SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS

¡POR QUÉ PUEDO RECIBIR UNA SANCIÓN?!!

01/10/2019                                                                          Tiempo de lectura: 4 min

Actualmente el motivo principal por el cual una entidad puede recibir una sanción es mediante una reclamación. La AEPD recibió en 2018 13.005 reclamaciones.

Una vez la AEPD recibe una reclamación se analiza si la reclamación reúne los requisitos para ser admitida a trámite, o si por el contrario debe inadmitirse.

La AEPD inadmite aquellas reclamaciones cuando no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción.

La decisión o no de admisión de la reclamación concluye con su traslado al responsable para que analice la reclamación y responda adecuadamente al reclamante, con copia a la Subdirección General de Inspección, a la que también habrá de explicar las razones que dieron lugar a así reclamación, así como las medidas adoptadas para que en el futuro no vuelva a ocurrir una anomalía de esas características.

Los responsables deben actuar con carácter inmediato corrigiendo la situación origen de la reclamación y analizando las causas que dieron lugar a la reclamación.

Esa actuación correctora no solo de la reclamación sino de sus propios procesos, es una concreción del principio de responsabilidad proactiva. El seguimiento y, en su caso, la apertura de expedientes de investigación sancionadores dirigidos a corregir los procesos es una concreción del principio de supervisión permanente.

A la vista del informe del responsable o su delegado de protección de datos, podrá archivarse la reclamación si la incidencia ha sido atendida por el responsable, sin perjuicio de que la AEPD, aplicando sus poderes de investigación y correctivos que ostenta, pueda llevar a cabo posteriores actuaciones relativas al tratamiento de datos referido en la reclamación.

Si se disponen de indicios racionales de la comisión de una infracción, se acordará iniciar un procedimiento sancionador.

Se pueden consultar las resoluciones de la AEPD que son publicadas en su web haciendo click AQUÍ.

 

 

¿QUIÉN PUEDE SER SANCIONADO POR INCUMPLIR LA NORMATIVA DE PROTECCIÓN DE DATOS?

Están sujetos al régimen sancionador:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas de supervisión de los códigos de conducta.

 

El régimen sancionador no será aplicable al delegado de protección de datos.

 

 

¿QUÉ SUPONE UNA INFRACCIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS?

Constituyen infracciones los actos o conductas enumeradas en la siguiente tabla, así como las que resulten contrarias a la normativa de protección de datos personales.

 

  • El tratamiento de datos que vulnere los principios de: licitud, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad y responsabilidad proactiva.
  • El tratamiento de datos sin que concurra algunas de las condiciones de licitud de tratamiento.
    • El incumplimiento de los requisitos para la validez del consentimiento.
    • Poder demostrar que se solicitó el consentimiento.
    • Que el consentimiento se solicite de forma que se distinga de los demás asuntos.
    • Solicitar el consentimiento de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
    • Que se pueda retirar el consentimiento en cualquier momento, de forma fácil.
  • El uso de datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos sin contar con el consentimiento del afectado o con una base legal para ello.
  • El tratamiento de datos de categorías especiales sin que concurra algunas de las circunstancias previstas.
  • El tratamiento de datos personales relativos a condenas o infracciones penales fuera de los supuestos permitidos.
  • El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos.
  • La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales.
  • La vulneración del deber de confidencialidad.
  • La exigencia del pago de un canon para facilitar al afectado la información necesaria sobre el tratamiento de sus datos personales al afectado.
  • El impedimento o la obstaculización o la no atención reiterada del ejercicio de derechos.
  • La transferencia internacional de datos personales a un destinatario cuando no concurran las garantías, requisitos o excepciones establecidos.
  • El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en el ejercicio de sus poderes.
  • El incumplimiento de la obligación del bloqueo de datos, cuando sea exigible.
  • No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos para el ejercicio de sus poderes de investigación.
  • La resistencia u obstaculización del ejercicio de la función inspectora por la autoridad de protección de datos competente.
  • La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

 

  • El tratamiento de datos de un menor de edad sin recabar su consentimiento cuando tenga capacidad para ello o el del titular de su patria potestad o tutela.
  • No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad.
  • El impedimento o la obstaculización o la no atención reiterada de los derechos en las que no requiere identificación del afectado cuando este, haya facilitado información adicional que permita su identificación.
  • La falta de adopción de medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño.
  • La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos de tratamiento.
  • La falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.
  • El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado.
  • El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea.
  • La falta de atención por el representante en la Unión del responsable o encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos.
  • La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas.
  • Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito que contenga la información exigida por la normativa.
  • La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
  • La infracción por un encargado de tratamiento al determinar los fines y los medios del tratamiento.
  • No disponer de un registro de actividades de tratamiento.
  • No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento.
  • No cooperar con las autoridades de control en el desempeño de sus funciones.
  • El tratamiento de datos personales sin llevar acabo una previa valoración de las obligaciones como responsable o encargado del tratamiento.
  • El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento una violación de seguridad de la que tuviera conocimiento.
  • El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales.
  • El incumplimiento del deber de comunicación al afectado de una violación de seguridad.
  • El tratamiento de datos personales sin haber llevado a cabo una evaluación de impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos que sea exigible.
  • El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta sea preceptiva o cuando la ley establezca la obligación de llevar a cabo esa consulta.
  • El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.
  • No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
  • La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en el caso de que su vigencia hubiera expirado.
  • Obtención de la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos.
  • El desempeño de funciones que que RGPD reserva a los organismos de certificación, sin haber sido debidamente acreditado.
  • El incumplimiento de un organismo de certificación de los principios y deberes a los que está sometido.
  • La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso de que se hubiera producido una infracción del código.
  • El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida.
  • No atender las solicitudes de ejercicio de derechos.
  • El incumplimiento de la obligación de notificación relativa a la ratificación o supresión de datos personales o la limitación del tratamiento exigida.
  • El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
  • El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuere exigible.
  • La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados.
  • No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsable del tratamiento.
  • La falta de incumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida.
  • El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté obligado a ello conforme a la normativa de protección de datos.
  • Disponer de un registro de actividades de tratamiento que no incorpore toda la información exigida.
  • La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales.
  • El incumplimiento de la obligación de documentar cualquier violación de seguridad.
  • El incumplimiento del deber de comunicar al afectado de una violación de seguridad de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados.
  • Facilitar información inexacta a la autoridad de protección de datos, en los supuesto en los que el responsable del tratamiento deba elevarle una consulta previa.
  • No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible.
  • El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código.

