Última revisión

Texto

Infracciones en materia de protección de datos (LOPDGDD y RGPD)

Tiempo de lectura: 27 min

Tema

Relacionados:

Voces

Jurisprudencia

Prácticos

Formularios

Resoluciones

Temas

Orden: administrativo

Fecha última revisión: 09/05/2023

Tiempo de lectura: 27 min

Las infracciones se recogen de manera sucinta en el artículo 83 del RGPD y, de un modo más específico, en los artículos 71 a 74 de la LOPDGDD.

Conductas infractoras en materia de protección de datos

Como recoge el artículo 71 de la LOPDGDD, constituyen infracciones los actos y conductas a los que se refieren los apartados 4, 5 y 6 del artículo 83 del RGPD, así como las que resulten contrarias a la LOPDGDD. Por tanto, acudiendo al precepto indicado del RGPD se considerarán infracciones, con sus particularidades:

El incumplimiento de las obligaciones de los sujetos responsables:
- Las obligaciones del responsable y del encargado en cuanto a:
  - Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información (art. 8 del RGPD).
  - Tratamientos que no requieren identificación (art. 11 del RGPD).
  - La aplicación de medidas técnicas y organizativas adecuadas desde el diseño y por defecto (art. 25 del RGPD).
  - Corresponsabilidad y representación en el tratamiento de los datos (arts. 26 y 27 del RGPD).
  - El ejercicio de sus funciones impuestas por los arts. 28 y 29 del RGPD.
  - El registro de las actividades de tratamiento (art. 30 del RGPD).
  - La cooperación con la autoridad de control (art. 31 del RGPD).
  - Las medidas para garantizar un nivel de seguridad adecuado (art. 32 a 34 del RGPD).
  - La evaluación de impacto (arts. 35 y 36 del RGPD).
  - La designación del delegado de protección de datos y la colaboración con el mismo. (arts. 37 a 39 del RGPD).
  - Las obligaciones respecto a la certificación del cumplimiento en protección de datos (arts. 42 y 43 del RGPD).
- Las obligaciones de los organismos de certificación, de las recogidas en los artículos 42 y 43 del RGPD.
- Las obligaciones del organismo de supervisión a tenor del artículo 41, apartado 4, del RGPD, esto es, cuando un responsable o encargado del tratamiento infringe el código de conducta.
La infracción de los principios y derechos:
- Vulneración de los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, a tenor de:
  - Los principios relativos al tratamiento (art. 5 del RGPD)
  - La licitud del tratamiento (art. 6 del RGPD).
  - El consentimiento del interesado (art. 7 del RGPD).
  - El tratamiento de categorías especiales de datos, es decir, datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física (art. 9 del RGPD).
- Vulneración de los derechos del interesado:
  - Transparencia de la información y comunicación en el ejercicio de los derechos del interesado (arts. 12 a 14 del RGPD).
  - Derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición (arts. 15 a 21 del RGPD).
  - Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 del RGPD).
- Realizar transferencias de datos personales a un destinatario en un tercer país o una organización internacional, sin cumplir las normas recogidas en los artículos 44 a 49 del RGPD.
- Toda obligación en virtud del derecho de los Estados miembros que se adopte con arreglo al capítulo IX del RGPD:
  - Libertad de expresión e información.
  - Acceso del público a documentos oficiales.
  - Tratamiento del número nacional de identificación.
  - Tratamiento en el ámbito laboral, en particular, a efectos de contratación, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad, bienes de los empleados, etc.
  - Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
  - Obligaciones de secreto profesional.
  - Protección de datos de iglesias y asociaciones religiosas.
- Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1, del RGPD.
Incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, del RGPD.

CUESTIÓN

¿Son lo mismo las conductas infractoras que las prácticas agresivas en materia de tratamiento de datos personales?

No, no se trata del mismo comportamiento. La D.A. 16.ª de la LOPDGDD determina respecto a las prácticas agresivas que, a los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, estas se constituyen por:

- Actuar con intención de suplantar la identidad de la AEPD o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.

- Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.

- Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.

- Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

- Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la AEPD o las autoridades autonómicas de protección de datos.

