Régimen sancionador en la LO 3/2018 de protección de datos (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 22/01/2019

La norma europea contempla multas administrativas muy elevadas (que pueden alcanzar los 10 y los 20 millones de euros) si bien no es demasiado concisa en cuanto a los supuestos y las cantidades que se debían aplicar. La nueva LOPD, por contra, ha sido mucho más exhaustiva, manteniendo la clasificación antigua (infracciones leves, graves y muy graves) e indicando los supuestos particulares contenidos en cada tipo de infracción.

       Como decíamos, el RGPD no ha sido demasiado conciso en cuanto a las actuaciones que pueden suponer la imposición de sanciones económicas y las cantidades a aplicar a cada infracción, si bien en el Considerando 148 indica que "A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías".

La norma europea en su artículo 83 establece las condiciones generales para la imposición de multas administrativas, el límite máximo y los criterios para fijar las multas administrativas, que la autoridad de control competente deberá determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular: a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción, así como la intencionalidad o negligencia en la infracción. Si las multas administrativas se imponen a personas que no son una empresa, la autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la multa el nivel general de ingresos prevaleciente en el Estado miembro así como la situación económica de la persona.

Además la imposición de las multas administrativas por cada autoridad de control garantizará, en cada caso individual, que sean efectivas, proporcionadas y disuasorias.

 

      La nueva LOPDGDD ha sido mucho más precisa y clara con respecto al régimen sancionador estableciendo los hechos constitutivos de infracciones y las sanciones, así como los plazos de prescripción de ambas, y los sujetos responsables en el Título IX de la norma. Téngase en cuenta que NO será de aplicación este régimen sancionador al Delegado de protección de datos, estando únicamente sujetos al mismo:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.

c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.

d) Las entidades de certificación.

e) Las entidades acreditadas de supervisión de los códigos de conducta.

Las infracciones se dividen, al igual que en la antigua regulación, en: Muy graves (art. 72), Graves (art. 73) y Leves (art. 74)  y prescribirán a los 3, 2 y 1 años respectivamente, si bien la iniciación del procedimiento sancionador, con conocimiento del interesado, interrumpirá la prescripción, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. A modo de resumen:

- Las infracciones muy graves son aquellas que suponen una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.5 del RGPD, y que tienen que ver con el uso de los datos para una finalidad diferente de la indicada, la omisión del deber de informar al interesado, la exigencia de un pago para poder acceder a los datos propios almacenados, la realización de transferencias internacionales sin garantía, o por ejemplo, entre muchas otras conductas, la vulneración del deber de confidencualidad del artículo 5 de la LOPDGDD.

- Las infracciones graves son aquellas que supongan una vulneración sustancial del tratamiento, en función de lo establecido en el art. 83.4 del RGPD, y que tengan que ver con datos de un menores recabados sin consentimiento, falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos o, por ejemplo, entre muchas otras, la contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas.

- Las infracciones leves son aquellas de carácter meramente formal, es decir, el resto de infracciones que no estén contempladas en las dos anteriores, y entre ellas podemos encontrar supuestos tales como la no transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por el RGPD, la exigencia del pago de un canon para facilitar al afectado la información obligatoria, disponer de un registro de actividades incompleto o, por ejemplo, entre muchas otras, no publicar los datos de contacto del Delegado de protección de datos cuando su nombramiento sea exigible.

Asi mismo, en cuanto a las sanciones, se establecen plazos de prescripción en base al importe de la misma. Dichos plazos comenzarán a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

 

Se analizarán más a fondo las infracciones y sanciones en los temas correspondientes.

No hay versiones para este comentario

Multa administrativa
Autoridad de control de datos
Protección de datos
Código de conducta
Plazo de prescripción
Persona física
Daños y perjuicios
Agravante
Atenuante
Derecho a la tutela judicial efectiva
Cumplimiento de las obligaciones
Delegado de protección
Expediente sancionador
Procedimiento sancionador
Omisión
Falta de consentimiento
Sin consentimiento
Responsable del tratamiento
Derecho de información

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Incluídos en este concepto

Documentos relacionados
Ver más documentos relacionados
  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Sanciones y medidas correctivas en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 28/01/2019

    El artículo 84 del RGPD en cuanto a las sanciones establece que serán los Estados miembros los que establecerán las normas en materia de otras sanciones que no sean las multas administrativas del artículo 83.Como indicamos, el artículo 84 del RG...

  • Funciones y potestades de la Agencia Española de Protección de Datos (AEPD)

    Orden: Administrativo Fecha última revisión: 12/02/2019

    Tal y como indica el artículo 47 de la LOPDGDD, "corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del RGPD y, en particular, ejercer las funciones establecidas en el artículo 57 y las pote...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Deber de consulta previa en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    El responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos en virtud del Art. 35 RGPD, muestre que el tratamiento entrañaría un alto riesgo si el ...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados