Consultores RGPD
Vaya al Contenido

Sanciones por incumplimiento RGPD y LOPDGDD

Normativa
Infracciones y sanciones por incumplimiento del RGPD y la LOPDGDD

Sanciones RGPD
Las sanciones por incumplimiento de las actuales normativas de protección de datos, han cambiado de forma significativa con respecto a las de la anterior normativa.

En esta misma página hemos dispuesto un cuadro con una comparativa entre ambas.

Puedes obtener más información al respecto o consultar las tablas completas con todas las infracciones, sanciones y tiempo de prescripción, contactando con nosotros.

Las multas administrativas se impondrán en función de las circunstancias de cada caso individual. Muy importante a tener en cuenta:

En el caso de las sanciones graves o muy graves, el máximo será 10.000.000 € ó de 20.000.000€ ó el 2% ó el 4% de tu facturación anual mundial del ejercicio anterior, la cifra que resulte mayor. Esto hay que tenerlo muy en cuenta porque algunos no lo han interpretado correctamente y piensan que les pueden sancionar con un 2% de su facturación, cuando en realidad, la sanción sería de 10.000.000€, salvo que el 2% de su facturación del año anterior resulte una cantidad mayor.

Algunos ejemplos de sanciones por incumplimiento de estas normativas:

Sanciones leves (hasta 40.000€ pero no hay mínimo):
- No atender el ejercicio de los derechos de acceso, rectificación, supresión, limitación o portabilidad en tratamientos en los que no se requiere la identificación del interesado
- Incumplir el principio de transparencia de la información o el derecho de información del interesado por no facilitar toda la información exigida en el GDPR
- No notificar la rectificación o supresión de datos o la limitación del tratamiento a cada uno de los destinatarios a los que se hayan comunicado los datos, salvo que sea imposible o exija un esfuerzo desproporcionado
- No suprimir los datos referidos a una persona fallecida cuando ello fuera exigible
- No publicar los datos de contacto del DPO, o no comunicarlos a la AC, cuando su nombramiento sea exigible

Sanciones graves (Mínimo: entre 40.001 € y 300.000 €. Máximo: 10.000.000 € ó 2% del total de la facturación):
- No adoptar medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño incluyendo las garantías necesarias en el tratamiento
- Contratar un ET que no ofrezca suficientes garantías para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del GDPR
- Encargar el tratamiento a un ET sin la previa formalización de un contrato o acto jurídico que contenga lo dispuesto en el GDPR
- No disponer del Registro de actividades de tratamiento
- Incumplir la obligación de designar un DPO cuando sea exigible

Sanciones muy graves (Mínimo: 300.000 €. Máximo: 20.000.000 € ó 4% del total de la facturación):
- Vulneración del deber de confidencialidad
- Infringir las disposiciones relativas a la “Licitud del tratamiento”
- Utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello
- Infringir las disposiciones relativas a las “Condiciones para el consentimiento”
- Infringir las disposiciones relativas al “Tratamiento de categorías especiales de datos”
- Infringir las disposiciones relativas al “Tratamiento de datos relativos a condenas e infracciones penales”
- Infringir las disposiciones relativas a los “Derechos del interesado”
- Realizar transferencias internacionales de datos, cuando no concurran las garantías, requisitos o excepciones establecidas
RÉGIMEN SANCIONADOR

LOPDGDD1.- FIGURAS SUJETAS AL RÉGIMEN SANCIONADOR (art. 70 LOPDGDD)
Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la Ley Orgánica (ES) 3/2018:
a) Los responsables de los tratamientos.
b) Los encargados de los tratamientos.
c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
d) Las entidades de certificación.
e) Las entidades acreditadas de supervisión de los códigos de conducta.

No será de aplicación al delegado de protección de datos.

2.- SANCIONES (art. 83 GDPR y art. 76 de la LOPDGDD)
La AC podrá imponer multas administrativas al RT y ET por infringir el GDPR garantizando que serán efectivas, proporcionadas y disuasorias. Las multas administrativas se impondrán en función de las circunstancias de cada caso individual, teniendo en cuenta las facultades investigadoras y correctoras conferidas a la AC.

La decisión de la AC para imponer una multa administrativa y calcular su importe tendrá en cuenta:
  • La naturaleza, gravedad y duración de la infracción en relación con el fin del tratamiento.
  • El número de interesados afectados.
  • El nivel de los perjuicios sufridos por los interesados.
  • La intencionalidad o negligencia de la infracción.
  • Las categorías de datos afectados por la infracción.
  • El grado de responsabilidad del RT o del ET.
  • La reiteración de infracciones del RT o del ET.
  • Las medidas tomadas por el RT o por el ET para paliar los perjuicios sufridos por los interesados.
  • El grado de cooperación con la AC con el fin de remediar la infracción y mitigar sus posibles efectos adversos.
  • La forma en que la AC ha tenido conocimiento de la infracción (si se ha notificado, o en la medida en que se ha hecho).
  • El cumplimiento de las medidas ordenadas previamente por la AC contra el RT o el ET en relación con el asunto.
  • La adhesión a códigos de conducta o a mecanismos de certificación aprobados por la AC.
  • Otros factores agravantes o atenuantes aplicables a las circunstancias de cada caso, como:
    • Los beneficios financieros obtenidos o las pérdidas evitadas por la infracción.
    • El carácter continuado de la infracción.
    • La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
    • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
    • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
    • La afectación a los derechos de los menores.
    • Disponer, cuando no fuere obligatorio, de un DPO.
    • El sometimiento por parte del RT o del ET, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

3. PRESCRIPCIÓN DE LAS SANCIONES (art. 78 de la LOPDGDD)
Las sanciones impuestas en aplicación del GDPR y la LOPDGDD prescriben en los siguientes plazos:
  • 3 años: infracciones consideradas muy graves o con un importe superior a 300.000 euros.
  • 2 años: infracciones consideradas graves o con un importe comprendido entre 40.001 y 300.000 euros.
  • 1 año: infracciones consideradas leves o con un importe igual o inferior a 40.000 euros.

El plazo de prescripción comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de 6 meses por causa no imputable al infractor.

4. INFRACCIONES

MUY GRAVES
Normativa: Artículo 83.5 y 83.6 del GDPR y 72 de la LOPDGDD
Prescripción: 3 años
Multas administrativas en función de las circunstancias de cada caso individual:
  • Mínimo: 300.000 €
  • Máximo: el importe más elevado entre 20.000.000 € y el 4 % del total de la facturación global anual del ejercicio financiero anterior

GRAVES
Normativa: Artículo 83.4 del GDPR y 73 de la LOPDGDD
Prescripción: A los 2 años
Multas administrativas en función de las circunstancias de cada caso individual:
  • Mínimo: entre 40.001 € y 300.000 €
  • Máximo: importe más elevado entre 10.000.000 € y el 2 % del total de la facturación global anual del ejercicio financiero anterior

LEVES
Normativa: Las restantes infracciones de carácter meramente formal de los artículos 83.4 y 83.5 del GDPR y 74 de la LOPDGDD
Prescripción: 1 año
Multas administrativas en función de las circunstancias de cada caso individual:
  • Máximo de 40.000 €
Regreso al contenido