El no cumplir con la Ley de Protección de Datos (LOPD) lleva asociadas una serie de sanciones, cuya cuantía depende del tipo de infracción. Estas se gradúan atendiendo a su naturaleza, el volumen de tratamientos efectuados, los beneficios obtenidos, la reincidencia, etcétera, pudiendo ser clasificadas en infracciones leves, graves y muy graves.
El Reglamento General de Protección de Datos (RGPD) fija dos franjas económicas en función del tipo de infracciones que sean detectadas por las autoridades de control, siendo impuestas las siguientes multas:
- Multa de hasta 10 millones de euros o un 2% de la facturación de la empresa. Se producen en aquellos casos en el que se comentan infracciones como no adoptar las medidas de seguridad apropiadas o no haber nombrado a un delegado de protección de datos cuando sea obligatorio.
- Multa de hasta 20 millones de euros o un 4% de la facturación de la empresa. Se da en aquellos casos en los que las infracciones se dan por vulnerar los derechos de los afectados o bien por incumplir los principios básicos del tratamiento de los datos.
De esta manera, el RGPD apuesta por un sistema dual para determinar la cuantía de las sanciones por incumplir la protección de datos.
Tipos de sanciones de Protección de Datos
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales ordena las infracciones en las siguientes categorías:
Infracciones leves (prescriben en 1 año)
Reciben esta calificación las siguientes infracciones:
- No cumplir con el principio de transparencia.
- No eliminar los datos de una persona fallecida cuando sea obligatorio.
- Incumplir el deber de informar al interesado.
- No publicar los datos de contacto del delegado de protección de datos.
- Tener un registro de actividades de tratamiento que sea incompleto.
- Notificar de forma defectuosa una violación de seguridad a la autoridad de protección de datos.
Infracciones graves (prescriben a los 2 años)
Las infracciones graves son:
- No haber notificado una violación de seguridad de los datos a la autoridad de control de datos.
- No designar a un delegado de protección de datos cuando sea necesario.
- Utilizar los datos de un menor de edad sin su consentimiento ni el de sus tutores legales o padre.
- No tomar medidas para garantizar el cumplimiento de la protección de datos de la forma adecuada.
- No contar con un registro de actividades de tratamiento.
- Tratar los datos personas sin llevar a cabo una evaluación del impacto cuando se exija.
- Realizar la contratación de un encargado de tratamiento sin garantías.
Infracciones muy graves (prescriben a los 3 años)
Estas se dan en aquellos casos que:
- No cumplir con las resoluciones que se hayan dictado por la autoridad de protección de datos.
- Vulnerar los principios que se establecen en el Reglamento General de Protección de Datos.
- No cumplir con los requisitos legales exigidos para la validez del consentimiento.
- Utilizar los datos personales para una finalidad diferente para la cual se recogieron.
- Hacer una transferencia internacional de datos sin las garantías suficientes.
- Exigir el abono de un pago para poder atender las solicitudes de ejercicio de los derechos de los usuarios.
- Revertir de forma deliberada la anonimización con el objetivo de reidentificar a los titulares.