los requerimientos de la AGPD.
  • La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
  • La multa de estas infracciones se encuentras entre 300.506,05 € a 601.012,10 €.

Nuevo régimen sancionador en España

Con esta normativa se pretende dar respuesta a una serie de cuestiones que el Reglamento europeo de Protección de Datos dejó abiertas como:

  • Identificación y atribuciones de aquellas personas que ejercerán de autoridad para realizar una inspección y determinar que se cumpla con el reglamento
  • Mecanismos que se deben de usar por el personal autorizado
  • Régimen aplicable al personal de investigación
  • Régimen sancionador para los casos en que no se cumpla lo establecido por el Reglamento europeo
  • Reemplaza las infracciones de la LOPD por las del RGPD
  • Determina qué sujetos van a ser responsables
  • Determina el procedimiento sancionador
  • Se designa a la AEPD como representante de España en el Comité Europeo para que informe a las autoridades autonómicas acerca de las decisiones adoptadas en la UE
  • Se pretende dar transparencia a la actuación de la AEPD a través de la publicación de sus resoluciones cuando:
    • atiendan los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad;
    • pongan fin a los procedimientos de reclamación;
    • archiven actuaciones previas de investigación;
    • sancionen con apercibimiento a las Administraciones Públicas;
    • impongan medidas cautelares y
    • las demás que determine el Estatuto de la AEPD

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Normativa relacionada con la LOPDGDD y el RGPD

Las normas que actualmente regulan el procedimiento sancionador en materia de Protección de Datos son:

RGPD

El Reglamento europeo de Protección de Datos únicamente regula criterios o cuestiones básicas en relación a las infracciones y sanciones. No alude a cuestiones como:

  • Graduación especifica de las sanciones
  • Prescripción tanto de las infracciones como de las sanciones
  • Procedimiento sancionador
  • Potestad de inmovilización de los ficheros
  • Todo lo referente a las infracciones de las Administraciones Públicas

Real Decreto-ley 5/2018

Este Real Decreto-ley de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos comprende 14 artículos, y su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del RGPD.

Sanción impuesta a Worten

La AEPD ha impuesto a Worten una sanción de 10.000 € por vender a un cliente como producto nuevo un disco duro ya usado, y en cuyo interior además se encontraban almacenados datos personales de todos los empleados de la empresa.

La denuncia se interpuso por la asociación de consumidores en el año 2013, cuando uno de sus socios acudió a una tienda de la compañía en Sevilla para comprar un disco duro que, al encenderlo, pudo comprobar que contenía abundante información personal y profesional de trabajadores de la compañía.

Facua Sevilla interpuso la demanda ante la AEPD subrayando que la conducta de la empresa vulneraba de forma explícita la privacidad a la que debe someterse toda información como la contenida en el directorio de datos de recursos humanos de cualquier empresa, produciéndose así una evidente infracción de la normativa reguladora de la materia. De esta forma, casi tres años después de la denuncia de Facua Sevilla, la AEPD ha resuelto imponer una sanción de 10.000 euros a Worten por una infracción tipificada como “grave”.

En caso de que la empresa necesitara esos datos de los empleados por la posibilidad de exigir algún tipo de responsabilidad derivada de su relación laboral, la conservación debería efectuarla bloqueando esos datos de forma que terceros no pudieran acceder a los mismos.

noticias sanciones lopd

Sanciones por incumplimiento de la LOPDGDD y RGPD

Lo que vamos a intentar realizar en este post, es un breve resumen del Real Decreto-ley recientemente publicado, donde nos vamos a centrar en los aspectos más importantes que nos pueden interesar como empresa:

  • Quién puede investigar
  • Quiénes son responsables
  • Infracciones y sanciones
  • Procedimiento sancionador

1. Personal competente para la investigación

Según la normativa se considera personal competente a:

  • Funcionarios de la Agencia
  • Funcionarios externos que hayan sido previamente habilitados por el Director de la AEPD

En los casos en que haya actuaciones conjuntas, serán competentes las autoridades de control de otros Estados Miembros de la Unión Europea en los casos en los que se actúe y colabore con la Agencia.

2. Sujetos responsables

En caso de cometerse una infracción en materia de Protección de Datos, se consideran sujetos responsables:

  • Responsables del tratamiento
  • Encargados del tratamiento
  • Representantes de los responsables o encargados de los tratamientos no establecidos en la Unión Europea
  • Entidades de certificación
  • Entidades acreditadas de supervisión de los códigos de conducta (AEPD)
  • Autoridades de control

Es importante destacar que la figura del D.P.O. no podrá ser sancionado como sujeto responsable.

sanciones rgpd

3. Infracciones

En cuanto a las infracciones, este Real Decreto-ley hace una remisión a las ya recogidas en el RGPD. Se recogen dos tipos de infracciones:

