¿Cuáles son las sanciones por no cumplir con la Ley de Protección de Datos?

No cumplir con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) tiene consecuencias que se traducen en importantes sanciones económicas para los infractores. Todas las empresas que operen en la Unión Europea y manipulen o almacenen datos de tipo personal en cualquiera de sus actividades tienen la obligación de cumplir con el RGPD.

La Agencia Española de Protección de Datos (AEPD) es el órgano encargado de recoger denuncias y velar por el cumplimiento de la normativa en materia de Protección de Datos en España. Además, la AEPD se encarga de imponer sanciones y comprobar su aplicación.

¿Qué tipos de sanciones existen?

Además de las sanciones impuestas debido a una mala gestión de los datos personales de una persona y los daños que se le hayan causado, el incumplimiento del RGPD y la LOPDGDD también incurre en sanciones para aquellas empresas que no cumplan con la ley.

De estas sanciones se desprenden las multas de tipo económico asociadas a cada una de ellas según el grado de intencionalidad, los derechos que se hayan violado o los beneficios obtenidos por la mala o fraudulenta gestión de los datos personales. Asimismo, las sanciones serán diferentes en función de si el infractor es una empresa, una administración pública o una persona física.

Sanciones del RGPD

Por un lado, las sanciones derivadas del incumplimiento del RGPD se clasifican en:

1.Multas administrativas de 10 millones de euros como máximo o, de ser una empresa, el 2% del volumen de negocio total anual global del ejercicio financiero anterior, inclinándose por la cifra de mayor cuantía. Estas son las obligaciones que sanciona el RGDP:

Obligaciones del responsable y del encargado (Artículos 8, 11, del 25 al 39, 42 y 43).
Obligaciones de los organismos de certificación (Artículos 42 y 43).
Obligaciones de la autoridad de control (Artículo 41, apartado 4).

2. Multas administrativas de 20 millones de euros como máximo o, de ser una empresa, el 4% del volumen de negocio total anual global del ejercicio financiero anterior, inclinándose por la cifra de mayor cuantía. Estas son las acciones sancionadas por el RGDP:

Principios básicos para el tratamiento, incluidas las condiciones para el consentimiento (Artículos 5, 6, 7 y 9).
Derechos de los interesados (Artículos del 12 al 22).
Transferencias de datos personales a un destinatario en un tercer país o una organización internacional (Artículos del 44 al 49).
Toda obligación en virtud del Derecho de los Estados miembros (Capítulo IX).
Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control (Artículo 58, apartado 2) o no facilitar el acceso (Artículo 58, apartado 1).

Sanciones de la LOPDGDD

Por otro lado, las sanciones establecidas por la LOPDGDD se clasifican en leves, graves y muy graves, con diferentes cuantías de las multas.

Leves: todas las infracciones comprendidas en el artículo 74 de la LOPDGDD. Este tipo de infracciones pueden elevarse hasta los 40.000 € y prescriben en un plazo de un año. Estos son algunos ejemplos:
- No informar a la persona afectada cuando esta lo haya solicitado.
- Incumplir la transparencia de la información.
- Impedir la portabilidad de los datos.
- Eludir la obligación de la supresión de los datos de una persona fallecida.
- Desatender las solicitudes de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) cuando el titular de los datos así lo requiera.

Graves: todas las infracciones comprendidas en el artículo 73 de la LOPDGDD. Este tipo de infracciones van desde los 40.001 € a los 300.000 € y prescriben en un plazo de dos años. Estos son algunos ejemplos:
- Obtener datos de un menor sin consentimiento.
- No disponer de un Registro de actividades de tratamiento cuando sea necesario.
- No adoptar medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad apropiado.
- Incumplir la obligación de nombrar un responsable o encargado del tratamiento de datos.

Muy graves: todas las infracciones comprendidas en el artículo 73 de la LOPDGDD. Este tipo de sanciones van desde los 300.000 € hasta los 20.000.000 € y prescriben en un plazo de tres años. Estos son algunos ejemplos:
- Usar los datos con un fin diferente al acordado.
- Transferir internacionalmente datos personales sin respetar las debidas garantías.
- Obstaculizar inspecciones de la AEPD.
- Vulnerar el deber de secreto y confidencialidad.
- Revisar de manera intencionada procesos anónimos para identificar a los titulares de los datos.

Sanciones establecidas por la LOPDGDD
Según su gravedad	Según su sanción económica	Según su plazo de prescripción
Leves	Igual o inferior a 40.000 €	1 año
Graves	Entre 40.001 y 300.000 €	2 años
Muy graves	Entre 300.000 € y 20.000.000 €	3 años

¿Qué elementos definen las sanciones?

Pese a que los artículos 83 y 84 del RGPD recogen las circunstancias por las cuales pueden imponerse sanciones administrativas, este reglamento no profundiza en los criterios ni conductas bajo los cuales establecer las sanciones. Sin embargo, el RGPD sí recoge los factores a tener en cuenta a la hora de imponer una sanción. Estos son los más importantes:

Naturaleza, gravedad y duración de la infracción.
Número de personas afectadas.
Nivel de los perjuicios sufridos.
Intencionalidad o negligencia.
Medidas tomadas por parte del responsable del tratamiento de datos para paliar los daños sufridos por los interesados.
Existencia de infracciones cometidas con anterioridad.
Tipo de datos personales afectados.
Grado de cooperación con la autoridad para solucionar y mitigar los daños causados.
Forma en la que la autoridad se hace eco de la infracción (especialmente se centra en el hecho de si el responsable la notificó o no).
Existencia de medidas para evitar que se comentan este tipo de infracciones en empresas.

Las sanciones más comunes

Desde la entrada en vigor del RGDP y la LOPDGDD, varias son las causas más habituales por las cuales las empresas son sancionadas en materia de Protección de Datos en España. Las principales son la incapacidad de justificación por parte de las empresas de la forma en la que han recabado los datos personales (ilegal en la mayoría de los casos) y las insuficientes medidas para asegurar la protección de la información y evitar fugas y brechas de seguridad.

Es importante resaltar que tras la entrada en vigor en 2018 en la mayoría de países europeos del RGPD (y la LOPDGDD complementariamente en España), la cantidad de sanciones impuestas aumentó un 521% (un total de 1.100 millones de euros repartidos en 412 sanciones) del año 2020 al 2021.

Contrata tu servicio de Delegado de Protección de Datos (DPD)

Previsiones para 2022

¿Qué pasará en 2022? Las previsiones indican que este año se saldará con un nuevo récord de sanciones impuestas. Esto se debe a que cada vez son más los ciberataques y violaciones que se producen en empresas y bases de datos personales, lo que obliga a endurecer la regulación para asegurar la protección de dichos datos.

De todo esto se desprende la importancia de contratar un sistema de Protección de Datos. Por ello, si tu empresa no cuenta con un eficiente servicio de Protección de Datos, en Pdatos siempre te recomendamos mejorarlo y evitar incurrir en una de las sanciones anteriormente mencionadas. Puedes consultar nuestro Pack Premium o nuestro Pack Adecuación + Mantenimiento y ponerte en contacto con nuestros expertos, o informarte sobre nuestro servicio de Auditoría RGPD, o de Adaptación RGPD. Te brindarán una opinión profesional y te recomendarán el pack de servicios que mejor se adapte a las necesidades de tu empresa. Contrata un sistema de Protección de Datos y comienza a protegerlos cuanto antes.