¿QUÉ SE TENDRÁ EN CUENTA A LA HORA DE SANCIONAR?

Las imposición de multas administrativas por incumplimiento de la normativa de protección de datos personales siempre deben ser efectivas, proporcionadas y disuasorias.

Se deben tener en cuenta las circunstancias de cada caso individual, al decidir la imposición de una multa y su cuantía se tendrán en cuenta:

  • La naturaleza, la gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
  • El carácter continuado de la infracción.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
  • La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no pueda imputarse a la entidad absorbente.
  • La afectación a los derechos de los menores.
  • Disponer, aunque no sea necesario, de un delegado de protección de datos.
  • El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.
  • La intencionalidad o negligencia en la infracción.
  • Cualquier medida tomadas por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
  • El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.
  • Toda infracción anterior cometida por el responsable o encargado del tratamiento.
  • El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
  • Las categorías de los datos de carácter personal afectados por la infracción.
  • La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción.
  • El cumplimiento de las medidas ordenadas por el responsable o encargado de tratamiento.
  • La adhesión a códigos de conducta.
  • Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

¿SABÍAS QUE TE PUEDEN APLICAR MEDIDAS PROVISIONALES COMO EL BLOQUEO DE DATOS?

En circunstancias excepcionales, cuando la autoridad de control considere que es urgente intervenir para proteger los derechos y libertades de interesados, puede excepcionalmente, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio.

Estas medidas tendrían un periodo de validez determinado, nunca superior a 3 meses y podrán convertirse en medidas definitivas cuando la autoridad de control lo considere solicitando con carácter urgente un dictamen al comité.

La finalidad de esta medidas preventivas es anticiparse a la decisión definitiva, atendiendo a las circunstancias de cada cada caso con el fin de garantizar el cumplimiento de la misma una vez que se dicte.

Estas medidas provisionales deberán ser siempre motivadas, necesarias y proporcionadas para salvaguardar el derecho fundamental de la protección de datos y podrán consistir en el bloqueo de datos y su cesación de tratamiento y, en caso de incumplirse por estos mismos mandatos, proceder a su inmovilización.

RIESGO DE CONTRATAR LOS SERVICIOS DE ADECUACIÓN A LA NORMATIVA A COSTE CERO

La Agencia Española de Protección de datos (AEPD) publicó hace poco un documento informativo en el que alerta de los riesgos de contratar los servicios de adecuación a la normativa de protección de datos a empresas que la ofrecen a coste cero.

La adecuación de la normativa de protección de datos a coste cero consiste en ofertar estos servicios a un precio muy bajo o incluso de forma gratuita, abonando el pago de estos mediante los fondos de la empresa destinados a programas de formación para trabajadores, que son objeto de bonificación por parte de la Seguridad Social.

La contratación del servicio de adecuación a la normativa de protección de datos a coste cero, financiada con cargo a fondos públicos a través de bonificaciones en las cuotas de la Seguridad Social para la formación profesional para el empleo, puede derivar en infracciones que se pueden llegar a sancionar por la Inspección de Trabajo y Seguridad Social, con multas de 626 euros a 187.515 euros sin perjuicio de considerar, en cada caso, una infracción por cada empresa y por cada acción formativa, la solidaridad de los distintos sujetos intervinientes en la organización y ejecución de la formación en la devolución de las cantidades indebidamente obtenidas y las sanciones accesorias que en caso procedan.

¿CUALES SON LAS SANCIONES MÁXIMAS POR INCUMPLIR LA NORMATIVA DE PROTECCIÓN DE DATOS?

Las infracciones de las disposiciones recogidas en el artículo 83.4 del RGPD se pueden sancionar con multas administrativas de 10 millones de euros como máximo o una cuantía equivalente al 2% del máximo de volumen de negocio total del ejercicio financiero anterior, optándose por la mayor cuantía.

Las infracciones de las disposiciones recogidas en el artículo 83.5 del RGPD se pueden sancionar con multas administrativas de 20 millones de euros como máximo, o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose también por la de mayor cuantía.

 

Si te ha resultado interesante el artículo síguenos en redes sociales…

Suscríbete a NEWS

1 + 8 =

¿Qué es la protección de datos personales?

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS Twitter LinkedIn Youtube Enero 2019                                                                               Tiempo de lectura: 4 min LA PROTECCIÓN DE DATOS ES UN DERECHO   El derecho...

leer más

CÓMO HACER COPIAS DE SEGURIDAD SEGURAS

SEGURIDAD, PRIVACIDAD Y PROTECCIÓN DE DATOS 01/04/2019                                                                          Tiempo de lectura: 4 min LinkedIn Facebook Twitter Youtube Muchas organizaciones todavía no realizan copias de...

leer más

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Para poder continuar utilizándolas es necesario su consentimiento y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies