¿Qué infracciones y sanciones hay en materia de protección de datos aplicables al sector público?

Infracciones en materia de protección de datos

Como recoge el artículo 71 de la LOPDGDD constituyen infracciones los actos y conductas referidos en los apartados 4 a 6 del artículo 83 del RGPD y las que resulten contrarias a la LOPDGDD, así se considerarán:

a. Infracciones muy graves

De acuerdo con lo establecido en el apartado quinto del artículo 83 del RGPD, se estimarán muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos referidos en aquel y, en concreto, atendiendo al artículo 72.1 de la LOPDGDD, las siguientes:

• Tratamiento de datos personales vulnerando los principios y garantías dispuestos en el artículo 5 del RGPD.
• Tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento dispuestas en el artículo 6 del RGPD.
• Incumplimiento de los requisitos requeridos por el artículo 7 del RGPD para la validez del consentimiento.
• Utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con:
• El consentimiento del afectado.
• Una base legal para ello.
• Tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del RGPD, sin que concurra alguna de las circunstancias previstas en ese precepto y en el artículo 9 de la LOPDGDD.
• Tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del RGPD y en el artículo 10 de la LOPDGDD.
• Tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de la LOPDGDD.
• Omisión del deber de informar al afectado acerca del tratamiento de sus datos personales de acuerdo con lo establecido en los artículos 13 y 14 del RGPD y en el artículo 12 de la LOPDGDD.
• Vulneración del deber de confidencialidad dispuesto en el artículo 5 de la LOPDGDD.
• Exigencia del pago de un canon para facilitar al afectado la información indicada en los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos de los afectados establecidos en los artículos 15 a 22 del RGPD, fuera de los casos dispuestos en el apartado quinto del artículo 12 de la misma norma.
• El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
• Transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del RGPD.
• Incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el apartado segundo del artículo 58 del RGPD.
• Incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de la LOPDGDD cuando la misma sea exigible.
• No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.
• Resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
• Reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

A TENER EN CUENTA. Igual consideración y plazo de prescripción tendrán las infracciones a las que se refiere el apartado sexto del artículo 83 del RGPD (artículo 72.2 de la LOPDGDD).

b. Infracciones graves

Según lo dispuesto en el apartado cuarto del artículo 83 del RGPD, se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos referidos en aquel y, en concreto, atendiendo al artículo 73 de la LOPDGDD, las siguientes:

• Tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, de acuerdo con el artículo 8 del RGPD.
• No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el apartado segundo del artículo 8 del RGPD.
• El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
• Falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del RGPD.
• Falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del RGPD.
• Falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del RGPD.
• Quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32.1 del RGPD.
• Incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el artículo 27 del RGPD.
• Falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.
• Contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el capítulo IV del RGPD.
• Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del RGPD.
• Contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
• Infracción por un encargado del tratamiento de lo dispuesto en el RGPD y en la LOPDGDD, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.
• No disponer del registro de actividades de tratamiento establecido en el artículo 30 del RGPD.
• No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, conforme al apartado 4 del artículo 30 del RGPD.
• No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.
• Tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de la LOPDGDD.
• Incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
• Incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del RGPD.
• Incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 34 del RGPD si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.
• Tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
• Tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del RGPD o cuando la ley establezca la obligación de llevar a cabo esa consulta.
• Incumplimiento de la obligación de designar un DPD cuando sea exigible su nombramiento de acuerdo con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.
• No posibilitar la efectiva participación del DPD en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
• Utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.
• Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del RGPD.
• Desempeño de funciones que el RGPD reserva a los organismos de certificación, sin haber sido debidamente acreditado conforme a lo establecido en el artículo 39 de la LOPDGDD.
• Incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en los artículos 42 y 43 de RGPD.
• Desempeño de funciones que el artículo 41 del RGPD reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.
• Falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso de que se hubiera producido una infracción del código, conforme exige el artículo 41.4 del RGPD. 

c. Infracciones leves

Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos referidos en los apartados 4 y 5 del artículo 83 del RGPD, y, en concreto, atendiendo a lo dispuesto en el artículo 74 de la LOPDGDD, las que siguen:

• Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del RGPD.
• Exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del RGPD, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.
• No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, salvo que resultase de aplicación lo dispuesto en el artículo 72.1.k) de la LOPDGDD.
• No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de la LOPDGDD.
• Incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo 19 del RGPD.
• Incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
• Incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de la LOPDGDD.
• Falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del RGPD o la inexactitud en la determinación de las mismas.
• No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26.2 del RGPD.
• Falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD o de la LOPDGDD, conforme a lo exigido por el artículo 28.3 del reglamento de referencia.
• Incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme al RGPD y a la LOPDGDD o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.
• Disponer de un registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del RGPD.
• Notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del RGPD.
• Incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33.5 del RGPD.
• Incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del RGPD, salvo que resulte de aplicación lo previsto en el artículo 73 s) de la LOPDGDD.
• Facilitar información inexacta a la autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artículo 36 del RGPD.
• No publicar los datos de contacto del DPD, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.
• Incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación, conforme a lo exigido por los apartados 1 y 5 del artículo 43 del RGPD.
• Incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código, conforme exige el artículo 41.4 del RGPD. 

Valoración de las infracciones leves en relación con el planteamiento de una reclamación ante la AEPD

La Agencia Española de Protección de Datos (AEPD) puede inadmitir una reclamación que le sea planteada cuando el responsable o encargado del tratamiento, previa advertencia formulada por tal autoridad hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las circunstancias previstas en el artículo 65.3 de la LOPDGDD:

• No se haya causado perjuicio al afectado en el caso de las infracciones establecidas en el artículo 74 de la LOPDGDD.
• El derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas. 

CUESTIONES

1. ¿Podrá interrumpirse la prescripción de una infracción?

Sí, interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor. 

Asimismo, cuando la AEPD tenga la condición de autoridad de control principal y deba seguirse el procedimiento establecido en el artículo 60 del RGPD interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas (artículo 75 de la LOPDGDD).

2. ¿Son lo mismo las conductas infractoras que las prácticas agresivas en materia de tratamiento de datos personales?

No, no se trata del mismo comportamiento puesto que la D.A. 16.ª de la LOPDGDD refiere respecto a las prácticas agresivas que, a los efectos establecidos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, estas se constituyen por:

- Actuar con intención de suplantar la identidad de la AEPD o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.

- Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la AEPD o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.

- Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.

- Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

- Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de DPD y comunicarse en tal condición con la AEPD o las autoridades autonómicas de protección de datos. 

Sanciones y medidas correctivas

Como indica la lectura del artículo 76 de la LOPDGDD, las sanciones dispuestas en los apartados 4 a 6 del artículo 83 del RGPD se aplicarán considerando los criterios de graduación dispuestos en el apartado 2 del antedicho artículo.

Asimismo, de conformidad con lo dispuesto en la letra k) del apartado segundo del artículo 83 del RGPD podrán estimarse las siguientes circunstancias:

• El carácter continuado de la infracción.
• La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
• Los beneficios obtenidos como consecuencia de la comisión de la infracción.
• La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
• La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
• La afectación a los derechos de los menores.
• Disponer, cuando no fuere obligatorio, de un DPD.
• El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.

Para concluir, será posible, de manera complementaria o alternativa, la adopción, cuando proceda, de las restantes medidas correctivas que indica el apartado segundo del artículo 83 del RGPD.

CUESTIONES

1. ¿Qué información será objeto de publicación en el BOE?

La información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando:

- La autoridad competente sea la AEPD.

- La sanción fuese superior a un 1.000.000 de euros.

- El infractor sea una persona jurídica.

Si bien, cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos se estará a su normativa de aplicación (artículo 76.4 de la LOPDGDD).

2. ¿Cuándo prescribirán las sanciones establecidas en aplicación del RGPD y de la LOPDGDD?

A tenor de lo establecido en el artículo 78.1 de la LOPDGDD, las sanciones impuestas en aplicación del RGPD y de la LOPDGDD prescriben en los plazos siguientes:

- Un año (sanciones por importe igual o inferior a 40.000 euros).

- Dos años (sanciones por importe comprendido entre 40.001 y 300.000 euros).

- Tres años (sanciones por un importe superior a 300.000 euros). 

3. ¿Cuándo comenzará a contar el plazo de prescripción de las sanciones?  ¿Podrá interrumpirse dicho plazo?

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. 

Y la prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor (artículos 78.2 y 78.3 de la LOPDGDD).