Durante el 27 de julio del 2018 se aprobó un Decreto-ley 5/2018 de medidas para la debida adaptación del Derecho español a la normativa de la Unión Europea en relación a la protección de datos. Saber cuáles son las infracciones y sanciones que colocó la LOPDGDD y el RGPD son puntos importantes, ya que a través de ella se puede definir lo que no se debe hacer con respecto a los datos personales.

Sanciones establecidas por la LOPD-GDD en función del tipo de infracción

En el caso del incumplimiento de algunas normativas que ha propuesto la LOPDGDD y la RGPD, existen algunos niveles de infracción que son establecidos según la naturaleza de la infracción. Cada una de ellas cumplen con un grado de gravedad diferente para poder diferenciarlas.

Sanciones para infracciones leves: multa de 600 euros y 60.101,21 euros

Las infracciones consideradas leves por la LOPD son:

  • La recopilación de datos personales sin haber informado antes.
  • No atender las posibles consultas por el AGPD.
  • No solicitar la inscripción de fichero en la Agencia Española de Protección de Datos.
  • No ocuparse de aquellas posibles solicitudes de cancelación o rectificación de datos.

Las multas en estos casos rondan entre los 600 y 60.101,21 euros.

Sanciones graves: multa entre 60.101,21 y 300.505,05 euros

Las infracciones que se c0onsideran como graves de aplicar son:

  • No inscribir los ficheros en la AEPD.
  • No contar con el consentimiento del afectado al recopilar sus datos personales.
  • No permitir acceso a los ficheros al interesado.
  • Hacer uso de los ficheros con una finalidad distinta a lo que fueron creados.
  • No cumplir los principios y garantías de la LOPD.
  • Tratar datos especialmente protegidos sin autorización.
  • No mantener los ficheros con la seguridad debida.
  • Conservar los datos inexactos y no hacer los cambios que se han solicitado.

En este caso la multa pueda variar entre los 60.101,21 y 300.505,05 euros.

Sanciones muy graves: multa entre 300.5050,05 y 601.012,10 euros

Según la LOPD, lo que es considerado como una sanción grave es:

  • Crear ficheros que revelen datos especialmente protegidos.
  • Recabar datos especialmente protegidos sin la autorización del usuario.
  • No atender o dificultar las solicitudes de rectificación o eliminación de datos.
  • No atender de forma sistemática los requerimientos de la AGPD.
  • Recoger datos con intenciones fraudulentas.
  • Vulnerar los secretos de datos especialmente protegidos.
  • La comunicación de datos que no están permitidos.
  • Transferir los datos de forma temporal o definitiva a otros países sin seguridad o autorización.

En este caso, las multas pueden variar desde 300.5050,05 hasta los 601.012,10 euros, dependiendo del índice de gravedad.

Criterios para graduar la cuantía de las sanciones

El grado de las sanciones puede variar dependiendo de los derechos que fueron violados, las personas afectadas, la intencionalidad y los beneficios obtenidos. Dependiendo de esto se valora qué castigo se implementará por ignorar las leyes impuestas.

Se consideran leves las infracciones de recopilación de datos sin permiso, no atender a una solicitud de cambio o eliminación de la información e incluso, no solicitar la inscripción del fichero en el Registro General. Estas pueden tener multas LOPD entre los 900 y los 4.000 euros.

Por otro lado, infracciones de mayor gravedad como no inscribir ficheros en la AEPD, no permitir acceso a los ficheros o utilizarlos para una finalidad distintas, pueden acarrear multa hasta de 300.000 euros.

Esto pasa igual con las infracciones muy graves, como la obtención de datos de forma fraudulenta, el trato de forma ilegítima o ignorar el secreto de los datos especialmente protegidas. Las multas de estos pueden llegar a los 600.000 euros.

Ejemplos de sanciones por no cumplir la Ley de protección de datos

Desde el momento en el que se estableció la normativa europea, las sanciones RGPD han estado siendo aplicadas constantemente. Algunas veces, porque se ignoraba que el tratamiento erróneo de datos personales era ilegal.

Una de las más sorprendentes fue la que colocó en Francia la Comisión Nacional de la informática y Libertades a Google. Esto fue debido a que no cumplió con la exigencia del consentimiento para el envío de publicidad personalizada, actuando así imprudentemente. En este caso, la multa fue de más de 50 millones de euros.

En otro caso, en Alemania se multó a la famosa empresa H&M con 35 millones de dólares por la recopilación de información de vida de sus empleados sin su consentimiento.

Adicional a ello, las primeras multas del RGPD fueron al Hospital de Barreiro en Portugal, con sanciones de 100.000 y hasta 150.000 euros por no respetar la privacidad de los pacientes, pidiendo a los médicos acceder al historial clínico sin ninguna restricción.

En España, se obligó a la empresa Caixabank a pagar más de 6 millones de euros por uso incorrecto de los datos personales de sus clientes.

El Órgano sancionador en España

En este caso, el órgano que se hace responsable de las sanciones e investigaciones apropiadas para poder ejecutar un orden completo en el correcto uso de datos es la AEPD (Agencia Española de Protección de Datos). Esta se encarga de buscar infracciones e imponer las sanciones LOPD.

El personal competente para realizar las investigaciones son los funcionarios de la Agencia y funcionarios externos previamente habilitados por el director de la AEPD. Los responsables del tratamiento son representantes o encargados no establecidos por la Unión Europea, los agentes responsables y encargados del tratamiento, al igual que las entidades de certificación y autoridades de control.

El régimen sancionador en España

En este caso, EL Régimen Sancionador en España pretende dar respuestas a preguntas y elementos que el RGPD (Reglamento Europeo de Protección de Datos) dejó abiertas. Algunas de estas cuestiones son:

  • Mecanismos que se deben usar por el personal autorizado.
  • Régimen sancionador en caso de no cumplir el Reglamento Europeo.
  • Qué sujetos serán responsables.
  • Determina el procedimiento sancionador.
  • Régimen aplicable al personal responsable de investigación.
  • Reemplaza las infracciones LOPD por RGPD.
  • Identificación y atribuciones de las personas responsables de revisar que se cumpla el reglamento.

Saber cuáles son las infracciones y sanciones de la LOPDGDD es ideal para poder establecer los delitos que se observan con respecto a los datos personales y tener conocimiento sobre el tratamiento que se les da.

Portada: Tecno Geek