- Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.
- De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.
4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.
Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos, se estará a su normativa de aplicación.
Tipos de Sanciones
- Multas Administrativas:
- Graves: Las infracciones graves pueden resultar en multas de hasta 20 millones de euros o el 4% de la facturación global anual del infractor, lo que sea mayor. Ejemplos de infracciones graves incluyen la falta de consentimiento válido para el tratamiento de datos o la violación de los derechos de los interesados.
- Leves: Las infracciones menos graves pueden resultar en multas de hasta 10 millones de euros o el 2% de la facturación global anual. Esto incluye fallos en la notificación de brechas de seguridad o la falta de un registro de actividades de tratamiento.
- Medidas Correctivas:
- Advertencias: Las autoridades de protección de datos pueden emitir advertencias a una entidad si sus operaciones de tratamiento podrían infringir la normativa.
- Reprensiones: En casos de incumplimientos menores, se puede emitir una reprensión oficial sin imponer una multa económica.
- Órdenes para cumplir con los derechos del interesado: Las autoridades pueden ordenar a una entidad que cumpla con las solicitudes de los interesados, como el acceso, rectificación o borrado de datos.
- Limitación Temporal o Permanente del Tratamiento: Una entidad puede ser obligada a suspender o detener por completo el tratamiento de datos personales.
- Corrección de Procedimientos Internos: Las autoridades pueden requerir que una entidad modifique sus procedimientos internos de tratamiento de datos para cumplir con la normativa.
- Restricción del Flujode Datos: Puede imponerse la prohibición o restricción del flujo de datos personales a otros países u organizaciones internacionales.
- Medidas de Remediación:
- Obligación de notificar a los interesados: En caso de una violación de seguridad que pueda afectar a los derechos y libertades de los individuos, la entidad debe notificar a los afectados.
- Evaluaciones de Impacto y Consultas Previas: En caso de tratamiento de alto riesgo, la entidad puede ser obligada a realizar una evaluación de impacto sobre la protección de datos y, si es necesario, consultar a la autoridad de control antes de proceder con el tratamiento.
- Implementación de Mecanismos de Certificación: Para demostrar el cumplimiento, las entidades pueden ser obligadas a adoptar mecanismos de certificación aprobados por la autoridad de control.
- Responsabilidad Penal:
- En ciertos casos, especialmente cuando hay una violación intencionada o negligente grave de la protección de datos, los responsables pueden enfrentarse a cargos penales además de las sanciones administrativas.
Factores Considerados para Imponer Sanciones
Las autoridades de protección de datos consideran varios factores al determinar la gravedad de la sanción, incluyendo:
- La naturaleza, gravedad y duración de la infracción.
- El número de personas afectadas y el nivel de daño sufrido.
- La intencionalidad o negligencia en la infracción.
- Las medidas proactivas tomadas por el infractor para mitigar el daño.
- El grado de cooperación con la autoridad de control.
- Infracciones anteriores y el historial de cumplimiento de la entidad.
Ejemplos de Infracciones y Sanciones
- Una gran empresa de tecnología que ha sido multada con cientos de millones de euros por utilizar datos personales sin el consentimiento adecuado de los usuarios.
- Una pequeña empresa que recibe una advertencia y una multa menor por no implementar medidas de seguridad adecuadas, pero sin que se haya producido un daño significativo a los datos personales de los clientes.
Medidas Correctivas en la Práctica
- Suspensión de operaciones de tratamiento: Si una empresa no cumple con las normativas, podría ser forzada a detener el procesamiento de datos hasta que se corrijan los problemas.
- Implementación de nuevos procesos: La empresa puede ser obligada a revisar y mejorar sus procedimientos de tratamiento de datos, incluyendo la formación del personal y la actualización de sistemas de seguridad.