Infracciones consideradas graves.

Sin valoraciones

En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:

a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.

b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679.

c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.

e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679.

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.

g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32.1 del Reglamento (UE) 2016/679.

h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el artículo 27 del Reglamento (UE) 2016/679.

i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679.

k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.

l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.

n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679.

ñ) No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, conforme al apartado 4 del artículo 30 del Reglamento (UE) 2016/679.

o) No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de esta ley orgánica.

p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica.

q) El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

r) El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679.

s) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 34 del Reglamento (UE) 2016/679 si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.

t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.

u) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del Reglamento (UE) 2016/679 o cuando la ley establezca la obligación de llevar a cabo esa consulta.

v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.

w) No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

x) La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.

y) Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del Reglamento (UE) 2016/679.

z) El desempeño de funciones que el Reglamento (UE) 2016/679 reserva a los organismos de certificación, sin haber sido debidamente acreditado conforme a lo establecido en el artículo 39 de esta ley orgánica.

aa) El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en los artículos 42 y 43 de Reglamento (UE) 2016/679.

ab) El desempeño de funciones que el artículo 41 del Reglamento (UE) 2016/679 reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.

ac) La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código, conforme exige el artículo 41.4 del Reglamento (UE) 2016/679.

Vea nuestro curso de LOPD GDD

 

 

Infracciones Graves según la LOPD/LOPDGDD

Algunos ejemplos de infracciones consideradas graves incluyen:

  1. Tratamiento de datos sin legitimación legal:
    • Procesar datos personales sin contar con el consentimiento del titular de los datos o sin otro fundamento jurídico válido que lo permita (como el cumplimiento de un contrato o una obligación legal).
  2. No atender o denegar injustificadamente el ejercicio de los derechos ARCO:
    • Negarse a permitir que los titulares de los datos ejerzan sus derechos de acceso, rectificación, cancelación u oposición, o no atender dichas solicitudes dentro del plazo establecido sin justificación.
  3. No informar adecuadamente a los titulares de los datos:
    • No proporcionar la información requerida sobre el tratamiento de los datos personales (por ejemplo, la finalidad del tratamiento, los derechos de los titulares, los datos de contacto del responsable) o hacerlo de manera incompleta o engañosa.
  4. Incumplimiento de las medidas de seguridad:
    • No aplicar las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales, lo que puede dar lugar a violaciones de seguridad como accesos no autorizados, pérdida o destrucción de datos.
  5. Transferencias internacionales de datos sin garantías adecuadas:
    • Transferir datos personales a países fuera del Espacio Económico Europeo (EEE) sin contar con las garantías adecuadas, como cláusulas contractuales estándar o decisiones de adecuación por parte de la Comisión Europea.
  6. Creación o mantenimiento de bases de datos ilegales:
    • Crear bases de datos con información personal sin contar con la autorización correspondiente o sin cumplir con los requisitos legales, especialmente en casos donde se recopilan datos especialmente protegidos, como datos de salud, ideología, o afiliación sindical.
  7. Incumplimiento de los principios básicos del tratamiento de datos:
    • Vulnerar principios fundamentales como la limitación de la finalidad, la minimización de datos, la exactitud, o la limitación del plazo de conservación. Por ejemplo, tratar datos personales para finalidades distintas a las que fueron recogidos sin informar al titular.
  8. No notificar violaciones de seguridad:
    • No comunicar a la autoridad de protección de datos correspondiente (en España, la Agencia Española de Protección de Datos, AEPD) y, cuando sea necesario, a los afectados, sobre una violación de seguridad de los datos personales que pueda suponer un riesgo para los derechos y libertades de las personas.
  9. Tratar datos de menores sin cumplir con los requisitos legales:
    • Procesar datos de menores sin cumplir con los requisitos específicos de la ley, como obtener el consentimiento de los padres o tutores cuando sea necesario.

Sanciones para Infracciones Graves

Las sanciones para las infracciones graves pueden ser bastante severas y pueden incluir:

  • Multas económicas: Según el RGPD, las multas pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio anual global de la empresa infractora, lo que sea mayor.
  • Otras sanciones: Dependiendo del caso, también pueden imponerse restricciones temporales o definitivas al tratamiento de datos, órdenes de suspensión de las actividades de procesamiento, o incluso la orden de eliminación de los datos personales afectados.

Compártelo en tus redes

Valore este curso

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestra web. Si sigues utilizando este sitio asumimos que estás de acuerdo. VER

ACEPTAR