Infracciones muy graves por incumplimiento de la normativa de protección de datos

Haciendo un análisis del artículo 72 de la LOPDGDD, debe destacarse al respecto que:

1. Regula las infracciones muy graves.

2. Las infracciones muy graves prescriben a los 3 años de cometer la infracción.

3. Se encajan como muy graves la vulneración sustancial de:

- Las infracciones del artículo 83, apartado 5 del RGPD, mencionados anteriormente y que vienen a ser las relativas a:

• Vulneración de principios básicos para el tratamiento de datos.

• Vulneración de derechos de los interesados.

• Transferencia de datos personales a un destinatario de un tercer país u organización internacional.

• Incumplimiento de cualquier obligación en virtud del derecho de los Estados miembros que se adopten con arreglo al capítulo IX, es decir, respecto a situaciones específicas de tratamiento.

• Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control.

- El tratamiento de datos personales vulnerando los principios y garantías del artículo 5 del RGPD:

• Licitud, lealtad y transparencia.

• Minimización de los datos, es decir, los datos deben ser adecuados, pertinentes y limitados en relación a los fines para los que son tratados.

• Exactitud, se requiere que los datos sean exactos, y en su caso, estén actualizados.

• Limitación del tiempo de conservación.

• Integridad y confidencialidad.

- El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento que recoge el artículo 6 del RGPD:

• Consentimiento del interesado.

• Necesidad para la ejecución de un contrato o cumplimiento legal aplicable al responsable del tratamiento.

• Necesidad para proteger intereses vitales del interesado u otra persona física.

• Necesidad para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

• Necesidad para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero siempre que no prevalezcan sobre los del interesado. A este respecto, a título ilustrativo, puede citarse la resolución del Alto Tribunal, STS n.º 1460/2020, de 5 de noviembre, ECLI:ES:TS:2020:3609, que razona que ha de darse una ponderación entre el interés legítimo de quien trata los datos y los intereses y derechos del interesado. Si de esa ponderación resulta que el interés legítimo del responsable debe prevalecer, esta causa y tratamiento de datos sí tendrá justificación legal:

«La norma comunitaria establece, entre otras, una nueva base legitimadora general que permite el tratamiento de datos personales: el interés legítimo. No se escapa, sin embargo, la circunstancia de que la apreciación de dicho interés requiere la realización, caso por caso, de una ponderación entre el interés legítimo de quien trata los datos y los intereses, derechos y libertades del interesado, en los términos que menciona el reproducido precepto. Sólo cuando de la ponderación se concluya que aquellos intereses prevalecen sobre estos, el tratamiento de los datos podrá basarse en esta causa legitimadora».

A mayor abundamiento sobre este punto concreto, pueden consultarse también las SSTS n.º 1459/2020, de 5 de noviembre, ECLI:ES:TS:2020:3583 o n.º 1562/2020, de 19 de noviembre, ECLI:ES:TS:2020:3891.

- El incumplimiento de los requisitos de validez del consentimiento establecidos en el artículo 7 del RGPD.

- El tratamiento de datos personales para fines distintos a los que fueron recogidos, sin consentimiento del afectado ni base legal para ello.

- El tratamiento de datos personales de las categorías del artículo 9 del RGPD (que revelen el origen étnico o racial, opiniones públicas, las convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos o relativos a la salud, actividad sexual u orientación sexual de la persona), sin que concurra alguna de las circunstancias previstas en el citado precepto o en el art. 9 de la LOPDGDD:

• En algunos casos, cuando el interesado preste su consentimiento para un fin específico. Esto no bastará para levantar la prohibición de tratar datos cuya finalidad sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencia u origen racial o étnico.

• Cuando el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito de derecho laboral y de seguridad y protección social.

• Cuando el tratamiento sea necesario para proteger intereses vitales del interesado cuando sea una persona que no pueda dar su consentimiento porque esté incapacitado físicamente o porque necesite una medida de apoyo judicial.

• Cuando el tratamiento sea efectuado por una fundación, asociación u organismo sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical, siempre en el ámbito de sus actividades legítimas y respecto a sus propios miembros.

• El tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

• El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en la esfera de su función judicial.

