La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y Garantía de Derechos Digitales (LOPDGDD) deroga el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, en el que se recogían la prescripción en relación con los importes de la sanción (Disposición Derogatoria única).
Por tanto, el Régimen sancionador actual en materia de Protección de datos se basa en el Reglamento (UE) 2016/679 y el Título IX de la LOPDGDD.
Pasamos a detallar las cuestiones relativas a dicho Régimen Sancionador.
¿A quién afecta?
Con la aprobación de la LOPDGDD se establece un régimen sancionador sujeto al establecido por el RGPD, que aplica a los siguientes sujetos:
– Responsable de tratamiento
– Encargados de tratamiento
– Representantes de responsable o encargado de tratamiento no establecidos en UE.
– Entidades de certificación
– Entidades supervisión de códigos de conducta
No aplicará al DPD.
Criterios de imposición de las multas administrativas
El RGPD establece en su artículo 83 que las multas que interpongan las autoridades de control serán por la comisión de las infracciones indicadas en los apartados 4, 5 y 6 del citado artículo y serán individuales, efectivas, proporcionadas y disuasorias. Por tanto, cada multa se impondrá de acuerdo a las circunstancias de cada caso, y la decisión y cuantía serán impuestas en relación a:
– la naturaleza, gravedad y duración de la infracción;
– intencionalidad o negligencia en la infracción;
– medidas tomadas por el responsable o encargado del tratamiento para paliar los daños
y perjuicios;
– grado de responsabilidad del responsable o del encargado del tratamiento;
– las infracciones anteriores;
– la cooperación con la autoridad de control;
– las categorías de datos afectados por la infracción;
– la forma en que la autoridad de control tuvo conocimiento de la infracción;
– se hayan ordenado a responsable o encargado alguna de las medidas del artículo 58
del RGPD;
– adhesión a códigos de conducta;
– otros factores atenuantes o agravantes.
Además, la LOPDGDD añade a este listado otros aspectos a tener en cuenta a la hora de la decisión y cuantía a imponer:
– El carácter continuado de la infracción (reincidencia);
– La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales;
– Los beneficios obtenidos como consecuencia de la comisión de la infracción;
– La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de
la infracción;
– La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente;
– La afectación a los derechos de los menores;
– Disponer, cuando no fuere obligatorio, de un delegado de protección de datos;
– El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.
¿Cómo se tipifican las infracciones y cuándo prescriben?
El RGPD tipifica como infracciones los actos y conductas establecidos en los apartados 4, 5 y 6 del artículo 83 y la LOPDGDD en el Título IX.
El Articulo 72 LOPDGDD tipifica como infracciones muy graves, que prescribirán a los 3 años, tomando como referencia el artículo 83.5 del RGPD, entre otros:
– El tratamiento de datos personales vulnerando los principios y garantías establecidos
en el artículo 5 del Reglamento (UE) 2016/679.
– El tratamiento de datos personales de forma ilícita.
– El incumplimiento de los requisitos para la validez del consentimiento.
– La utilización de los datos para una finalidad que no sea compatible con la finalidad
para la cual fueron recogidos (por ejemplo, sin contar con el consentimiento del
afectado o con una base legal para ello).
– El tratamiento de datos personales de las categorías especiales de datos, sin que
concurra alguna de las circunstancias previstas en el artículo 9 LOPDGDD.
– El tratamiento de datos personales relativos a condenas e infracciones penales o
medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10
LOPDGDD.
– El impedimento o la obstaculización o la no atención reiterada del ejercicio de los
derechos de los afectados.
– No facilitar el acceso de la autoridad de control de protección de datos para el ejercicio
de sus poderes de investigación
El Articulo 73 LOPDGDD tipifica como infracciones graves, que prescribirán a los 2 años, tomando como referencia el artículo 83.4 del RGPD, entre otros:
– El tratamiento de datos personales de un menor de edad sin recabar el consentimiento
adecuado.
– El impedimento o la obstaculización o la no atención reiterada de los derechos de los
afectados.
– La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para aplicar de forma efectiva los principios de protección de datos.
– La falta de adopción de las medidas técnicas y organizativas apropiadas para
garantizar que, solo se tratarán los datos personales necesarios para cada uno de los
fines específicos del tratamiento.
-La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento
– El quebrantamiento de las medidas técnicas y organizativas que se hubiesen
implantado conforme a lo exigido por el artículo 32.1 del Reglamento (UE) 2016/679.
– La contratación por el responsable del tratamiento de un encargado de tratamiento que
no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas
– Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato
de acuerdo con el artículo 28.3 del Reglamento (UE) 2016/679.
– El incumplimiento del deber de notificación a la autoridad de protección de datos de
una violación de seguridad de los datos personales de conformidad con lo previsto en
el artículo 33 del Reglamento (UE) 2016/679.
– El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto
de las operaciones de tratamiento en la protección de datos personales en los
supuestos en que la misma sea exigible.
El Articulo 74 LOPDGDD tipifica como infracciones leves, que prescribirán al año, las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679, que, entre otras, son:
– El incumplimiento del principio de transparencia de la información o el derecho de
información del afectado por no facilitar toda la información exigida por los artículos 13
y 14 del Reglamento (UE) 2016/679.
– No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15
a 22 del Reglamento (UE) 2016/679.
– El incumplimiento de la obligación de informar al afectado, cuando así lo haya
solicitado, de los destinatarios a los que se hayan comunicado los datos personales
rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
– No publicar los datos de contacto del delegado de protección de datos, o no
comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea
exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de
esta ley orgánica.
– Disponer de un Registro de actividades de tratamiento que no incorpore toda la
información exigida por el artículo 30 del Reglamento (UE) 2016/679.
¿Qué sanción económica conlleva la comisión de una infracción tipificada en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y Garantía de Derechos Digitales?
En los artículos 83.4 y 83.5 del RGPD se recoge que las infracciones de las disposiciones recogidas en el artículo 83.4 se sancionarán con multas administrativas de 10.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, y las disposiciones recogidas en el artículo 83.5 se sancionarán con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
En el RGPD no se hace referencia a las infracciones leves que la LOPDGDD establece.
Reclamación de daños y perjuicios
El RGPD recoge, en su artículo 82, el derecho a que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de la normativa de protección de datos pueda recibir del responsable o del encargado del tratamiento una indemnización por los daños sufridos.
Las acciones judiciales para reclamar esta indemnización se presentarán ante los tribunales. Además, en el caso de las Administraciones Públicas la responsabilidad se exigirá de acuerdo con la regulación sobre responsabilidad patrimonial.