Graves

Las infracciones consideradas como graves prescriben a los dos años. Serán sancionadas con multas administrativas de 10.000.000 euros como máximo, y si es empresa el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Para los casos donde no se cumplan:

  • Las obligaciones del responsable y del encargado
  • Los compromisos de los organismos de certificación
  • Obligaciones de la autoridad de control

Muy graves

Las infracciones consideradas como muy graves prescriben a los tres años. Serán sancionadas con multas administrativas de 20.000.000 euros como máximo, y si es empresa con una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

Para los supuestos donde no se cumplan:

  • Los principios básicos para el tratamiento, incluido el consentimiento
  • Los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad, de los interesados
  • Requisitos establecidos para realizar transferencias de datos personales a un destinatario en un tercer país o una organización internacional
  • Las obligaciones que adopten los Estados miembros
  • Una resolución o limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control

La prescripción de las infracciones se interrumpe con el inicio del procedimiento sancionador con conocimiento del interesado. Este plazo se reanudará cuando el expediente sancionador se encuentre paralizado más de seis meses por causas no imputables al presunto infractor.

4. Sanciones RGPD

En cuanto a las sanciones, el Real Decreto-Ley 5/2018 se remite a las contenidas en el RGPD.

Los plazos de prescripción de las  sanciones comienzan a contar desde el día siguiente desde que se pueda ejecutar la resolución que impone la sanción o desde que ha transcurrido el plazo para ello.  Y prescriben conforme a los siguientes plazos:

  • Aquellas de igual o menos de 40.000 euros, prescriben en un año
  • Las comprendidas entre 40.001 y 300.000 euros, prescriben en dos años
  • Sanciones de más de 300.000 euros, prescriben a los tres años

En lo que respecta a la interrupción del plazo de  prescripción, ocurre algo muy similar que en las infracciones, se interrumpe por el inicio del procedimiento de ejecución con conocimiento del interesado, continuando el plazo si se está paralizado durante más de seis meses por causas no imputables al infractor.

Procedimiento sancionador

La Agencia Española de Protección de Datos examinará de oficio su competencia al inicio de cualquier actuación para determinar el carácter nacional o transfronterizo y el procedimiento a seguir. En caso de que la AEPD considere que no tiene competencia, remitirá la reclamación a la Autoridad de control principal que considere competente y ese traslado se lo notificará a quien hubiera presentado la reclamación.

Inicio

El inicio del procedimiento puede producirse de dos maneras:

  • Cuando no se atiendan a la solicitud de ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad
  • Cuando pueda existir una infracción del reglamento

En cuanto a la admisión de las reclamaciones, estas serán evaluadas por la AEPD.  No se admitirán aquellas que:

  • No versen sobre cuestiones de protección de datos de carácter personal
  • Carezcan manifiestamente de fundamento
  • Sean abusivas
  • No aporten indicios racionales de la existencia de una infracción
  • El responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento cuando no se haya causado perjuicio al afectado y que el derecho del afectado quede plenamente garantizado mediante la aplicación de esas medidas

Tanto la admisión como la inadmisión, debe notificarse al reclamante en el plazo de 3 meses. En caso de no haber una comunicación expresa en dicho plazo, se entiende que la reclamación ha sido admitida  y continúa su tramitación.

lopd sanciones destacadas

Alegaciones

Puede existir una fase previa de alegaciones para la investigación una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.

Finalizada la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.

Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

Actuaciones de inspección

La AEPD podrá llevar a cabo actuaciones de inspección a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

En el ejercicio de estas actividades de investigación, los funcionarios de la AEPD pueden:

  • Recabar la información precisa para el cumplimiento de sus funciones
  • Realizar inspecciones
  • Solicitar la exhibición o el envío de documentos o datos necesarios
  • Examinarlos, obtener copia e inspeccionar los equipos
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación

Contratos de encargo de tratamiento

Aquellos contratos de encargado de tratamiento que se hayan realizado de forma previa al día 25 de mayo de 2018, cuando haya sido conforme al artículo 12 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas), continuarán vigentes hasta la fecha de vencimiento y en caso de haberse pactado de forma indefinida su vigencia, se mantendrá hasta el día 25 de mayo de 2022.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
Denuncias & Sanciones

¿Es delito falsificar la firma?

10 Mins read
Ya te respondemos de antemano. Sí, falsificar la firma es un delito. En este artículo profundizamos sobre las consecuencias que tiene la…
Denuncias & Sanciones

Denuncia de Protección de Datos a la AEPD

4 Mins read
¿Están usando tus datos de manera fraudulenta? ✅ Te explicamos cómo hacer una denuncia de protección de datos ante la AEPD ¡Entra ahora!
Denuncias & Sanciones

Prácticas agresivas en materia de protección de datos

6 Mins read
En los últimos meses, hemos oído hablar mucho sobre un tema hasta el momento desconocido, y es “ La Protección de Datos”….

2 Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.