• El tratamiento sea necesario por razones de interés público esencial, siempre que el objetivo perseguido sea proporcional al respeto al derecho a la protección de datos. El tratamiento de estos datos deberá estar amparado en una norma con rango de ley.

• El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, es decir, el tratamiento se podrá amparar en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social. El tratamiento de estos datos deberá estar amparado en una norma con rango de ley.

• El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. El tratamiento de estos datos deberá estar amparado en una norma con rango de ley.

• El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Este tratamiento debe ser proporcional al objetivo perseguido.

- El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas que no se encajen en las permitidas en el artículo 10 del RGPD, esto es, que el tratamiento se dé bajo la supervisión de las autoridades públicas o por amparo del derecho de la UE o de los Estados miembros, garantizando en todo caso los derechos y libertades de los afectados.

- El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de la LOPDGDD, es decir, que los responsables del tratamiento sean órganos competentes para la instrucción del procedimiento o sean llevados a cabo por abogados y procuradores en el ejercicio de sus funciones hacia el cliente.

- La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del RGPD (transparencia e información) y 12 de la LOPDGDD.

- La vulneración del deber de confidencialidad establecido en el artículo 5 de la LOPDGDD y que complementa al deber del secreto profesional.

- La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del RGPD, fuera de los supuestos establecidos en su artículo 12, apartado 5, del citado reglamento, siendo estos cuando las solicitudes sean manifiestamente infundadas o excesivas (muy repetitivas). Si fuere el caso, se podrá cobrar un canon en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.

- El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD (derecho de acceso, rectificación y supresión, limitación notificación, portabilidad, oposición, etc.). Entra en concordancia con esta infracción lo dispuesto en el artículo 74, letra c) de la LOPDGDD, que tipifica como infracción leve no atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, salvo que deba aplicarse lo recogido en la línea anterior.

- La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del RGPD.

- El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58, apartado 2, del RGPD.

- El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de la LOPDGDD.

- No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.

- La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

- La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

- Las infracciones a las que se refiere el artículo 83, apartado 6, del RGPD, es decir, el incumplimiento de las resoluciones de la autoridad de control que dicte en aras de sus poderes correctivos que le reconoce el artículo 58, apartado 2, del RGPD (advertir o apercibir, ordenar o imponer límites, multas, retirada de certificaciones, etc. a los responsables o encargados de tratamiento de datos).

A TENER EN CUENTA. La LOPDGDD dispone en su artículo 77, apartado 2, que cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del RGPD. (Este apartado se ha visto modificado por la publicación de la Ley 11/2023, de 8 de mayo, con entrada en vigor el 10/05/2023).

Infracciones graves por incumplimiento de la normativa de protección de datos

El artículo 73 de la LOPDGDD establece lo siguiente:

1. Regula las infracciones consideradas graves.

2. Estas infracciones prescriben a los dos años.

3. Se encajan como grave la vulneración sustancial de:

- Las infracciones del artículo 83, apartado 4, del RGPD, es decir, aquellas conductas citadas anteriormente respecto a las obligaciones de los responsables y encargados (arts. 8, 11, 25 a 39 y 42 y 43 del RGPD), los organismos de certificación (arts. 42 y 43 del RGPD) y de supervisión (art. 41 del RGPD).

- El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del RGPD (la edad marcada por las leyes estatales a estos efectos como minoría de edad, nunca podrá ser inferior a los 13 años).

- No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8, apartado 2, del RGPD (este precepto ordena que el responsable del tratamiento debe hacer el esfuerzo de verificar que el consentimiento fue dado o autorizado por tales sujetos, teniendo en cuenta la tecnología disponible).

- El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

A TENER EN CUENTA. Este precepto entra en concordancia con esta infracción lo dispuesto en el artículo 74, letra d) de la LOPDGDD, que tipifica como infracción leve no atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que fuese susceptible de ser calificado como infracción grave.

- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del RGPD.

- La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25, apartado 2, del RGPD.

- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32, apartado 1 del RGPD: seudonimización y cifrado de datos, garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente en los sistemas y servicios de tratamiento, capacidad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida, así como procesos de verificación, evaluación y valoración de medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

- El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32, apartado 1, del RGPD.

- El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la UE, conforme a lo previsto en el artículo 27 del RGPD.

