Inicio
Temas
Régimen sancionador en la LO 3/2018 de protección de datos (LOPDGDD) y en el Reg...ción de Datos (RGPD)
Inicio
Temas
Régimen sancionador en la...tos (RGPD)
Ver Indice
»

Última revisión

Régimen sancionador en la LO 3/2018 de protección de datos (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

Tiempo de lectura: 4 min

Relacionados:

Estado: VIGENTE

Orden: administrativo

Fecha última revisión: 21/07/2021

Tiempo de lectura: 4 min

Partiendo de los artículos 83 y 84 del RGPD, el título IX de la LOPDGDD recoge el régimen sancionador en materia de protección de datos, determinando los sujetos responsables, los tipos de infracciones, su prescripción y las sanciones aplicables.

 

El procedimiento sancionador por incumplimiento de la normativa de protección de datos

El considerando (148) del RGPD indica que el régimen o sistema de infracciones debe configurarse como un sistema de refuerzo en la aplicación de las normas del RGPD. Así, cualquier infracción debe ser castigada con sanciones, incluidas multas administrativas. «(...) Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías».

Asimismo, el RGPD (considerando 150) señala que con el fin de ampliar y reforzar las sanciones administrativas por infracción del RGPD, cada autoridad de control debe estar facultada para imponer multas administrativas. Es el artículo 83 del RGPD el que apunta las condiciones generales para la imposición de las multas, el límite y los criterios para su fijación. En este sentido, el primer apartado del mencionado artículo establece: «Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias».

Partiendo de lo anterior, la LOPDGDD, a lo largo de su título IX, «procede a describir las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones. La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea. La ley orgánica regula los supuestos de interrupción de la prescripción partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos», tal y como dispone la mencionada ley en su propio preámbulo. 

Regulación del procedimiento sancionador en la LOPDGDD

Así se configura el título IX, bajo la rúbrica «Régimen sancionador», presentando carácter de ley ordinaria (como se indica en el D.F. 1ª de la LOPDGDD) y siguiendo el siguiente esquema en cuanto a regulación:

TÍTULO IX  «Régimen sancionador»

Art. 70. Sujetos responsables.

Art. 71. Infracciones.

Art. 72. Infracciones consideradas muy graves.

Art. 73. Infracciones consideradas graves.

Art. 74. Infracciones consideradas leves.

Art. 75. Interrupción de la prescripción de la infracción.

Art. 76. Sanciones y medidas correctivas.

Art. 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.

Art. 78. Prescripción de las sanciones.

Sujetos responsables en el régimen sancionador en protección de datos

Conforme al artículo 70 de la LOPDGDD, están sujetos al régimen sancionador:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos. 
  • Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea. 
  • Las entidades de certificación. 
  • Las entidades acreditadas de supervisión de los códigos de conducta.

Y no están sujetos, los delegados de protección de datos

Clasificación de las sanciones previstas en la LOPDGDD

De manera sucinta, debemos saber que las infracciones se dividen en:

  • Leves:
    • Se regulan en el art. 74 de la LOPDGDD.
    • Son aquellas de carácter meramente formal.
    • Prescriben al año.
  • Graves:
    • Se regulan en el art. 73 de la LOPDGDD.
    • Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el art. 83, apartado 4, del RGPD y en el art. 73 de la LOPDGDD
    • Prescriben a los dos años.
  • Muy graves:
    • Se regulan en el art. 72 de la LOPDGDD.
    • Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el art. 83, apartado 5, del RGPD y en el art. 72 de la LOPDGDD
    • Prescriben a los tres años.