Si había algo que nos mantenía preocupados en el RGPD era la incertidumbre con respecto al régimen sancionador.
La normativa europea contempla sanciones muy elevadas ya que, según la infracción, las multas administrativas pueden alcanzar entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.
El problema es que no quedaba muy claro en qué casos podías ser sancionado y por cuánta cantidad.
La LOPD ha sido mucho más concisa que la normativa europea. Mantiene la clasificación del antiguo articulado entre muy grave, grave y leve, según el grado de afectación de los datos.
Así, el régimen español de infracciones se divide en:
- Muy graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos propios almacenados, transferencia internacional de información sin garantías…
Este tipo de infracción prescribe a los 3 años.
- Graves: las que supongan una vulneración sustancial del tratamiento y tengan que ver con datos de un menor recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, el incumplimiento de la obligación de nombrar responsable o encargado de tratamiento de datos.
Este tipo de infracción prescribe a los 2 años.
- Leves: las restantes que no queden contempladas en los grupos anteriores.
Prescribirán al año y se refieren a casos como la no transparencia de la
información, el incumplimiento de no informar al afectado cuando lo haya solicitado o, por ejemplo, el incumplimiento por parte del encargado de sus obligaciones.
Además, para aplicar una u otra sanción también se tendrán en cuenta circunstancias como el carácter continuado de la infracción, la vinculación de la actividad del infractor con el tratamiento, la afectación a los derechos de los menores, etc.
1. Clasificación de las infracciones
La LOPDGDD establece tres tipos de infracciones, diferenciadas por su gravedad, siguiendo los parámetros del Reglamento General de Protección de Datos (RGPD):
- Infracciones leves: Son aquellas que no suponen un riesgo grave para los derechos y libertades de las personas físicas, como la omisión de medidas de seguridad básicas o errores formales en el cumplimiento de la normativa.
- Infracciones graves: Incluyen situaciones en las que se comprometen los derechos de los afectados o se incumplen las obligaciones más importantes de la normativa de protección de datos. Ejemplos de infracciones graves incluyen la falta de consentimiento explícito para el tratamiento de datos o no notificar violaciones de seguridad de datos personales.
- Infracciones muy graves: Aquellas que tienen un alto impacto en los derechos fundamentales de las personas o un grave incumplimiento de la normativa. Entre ellas, se encuentran la transferencia internacional de datos sin las garantías necesarias o el tratamiento de datos sensibles sin el consentimiento adecuado.
2. Sanciones económicas
La LOPDGDD adopta el régimen sancionador previsto en el RGPD, que impone sanciones proporcionales y disuasorias en función de la gravedad de la infracción:
- Para infracciones leves: Las multas pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio global anual del infractor (el que resulte mayor).
- Para infracciones graves o muy graves: Las multas pueden llegar hasta 20 millones de euros o el 4% del volumen de negocio global anual del infractor (el que resulte mayor).
La cuantía de las sanciones se determina en función de varios factores, como:
- La naturaleza, gravedad y duración de la infracción.
- El grado de responsabilidad del infractor.
- El daño causado a los afectados.
- El carácter intencionado o negligente de la infracción.
- Las medidas adoptadas por el infractor para mitigar los daños.
3. Otras sanciones y medidas correctivas
Además de las sanciones económicas, la Agencia Española de Protección de Datos (AEPD) puede imponer medidas correctivas, como:
- Advertencias o amonestaciones formales.
- Limitación o suspensión temporal del tratamiento de datos.
- Obligación de rectificación o eliminación de los datos.
- Suspensión de transferencias internacionales de datos.
Estas medidas tienen como objetivo garantizar que el tratamiento de datos personales se realice conforme a la normativa vigente y evitar la recurrencia de las infracciones.
4. Responsables y sujetos sancionables
- Responsable del tratamiento: Es la persona física o jurídica que determina los fines y medios del tratamiento de datos. Puede ser sancionado si incumple con las obligaciones legales.
- Encargado del tratamiento: La persona o entidad que trata datos en nombre del responsable también puede ser sancionada si incumple con las normativas aplicables.
- Autoridades públicas: Las administraciones y organismos públicos también están sujetos a sanciones, aunque la ley prioriza medidas correctivas sobre sanciones económicas en estos casos.
5. Procedimiento sancionador
La AEPD es la autoridad competente para iniciar y tramitar los procedimientos sancionadores. El procedimiento se inicia de oficio o a raíz de una denuncia presentada por los afectados. El proceso debe seguir los principios de legalidad, proporcionalidad y objetividad, con derecho de defensa para los infractores.
6. Plazos de prescripción
Las infracciones en materia de protección de datos tienen los siguientes plazos de prescripción:
- Infracciones leves: 1 año.
- Infracciones graves: 2 años.
- Infracciones muy graves: 3 años.
Estos plazos se cuentan desde que se comete la infracción o desde que la AEPD toma conocimiento de los hechos.
7. Exenciones y atenuantes
La LOPDGDD contempla ciertos atenuantes en el caso de que el infractor haya adoptado medidas correctivas voluntarias para minimizar el impacto de la infracción o haya cooperado activamente con las autoridades.