sanciones LOPDgdd de la AEPD en Tenerife

Sanciones LOPD

Sanciones RGPD

El Reglamento General de Protección de Datos establece en su artículo 83 las condiciones para la imposición de multas administrativas que deberán ser en cada caso individual efectivas, proporcionadas y disuasorias.
  1. la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
  2. la intencionalidad o negligencia en la infracción;
  3. cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
  4. el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;
  5. toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  6. el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
  7. las categorías de los datos de carácter personal afectados por la infracción;
  8. la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  9. cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
  10. la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
  11. cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Además establece, de un modo genérico, las cuantías máximas en función del artículo infringido:

  1. las obligaciones del responsable y del encargado a tenor de los artículos referentes a las condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información, a los tratamiento que no requieren identificación, al incumplimiento por el responsable o encargado de las obligaciones generales, seguridad de los datos, evaluación de impacto y el Delegado de protección de datos;
  2. las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
  3. las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
  1. los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de principios relativos al tratamiento, su licitud y las condiciones pra el consentimiento, así como el tratamiento de las categorías especiales de datos;
  2. los derechos de los interesados (artículos 12 a 22);
  3. las transferencias de datos personales a un destinatario en un tercer país o una organización internacional (artículos 44 a 49);
  4. toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX (disposiciones relativas a situaciones específicas de tratamiento);
  5. el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control , o el no facilitar acceso.

Sanciones RGPD

Por su parte, los artículos 70 y siguientes de la Ley Orgánica de Protección de Datos de Carácter Personal y Garantía de Derechos Digitales, conocida como LOPD (o LOPDgdd), categoriza las infracciones, diferenciándolas en:

Muy graves (incumplimiento sustancial)

  1. Las indicadas en el art. 83.5 y 83.6 del RGPD.
  2. El tratamiento de datos personales vulnerando los principios y garantías del RGPD.
  3. El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento.
  4. El incumplimiento de los requisitos exigidos para la validez del consentimiento.
  5. La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
  6. El tratamiento de categorías especiales de datos personales, sin que concurra alguna de las circunstancias previstas en el RGPD o en la LOPDGDD.
  7. El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por estas normas.
  8. El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de esta ley orgánica.
  9. La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales.
  10. La vulneración del deber de confidencialidad.
  11. La exigencia del pago de un canon para facilitar al afectado la información impuesta por la normativa o por atender las solicitudes de ejercicio de derechos de los afectados.
  12. El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos.
  13. La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del RGPD.
  14. El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 RGPD.
  15. El incumplimiento de la obligación de bloqueo de los datos, cuando la misma sea exigible.
  16. No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.
  17. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
  18. La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

Sanciones y medidas correctivas

1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:

  1. El carácter continuado de la infracción.
  2. La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
  3. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  4. La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  5. La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
  6. La afectación a los derechos de los menores.
  7. Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
  8. El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.

4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.

Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos, se estará a su normativa de aplicación.

Prevención

Todas nuestras actuaciones de implantación de la normativa de Protección de Datos buscan proteger los intereses de nuestros clientes (adoptando las medidas legales e informáticas precisas).

Por otro lado, buscamos incorporar la Protección de Datos a la cultura de la empresa, concienciando al personal para evitar, de un modo preventivo, posibles incidencias futuras.

Defensa jurídica

En muchas ocasiones, nuestras actuaciones se dirigen a defender los intereses de nuestros nuevos clientes ante cualquier expediente incoado por la AEPD.

Nuestros años de trabajo, así como la gran diversidad y número de clientes (desde profesionales autónomos, hasta Administraciones Públicas) nos ha hecho acumular gran experiencia y casuística para resolver cualquier incidencia que surja en materia de Protección de Datos de una manera satisfactoria.

Donde prestamos nuestro servicio de adecuación a la Ley Orgánica de Protección de Datos

Prestamos nuestro servicio de adecuación de LOPD Protección de Datos en Tenerife, La Gomera, La Palma, El Hierro, Las Palmas de Gran Canaria, Lanzarote y Fuerteventura (Islas Canarias), A Coruña (Santiago de Compostela), Ourense, Lugo y Pontevedra (Vigo) (Galicia), Madrid y Barcelona, así como en toda España peninsular e insular, Ceuta y Melilla.

FAQ’s Protección de Datos

Infracciones graves (vulneración sustancial)

  1. Las indicadas en el artículo 83.4 del RGPD.
  2. El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela.
  3. No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.
  4. El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
  5. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.
  6. La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos.
  7. La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.
  8. El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado.
  9. El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea.
  10. La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.
  11. La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas.
  12. Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del RGPD.
  13. La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
  14. La infracción por un encargado del tratamiento al determinar los fines y los medios del tratamiento.
  15. No disponer del registro de actividades de tratamiento.
  16. No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento.
  17. No cooperar con las autoridades de control en el desempeño de sus funciones.
  18. El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica.
  19. El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
  20. El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales.
  21. El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.
  22. El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
  23. El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva o cuando la ley establezca la obligación de llevar a cabo esa consulta.
  24. El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.
  25. No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
  26. La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.
  27. Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos.
  28. El desempeño de funciones que el RGPD reserva a los organismos de certificación, sin haber sido debidamente acreditado.
  29. El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido.
  30. El desempeño de funciones que el artículo 41 del RGPD reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.
  31. La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código.

Leves (vulneración meramente formal)

  1. Las establecidas en el artículo 83.4 y 5 del RGPD.
  2. El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida.
  3. La exigencia del pago de un canon para facilitar al afectado la información exigida o por atender las solicitudes de ejercicio de derechos de los afectados, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.
  4. No atender las solicitudes de ejercicio de los derechos, salvo que resultase de aplicación lo dispuesto en el artículo 72.1.k) de esta ley orgánica.
  5. No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de esta ley orgánica.
  6. El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento.
  7. El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales.
  8. El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.
  9. La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados o la inexactitud en la determinación de las mismas.
  10. No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento.
  11. La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD o de esta ley orgánica.
  12. El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.
  13. Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida.
  14. La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales.
  15. El incumplimiento de la obligación de documentar cualquier violación de seguridad.
  16. El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados.
  17. Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa.
  18. No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible.
  19. El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación.
  20. El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código.
Scroll al inicio
Ir al contenido