La Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia de Drets Digitals (LOPDGDD) deroga el Reial Decret Llei 5/2018, de 27 de juliol, de mesures urgents per a l’adaptació del Dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, en el qual es recollien la prescripció en relació amb els imports de la sanció (Disposició Derogatòria única).
Per tant, el Règim sancionador actual en matèria de Protecció de dades es basa en el Reglament (UE) 2016/679 i el Títol IX de la LOPDGDD.
Passem a detallar les qüestions relatives a aquest Règim Sancionador.
A qui afecta?
Amb l’aprovació de la LOPDGDD s’estableix un règim sancionador subjecte a l’establert pel RGPD, que aplica als següents subjectes:
– Responsable de tractament
– Encarregats de tractament
– Representants de responsable o encarregat de tractament no establerts a UE.
– Entitats de certificació
– Entitats supervisió de codis de conducta
No aplicarà al DPD.
Criteris d’imposició de les multes administratives
El RGPD estableix en el seu article 83 que, les multes que interposin les autoritats de control seran per la comissió de les infraccions indicades en els apartats 4, 5 i 6 del citat article i seran individuals, efectives, proporcionades i dissuasives. Per tant cada multa s’imposarà d’acord a les circumstàncies de cada cas, i la decisió i quantia seran imposades en relació a:
– la naturalesa, gravetat i durada de la infracció;
– intencionalitat o negligència en la infracció;
– mesures preses pel responsable o encarregat del tractament per a pal·liar els danys i
perjudicis;
– grau de responsabilitat del responsable o de l’encarregat del tractament;
– les infraccions anteriors;
– la cooperació amb l’autoritat de control;
– les categories de dades afectades per la infracció;
– la forma en què l’autoritat de control va tenir coneixement de la infracció;
– s’hagin ordenat a responsable o encarregat alguna de les mesures de l’article 58 del
RGPD;
– adhesió a codis de conducta;
– altres factors atenuants o agreujants.
A més, la LOPDGDD afegeix a aquest llistat altres aspectes a tenir en compte a l’hora de la decisió i quantia a imposar:
– El caràcter continuat de la infracció (reincidència);
– La vinculació de l’activitat de l’infractor amb la realització de tractaments de dades
personals;
– Els beneficis obtinguts com a conseqüència de la comissió de la infracció;
– La possibilitat que la conducta de l’afectat hagués pogut induir a la comissió de la
infracció;
– L’existència d’un procés de fusió per absorció posterior a la comissió de la infracció,
que no pot imputar-se a l’entitat absorbent;
– L’afectació als drets dels menors;
– Disposar, quan no fos obligatori, d’un delegat de protecció de dades;
– La submissió per part del responsable o encarregat, amb caràcter voluntari, a
mecanismes de resolució alternativa de conflictes, en aquells supòsits en els quals
existeixin controvèrsies entre aquells i qualsevol interessat.
Com es tipifiquen les infraccions i quan prescriuen?
El RGPD tipifica com a infraccions els actes i conductes establerts en els apartats 4, 5 i 6 de l’article 83 i la LOPDGDD en el Títol IX.
L’Article 72 LOPDGDD tipifica com a infraccions molt greus, que prescriuran als 3 anys, prenent com a referència l’article 83.5 del RGPD, entre altres:
– El tractament de dades personals vulnerant els principis i garanties establerts en
l’article 5 del Reglament (UE) 2016/679.
– El tractament de dades personals de forma il·lícita.
– L’incompliment dels requisits per a la validesa del consentiment.
– La utilització de les dades per a una finalitat que no sigui compatible amb la finalitat per
a la qual van ser recollits (per exemple, sense comptar amb el consentiment de l’afectat
o amb una base legal per a això).
– El tractament de dades personals de les categories especials de dades, sense que
concorri alguna de les circumstàncies previstes en l’article 9 LOPDGDD.
– El tractament de dades personals relatives a condemnes i infraccions penals o
mesures de seguretat connexes fos dels supòsits permesos per l’article 10 LOPDGDD.
– L’impediment, obstaculització o la no atenció reiterada de l’exercici dels drets dels
afectats.
– No facilitar l’accés de l’autoritat de control de protecció de dades per a l’exercici dels
seus poders de recerca.
