Gobierno aprueba nuevas sanciones en protección de datos

En el nuevo decreto se aprueban sanciones en protección de datos multimillonarias por infracciones del nuevo reglamento, se fijan multas de un máximo de 20 millones de euros o en su defecto el 4% de la facturación anual de la compañía

 

El pasado 27 de julio, el Gobierno aprobó el Real Decreto-Ley 5/2018, en el que se introducen importantes novedades del derecho sancionador en materia de protección de datos. En este se estipulan nuevos plazos de prescripción o sanciones y también establece cual es el personal competente para ejecutar las labores de investigación concretadas en el Reglamento General de Protección de Datos.

El RGPD fue aprobado el 27 de abril de 2016 y entró en vigor el pasado 25 de mayo, y aunque es una normativa aplicable en España, lo que busca el Gobierno con este decreto de urgencia es adaptar el derecho español a este nuevo reglamento de la UE, mientras sale a la luz la nueva ley orgánica española de protección de datos, que se estima sea para finales de año.

Lo más importante de las novedades del Real Decreto es la regulación de aspectos que tienen que ver con el derecho sancionador que no aparecen en el RGPD. En este decreto se contemplan sanciones de un máximo de 20 millones de euros o hasta de un 4% de la facturación global de la compañía (reemplazando las antiguas sanciones en protección de datos de la LOPD 1999) y se definen los siguientes plazos de prescripción: sanciones inferiores a los 40 mil euros tendrán un plazo de un año, las que van entre 40.001 a 300.000 dos años y las que superan los 300.000 euros tres años.

Para una mejor comprensión, se han elaborado estas tablas donde se conjugan ambas normas que permiten facilitar los aspectos esenciales del régimen sancionador: responsables, tipo de infractor, sanción y plazos.

Tipo de infractor Responsable Sanción Infracción
Arts. 8,11, 25 a 39, 42 y 43 del RGPD Responsable o encargado del tratamiento Multa de hasta 10.000.000 euros o en caso de empresas hasta un 2% del volumen de negocio total anual  2 años
Arts. 42 y 43 del RGPD Organismos de certificación Multa de hasta 10.000.000 euros o en caso de empresas hasta un 2% del volumen de negocio total anual 2 años
Art 414 del RGPD Autoridad de control Multa de hasta 10.000.000 euros o en caso de empresas hasta un 2% del volumen de negocio total anual 2 años
Incumplimiento de los principios básicos para el tratamiento, icluidad las condiciones para el consentimiento a tenor de los Arts. 5, 6, 7 y 9 del RGPD Responsable del tratamiento Multa de hasta 20.000.000 de euros o en el caso de empresas hasta de un 4% del volumen de negocio total anual global 3 años
Incumplimiento de los derechos interesados a tenor de los arts. 12 a 22 del RGPD Responsable del tratamiento Multa de hasta 20.000.000 de euros o en el caso de empresas hasta de un 4% del volumen de negocio total anual global 3 años
Incumplimiento de disposiciones sobre transferencias internacionales de datos a tenero de los arts. 44 a 49 del RGPD Responsable y encargado del tratamiento Multa de hasta 20.000.000 de euros o en el caso de empresas hasta de un 4% del volumen de negocio total anual global 3 años
Incumplimiento de disposiciones adoptadas por los Estados sobre tratamientos específicos (libertad de expresión, en ámbito laboral, documentos oficiales…) previstos en arts. 85 a 91 del RGPD Responsable o encargado del tratamiento Multa de hasta 20.000.000 de euros o en el caso de empresas hasta de un 4% del volumen de negocio total anual global 3 años
Incumplimiento del deber de facilitar el acceso a la autoridad de control, conforme al art. 58.1 del RGPD Responsable o encargado del tratamiento Multa de hasta 20.000.000 de euros o en el caso de empresas hasta de un 4% del volumen de negocio total anual global 3 años
Incumplimiento de resoluciones del la autoridad de control a tenor del art. 58.2 del RGPD Responsable o encargado del tratamiento Multa de hasta 20.000.000 de euros o en el caso de empresas hasta de un 4% del volumen de negocio total anual global 3 años

 

 

Circunstancias para la concreción de sanciones en Protección de Datos:

  • Naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate asi como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
  • Intencionalidad o negligencia de la infracción.
  • Medidas tomadas para paliar los daños y perjuicios sufridos por los interesados.
  • Grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado.
  • Infracciones anteriores cometidas por el responsable o el encargado del tratamiento.
  • Grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos.
  • Categorías de los datos afectados por la infracción.
  • Notificación de la infracción por el propio responsable o el encargado y en qué medida.
  • Cumplimiento de las medidas previamente dictadas por la autoridad de control.
  • Adhesión a códigos de conducta o a mecanismos de certificación.
  • Beneficios obtenidos o perdidas evitadas a través de la infracción
  • Cualquier otro factor agravante o atenuante.