Tipos de Infracciones de la RGPD y sanciones

,
infracciones rgpd y sanciones

Las sanciones por infracciones de la RGPD están en el orden del día. En el post de hoy hablamos de los tipos de infracciones y sus sanciones. Mantente informado delRégimen Sancionador con la aprobación de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales 3/2018 de 5 de Diciembre.

El Reglamento General de Protección de Datos (“RGPD”) impone sanciones en función de las infracciones tipificadas en el propio RGPD, y enumera una serie de factores que se podrán tener en cuenta como agravantes o atenuantes en función de las circunstancias del caso (art. 83.2 del RGPD).

La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales  “LOPD-GDD”, añade nuevos factores o circunstancias a los criterios de graduación ya previstos en el RGPD, de cara a la cuantificación, en su caso, de una posible sanción.

Tipos de infracciones de la RGPD

La nueva LOPD-GDD también recoge un listado no exhaustivo de conductas que se consideran constitutivas de infracciones del RGPD, dividiéndolas en tres categorías: leves, graves y muy graves, tipificando las infracciones.

Infracciones Graves

 Art 73

Infracciones Graves

 Art 73

Infracciones Muy Graves

Art 72

 

-Incumplir el deber de transparencia.

 

-No atender las solicitudes de ejercicio de los derechos.

 

– Incumplimiento de la obligación de informar, los destinatarios a quienes se hayan comunicado datos personales.

– No publicar los datos de contacto del DPO, cuando  su nombramiento sea exigible.

– Disponer de un Registro de actividades que no incorpore toda la información exigida.

 

 

-Tratar Datos de un menor sin recabar el consentimiento.

 

-Obstaculizar el ejercicio de derechos del interesado.

 

-Falta de adopción de medidas técnicas y organizativas para el tratamiento de datos.

 

-Contratar a un Encargado de tratamiento que no ofrezca las garantías adecuadas.

 

-No formalizar Contratos de tratamientos de datos con proveedores que accedan a datos.

 

-Incumplir la notificación de una violación de seguridad a AEPD

 

-Que no se expresen los fines del tratamiento.

 

-Falta de consentimiento válido.

 

-Tratar los datos de forma ilícita.

 

Tratar los datos sin base legal suficiente.

 

-Tratamientos de datos sensibles sin consentimiento explicito.

 

-Obstaculizar las tareas de control de las autoridades.

ENLACES DE INTERÉS: Puede que también te interese consultar nuestro post sobre “Recomendaciones sobre protección de datos personales en Apps para dispositivos móviles” o “Tratamientos que no requieren Evaluación de Impacto de Protección de Datos (EIPD)

Otros tipos de infracciones de la RGPD

Se mantienen las sanciones con multas administrativas de hasta de 20.000.000€ como máximo o, el 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Por otra parte, la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS) tipifica como infracción administrativa muy grave “Los actos del empresario que fueren contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores”. Los procedimientos sancionadores en el orden social podrían dirigirse contra las empresas y tendrán la consideración de Infracciones muy graves: multas desde 6.251 y hasta 187.515 euros (art. 40.1.c, LISOS)

Ejemplo: una trabajadora sometida a una posible situación de acoso sexual lo pone en conocimiento de la dirección de recursos humanos de la empresa. A pesar de la alerta recibida, la empresa no adopta ninguna medida de protección y prevención, y en particular no activa el protocolo de acoso o procedimiento específico para la tramitación de las denuncias y reclamaciones recibidas (artículo 48 de la Ley Orgánica 3/2007, para la igualdad efectiva de mujeres y hombres y art. 8.13 LISOS).

De igual forma, cualquier acción u omisión del empresario en materia de Prevención de riesgos laborales que cause un daño a los trabajadores puede ser constitutivo de infracción; bien por no haber evaluado el riesgo laboral adecuadamente, incluidos los denominados riesgos psicosociales, o por no haber desarrollado la adopción de medidas de prevención adecuadas, o por no haber realizado una vigilancia de la salud adecuada, tendrán la consideración de Infracciones graves: multa desde 626 a 6.250 euros (art. 40.1.b, LISOS)

Ejemplo: una empresa cuenta con una evaluación de riesgos no revisada desde hace tres años. En los últimos meses se han producido bajas reiteradas de trabajadores de un mismo departamento, que son objeto de burlas a través de un chat de trabajadores de la empresa. En dicho chat se filtran conversaciones privadas y fotografías. La empresa, siendo conocedora de la situación, no realiza una revisión de la evaluación de riesgos psicosociales, dando por válida de evaluación inicial. Como consecuencia también de la ausencia de una evaluación actualizada, la empresa tampoco adopta las medidas preventivas necesarias.

La difusión de datos especialmente sensibles de una persona física (en contenidos tales como imágenes, audios o vídeos de carácter sexual o violento que permitan identificarla), publicados en diferentes servicios de internet sin consentimiento se considera un tratamiento ilícito de datos personales conforme al Reglamento 2016/679 General de Protección de Datos (RGPD).

La Agencia Española de Protección de Datos es competente para investigar este tipo de actuaciones, y si se determina que se ha infringido la Ley, para incoar el correspondiente procedimiento sancionador contra quienes lo han difundido o han contribuido a la difusión. Infringe el RGPD y la LOPDGDD (Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales) quien obtuvo ilícitamente los datos (imágenes, vídeos, audios u otros contenidos) o quien, sin haberlos obtenido, los difundió (es decir, quien los reenvió, publicó en internet) sin consentimiento.

Estas conductas se pueden sancionar con multas que en los casos más graves pueden alcanzar los 20 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.