Esquema que muestra el tipo de sanciones, sujetos responsables y plazos de prescripción en materia de protección de datos personales

El régimen sancionador en materia de protección de datos se regula, de forma amplia, en los artículos 70 a 78 de la LOPDGDD. A partir de aquí, nos centraremos en tres aspectos: sujetos responsables, tipos de infracciones e interrupción de los plazos de prescripción.

Serán sujetos responsables (art. 70 LOPDGDD):

• Los responsables de tratamiento.
• Los encargados de tratamiento.
• Los representantes de los responsables o encargados de tratamiento NO establecidos en territorio de la UE.
• Las entidades de certificación.
• Las entidades acreditadas para la supervisión de los códigos de conducta.
• Es importante recordar que el delegado de protección de datos (DPO) NO está sujeto al presente régimen sancionador. 

Las sanciones contenidas en este régimen se clasifican como:

• Infracciones muy graves que prescriben a los 3 años (art. 72 de la LOPDGDD).
• Infracciones graves que prescriben a los 2 años (art. 73 de la LOPDGDD).
• Infracciones leves que prescriben en 1 año (art. 74 de la LOPDGDD).

los plazos de prescripción podrán interrumpirse si (art. 75 LOPDGDD):

• Se inicia el procedimiento sancionador con conocimiento del interesado. 
• Si el precitado expediente sancionador queda paralizado durante más de 6 meses por causas no imputables al infractor, se reiniciará el plazo de prescripción.
• La AEPD tiene la condición de autoridad de control y deba seguirse el procedimiento contenido en el artículo 60 de la RGPD, interrumpirá el plazo el conocimiento, por parte del interesado, del proyecto de acuerdo sometido a las autoridades de control.