L’Article 73 LOPDGDD tipifica com a infraccions greus, que prescriuran als 2 anys, prenent com a referència l’article 83.4 del RGPD, entre altres:
– El tractament de dades personals d’un menor d’edat sense recaptar el consentiment
adequat.
– L’impediment, obstaculització o la no atenció reiterada dels drets dels afectats.
– La falta d’adopció d’aquelles mesures tècniques i organitzatives que resultin apropiades
per a aplicar de forma efectiva els principis de protecció de dades.
– La falta d’adopció de les mesures tècniques i organitzatives apropiades per a garantir
que, només es tractaran les dades personals necessàries per a cadascuna de les
finalitats específiques del tractament.
– La falta d’adopció d’aquelles mesures tècniques i organitzatives que resultin apropiades
per a garantir un nivell de seguretat adequat al risc del tractament
– El trencament de les mesures tècniques i organitzatives que s’haguessin implantat
conforme a l’exigit per l’article 32.1 del Reglament (UE) 2016/679.
– La contractació pel responsable del tractament d’un encarregat de tractament que no
ofereixi les garanties suficients per a aplicar les mesures tècniques i organitzatives
– Encarregar el tractament de dades a un tercer sense la prèvia formalització d’un
contracte d’acord a l’article 28.3 del Reglament (UE) 2016/679.
– L’incompliment del deure de notificació a l’autoritat de protecció de dades d’una violació
de seguretat de les dades personals de conformitat amb el que es preveu en l’article 33
del Reglament (UE) 2016/679.
– El tractament de dades personals sense haver dut a terme l’avaluació de l’impacte de
les operacions de tractament en la protecció de dades personals en els supòsits en què
la mateixa sigui exigible.
L’Article 74 LOPDGDD tipifica com a infraccions lleus, que prescriuran a l’any, les restants infraccions de caràcter merament formal dels articles esmentats en els apartats 4 i 5 de l’article 83 del Reglament (UE) 2016/679, que, entre altres, són:
– L’incompliment del principi de transparència de la informació o el dret d’informació de
l’afectat per no facilitar tota la informació exigida pels articles 13 i 14 del Reglament
(UE) 2016/679.
– No atendre les sol·licituds d’exercici dels drets establerts en els articles 15 a 22 del
Reglament (UE) 2016/679.
– L’incompliment de l’obligació d’informar l’afectat, quan així ho hagi sol·licitat, dels
destinataris als quals s’hagin comunicat les dades personals rectificades, suprimides o
respecte de les quals s’ha limitat el tractament.
– No publicar les dades de contacte del delegat de protecció de dades, o no comunicar-
les a l’autoritat de protecció de dades, quan el seu nomenament sigui exigible d’acord
amb l’article 37 del Reglament (UE) 2016/679 i l’article 34 de la LOPDGDD.
– Disposar d’un Registre d’activitats de tractament que no incorpori tota la informació
exigida per l’article 30 del Reglament (UE) 2016/679.
Quina sanció econòmica comporta la comissió d’una infracció tipificada en la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades personals i Garantia de Drets Digitals?
En els articles 83.4 i 83.5 del RGPD es recull que les infraccions de les disposicions recollides en l’article 83.4 es sancionaran amb multes administratives de 10.000.000€ com a màxim o, tractant-se d’una empresa, d’una quantia equivalent al 2% com a màxim del volum de negoci total anual global de l’exercici financer anterior, optant-se per la de major quantia, i les disposicions recollides en l’article 83.5 es sancionaran amb multes administratives de 20.000.000€ com a màxim o, tractant-se d’una empresa, d’una quantia equivalent al 4% com a màxim del volum de negoci total anual global de l’exercici financer anterior, optant-se per la de major quantia.
Al RGPD no es fa referència a les infraccions lleus que la LOPDGDD estableix.
Reclamació de danys i perjudicis
El RGPD recull, en el seu article 82, el dret al fet que tota persona que hagi sofert danys i perjudicis materials o immaterials com a conseqüència d’una infracció de la normativa de protecció de dades pugui rebre del responsable o de l’encarregat del tractament una indemnització pels danys soferts.
Les accions judicials per a reclamar aquesta indemnització es presentaran davant els tribunals. A més, en el cas de les Administracions Públiques la responsabilitat s’exigirà d’acord a la regulació sobre responsabilitat patrimonial.