- La falta de atención por el representante en la Unión, del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

- La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el capítulo IV del RGPD (que se rubrica bajo el título «Responsable del tratamiento y encargado del tratamiento»).

- Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28, apartado 3, del RGPD.

- La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

- La infracción por un encargado del tratamiento de lo dispuesto en el RGPD y LOPDGDD, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28, apartado 10, del RGPD, que considera responsable del tratamiento al encargado que infrinja el citado reglamento bajo las conductas descritas anteriormente.

- No disponer del registro de actividades de tratamiento establecido en el artículo 30 del RGPD.

- No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, como así lo ordena el artículo 30, apartado 4, del artículo 30 del RGPD.

- No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.

- El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de la LOPDGDD.

- El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

- El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del RGPD.

- El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 34 del RGPD, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación. Entra en concordancia con esta infracción lo dispuesto en el artículo 74, letra ñ) de la LOPDGDD, que tipifica como infracción leve el incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del RGPD, salvo que resulte de aplicación lo previsto en el párrafo anterior.

- El tratamiento de datos personales sin haber llevado a cabo la EIPD en los supuestos en que la misma sea exigible.

- El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del RGPD o cuando la ley establezca la obligación de llevar a cabo esa consulta.

- El incumplimiento de la obligación de designar un DPD cuando sea exigible su nombramiento de acuerdo con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.

- No posibilitar la efectiva participación del DPD en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

- La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.

- Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del RGPD.

- El desempeño de funciones que el RGPD reserva a los organismos de certificación, sin haber sido debidamente acreditado conforme a lo establecido en el artículo 39 de la LOPDGDD.

- El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en los artículos 42 y 43 del RGPD.

- El desempeño de funciones que el artículo 41 del RGPD reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.

- La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso de que se hubiera producido una infracción del código, conforme exige el artículo 41, apartado 4, del RGPD.

Infracciones leves por incumplimiento de la normativa de protección de datos

En el artículo 74 de la LOPDGDD, se establece lo siguiente:

1. Se regulan las infracciones consideradas leves.

2. Estas infracciones prescriben al año.

3. Se encajan como leves las infracciones de carácter meramente formal de:

- El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 RGPD relativa a datos personales y su obtención.

- La exigencia del pago de un canon para facilitar al afectado la información citada en el párrafo anterior o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del RGPD (derecho de acceso del interesado, rectificación y supresión y derecho de oposición y decisiones individuales automatizas), cuando así lo permita su artículo 12, apartado 5, del RGPD, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.

- No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, salvo que resultase de aplicación lo dispuesto en el artículo 72, apartado 1, letra k), de la LOPDGDD (para su calificación como infracción muy grave).

- No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73, letra c), de la LOPDGDD (que lo califica como infracción grave).

- El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo 19 del RGPD.

- El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.

- El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de la LOPDGDD (con la excepción de que fuese prohibido por el causante).

- La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del RGPD o la inexactitud en la determinación de las mismas.

- No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26, apartado 2, del RGPD.

- La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD o de la LOPDGDD, conforme a lo exigido por el artículo 28, apartado 3, letra a), del RGPD.

- El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme al RGPD y a la LOPDGDD, o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.

- Disponer de un registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del RGPD.

- La notificación incompleta, tardía o defectuosa, por parte del responsable del tratamiento, a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del RGPD (que establece que se hará sin dilación indebida, a más tardar 72 horas después de tener constancia de la violación de seguridad).

- El incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33, apartado 5, del RGPD.

- El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del RGPD, salvo que resulte de aplicación lo previsto en el artículo 73, letra s), de la LOPDGDD (que puede calificarlo como infracción grave).

- Facilitar información inexacta a la autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artículo 36 del RGPD.

- No publicar los datos de contacto del DPD, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.

- El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación, conforme a lo exigido por los apartados 1 y 5 del artículo 43 del RGPD.

- El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código, conforme exige el artículo 41, apartado 4, del RGPD.

CUESTIÓN

¿Es posible que la AEPD inadmita una reclamación a pesar de que tuviera conocimiento de la comisión de una infracción leve?

Editorial Colex, S.L.

3.65€

3.47€

+ Información