Adecuación e Implantación RGPD-LSSICE 

 

 

 

 

 

¿Qué es la Protección de Datos?

 

 

Cuando hablamos de protección de datos, lo primero que se nos viene a la cabeza es la obtención y la gestión de los datos personales de los particulares por parte de cualquier empresa o entidad, los derechos de aquellos y todas las obligaciones que estas deben cumplir para garantizar todos los preceptos establecidos en la normativa.

 

 

Sin embargo, muchas veces se ignora cuáles son las repercusiones de no cumplir con los preceptos legales en materia de protección de datos y qué implicaciones conlleva para las mencionadas empresas o entidades que se desvíen en el tratamiento de los datos de carácter personal.

 

 

A nivel empresarial, se trata de uno de los puntos más relevantes puesto que, del mismo, podrían derivar diferentes consecuencias negativas y gravosas a estas empresas o entidades, por lo que es importante que conozcan y respeten los preceptos legales que les son aplicables con el fin de evitar sorpresas desagradables y, lo que es aún peor, muy costosas para ellas.

 

 

En este sentido y con respecto a nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) endurece el régimen sancionador aplicable no sólo a los responsables del tratamiento de los datos de carácter personal, sino también a los encargados del tratamiento de estos, procediendo a incrementar las cuantías de las sanciones por el incumplimiento de las disposiciones previstas para proteger los datos de carácter personal, implicando un cambio sustancial que debe ser tenido en cuenta por todas las empresas y entidades a la hora de tratar datos personales, adaptándose a las estipulaciones del nuevo Reglamento y adecuándose a todos los cambios que este prevé, de tal forma que pueda evitar sorpresas desagradables e imprevistas.

 

 

La cuantía de las sanciones que impone el Reglamento se gradúa atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a cualquier otra circunstancia que sea relevante para determinar el grado de culpabilidad.

 

 

¿Quiénes van a ser los responsables?

 

 

Los responsables del tratamiento de protección de datos que estarán sujetos al régimen sancionador son:

 

 

ü Los responsables de los tratamientos.

 

 

ü Los encargados de los tratamientos.

 

 

ü Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.

 

 

Tipos de infracciones

 

 

Vamos a ver alguna de ellas.

 

 

Infracciones leves

 

 

ü El incumplimiento del principio de transparencia de la información o el derecho de información del afectado.

 

 

ü No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos.

 

 

ü El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.

 

 

ü El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales.

 

 

ü Disponer de un Registro de actividades de tratamiento que no incorpore toda la información

 

 

ü Facilitar información inexacta a la Autoridad de protección de datos.

 

 

ü No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos.

 

 

Infracciones graves

 

 

ü El tratamiento de datos de carácter personal de un menor de edad sin recabar su consentimiento.

 

 

ü El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos.

 

 

ü La falta de adopción de aquellas medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado.

 

 

ü Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido.

 

 

ü No disponer del Registro de actividades de tratamiento.

 

 

ü No cooperar con las autoridades de control.

 

 

ü El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

 

 

ü El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.

 

 

Infracciones muy graves.

 

 

ü El tratamiento de datos personales vulnerando los principios y garantías.

 

 

ü El incumplimiento de los requisitos exigidos para la validez del consentimiento.

 

 

ü La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado.

 

 

ü La omisión del deber de informar al afectado acerca del tratamiento de sus datos.

 

 

ü La vulneración del deber de confidencialidad.

 

 

ü La transferencia internacional de datos de carácter personal a un destinatario de un tercer país o a una organización internacional.

 

 

ü El incumplimiento de la obligación de bloqueo de los datos cuando la misma sea exigible.

 

 

ü La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

 

 

Tipos de sanciones

 

 

Las infracciones de las disposiciones siguientes se sancionarán con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

 

 

ü Las obligaciones del responsable y del encargado.

 

 

ü Las obligaciones de los organismos de certificación.

 

 

ü Las obligaciones de la autoridad de control.

 

 

Y las siguientes infracciones se sancionarán con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

 

 

ü Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.

 

 

ü Los derechos de los interesados.

 

 

ü Las transferencias internacionales de datos personales a un destinatario en un tercer país o una organización internacional.

 

 

ü Toda obligación en virtud del Derecho de los Estados miembros.

 

 

ü El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control, o el no facilitar acceso.

 

 

Además, el incumplimiento de las resoluciones de la autoridad de control se sancionará con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

 

 

Si comparamos el contenido del Reglamento en materia de sanciones con las disposiciones de la LOPD del 1999 que tenemos en la actualidad, podemos apreciar en la siguiente tabla el aumento en la cuantía de la sanción.

 

 

Norma   aplicable

Leve

Grave

Muy   grave

LOPD   del 1999

900 – 40.000 euros

40.001 – 300.000 euros

300.001 – 600.000 euros

Reglamento   2018

No se establece ningún rango mínimo de cuantía

Multa de hasta 10.000.000 euros o, en caso de   empresas, de cuantía equivalente al 2% del volumen de negocio actual   global del ejercicio financiero anterior.

Multa de hasta 20.000.000 euros o, en caso de   empresas, de cuantía equivalente al 4% del volumen de negocio actual   global del ejercicio financiero anterior.