SANCIONES EN PROTECCIÓN DE DATOS RGPD – INCUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS

En este punto, debemos indicar que el RGPD y la LOPDGDD atribuye distintas responsabilidades a los diferentes sujetos con capacidad de recabar, almacenar, usar datos de carácter personal, bien sean administraciones públicas, personas jurídicas o personas físicas, como el Delegado en Protección de Datos DPD, el Responsable y/o Encargado de la protección de datos y a los usuarios.

De esta forma, las sanciones se fundamentan según la responsabilidad y capacidad de intervención, además del delito cometido y el grado de afectación.

En este sentido, también concede derechos a los usuarios afectados o interesados. Uno de estos derechos es el de presentar la reclamación ante la autoridad de control en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o lugar de la supuesta infracción, denominándose “Ventanilla única” si considera que el tratamiento de datos personales que le conciernen infringe el presente Reglamento.

Sanciones RGPD – LOPDGDD

El RGPD indica que los Estados miembros adoptarán todas las medidas necesarias para garantizar la correcta aplicación y cumplimiento del marco normativo aplicando sanciones efectivas, proporcionadas y disuasorias.

Las sanciones serán equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros

En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento.

Debe no obstante, prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante.

El presente Reglamento RGPD, faculta a cada Autoridad de Control la fijación de los criterios y de la cuantía de las multas administrativas en cada caso y de forma particular. Los criterios estarán basados en la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por la normativa e impedir o mitigar las consecuencias de la infracción.

Si las multas administrativas se imponen a personas físicas que no son una empresa, la Autoridad de Control debe tener en cuenta al valorar la cuantía apropiada de la multa, el nivel general de ingresos prevaleciente en el Estado miembro, así como la situación económica de la persona.

Las sanciones administrativas se impondrán, en función de las circunstancias de cada caso en particular teniendo en cuenta:

  1. la naturaleza, gravedad y duración de la infracción, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
  2. la intencionalidad o negligencia en la infracción;
  3. cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  4. el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado;
  5. toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  6. el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
  7. las categorías de los datos de carácter personal afectados por la infracción;
  8. la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  9. el cumplimiento de las medidas indicadas con anterioridad en relación con el mismo asunto;
  10. la adhesión a códigos de conducta o a mecanismos de certificación;
  11. cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

El RGPD también indica que, si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

La LOPDGDD mantiene la distinción entre infracciones muy graves, graves y leves con la imposición de diferentes cuantías en función de:

  1. El carácter continuado de la infracción.
  2. La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  3. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  4. La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  5. La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.

INFRACCIONESPRESCRIPCIÓNCUANTIA
LEVES1 AÑOHasta 40.000€
GRAVES2 AÑOS40.001€ a 300.000€
MUY GRAVES3 AÑOS300.000€ a 20.000.000€

2% a 4% facturación bruta anual

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.