Esquema que muestra las diferentes sanciones aplicables en el tratamiento de datos personales según el RGPD

En este caso debemos ceñirnos a lo contenido en el artículo 83 del RGPD que establece las «condiciones para la imposición de multas administrativas», que clasificaremos en:

Sanciones castigadas con multas administrativas de hasta un máximo de 10 millones de euros o de cuantía equivalente al 2 % del volumen de negocio total del ejercicio financiero anterior, optándose por la de mayor cuantía en materia de:

• Obligaciones de los responsables y encargados de tratamiento dispuestas en los artículos 8 de la RGPD (consentimiento de menores), 11 (tratamiento que no requiere identificación), 25 (protección desde el diseño y por defecto), 39 (funciones del delegado de protección de datos), 42 (mecanismos de certificación) y 43 (organismos de certificación).
• Obligaciones de los organismos de certificación dispuestas en los artículos 42 (mecanismos de certificación) y 43 (organismos de certificación).
• Obligaciones del organismo de supervisión según lo establecido en el artículo 41.4 de la RGPD (infracción de los códigos de conducta por parte de los responsables y encargados de tratamiento).

Sanciones castigadas con multas administrativas de hasta un máximo de 20 millones de euros o de cuantía equivalente al 4 % del volumen de negocio total del ejercicio financiero anterior, optándose por la de mayor cuantía en materia de:

• Principios básicos para el tratamiento, lo que incluye las condiciones para el consentimiento según lo dispuesto en los artículos 5 (principios relativos al tratamiento), 6 (licitud del tratamiento), 7 (condiciones para el tratamiento) y 9 (tratamiento de categorías especiales de datos personales).
• Los derechos de los interesados según lo establecido en los artículos 12 a 22, esto es, derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones individualizadas automatizadas.
• La transferencia de datos personales a un destinatario de un tercer país u organización internacional según lo establecido en los artículos 44 a 49.
• Obligaciones contenidas en el capítulo IX del RGPD, sobre Derecho de los Estados miembros.
• Incumplimientos de resoluciones o de limitaciones temporales o definitivas en el tratamiento de datos, así como la suspensión de los flujos de datos por parte de una autoridad de control según lo establecido en el artículo 58.2 o no facilitar el acceso a la información solicitada según el artículo 58.1.

Todas estas sanciones prescribirán en los siguientes plazos, acudiendo en este caso al art. 78 de la LOPDGDD que hace mención expresa «a las sanciones impuestas en aplicación del Reglamento (UE) 2016/679»:

• Sanciones por importe igual o inferior a 40.000 euros, prescribirán en el plazo de un año.
• Sanciones por importe comprendido entre 40.001 euros y 300.000, prescribirán a los dos años.
• Sanciones por importe superior a los 300.000 euros, prescribirán a los 3 años, siendo este el plazo establecido para las precitadas sanciones.

Los plazos de prescripción se interrumpirán por la iniciación del procedimiento de ejecución con conocimiento del interesado, reiniciándose el mismo plazo si el procedimiento se paraliza durante 6 meses por causas no imputables al infractor.