900 - ¿Qué tipo de infracciones se consideran como muy graves en el tratamiento de los datos personales?

Haciendo un análisis del artículo 72 de la LOPDGDD, debe destacarse al respecto que:

1. Regula las infracciones muy graves. 

2. Las infracciones muy graves prescriben a los 3 años de cometer la infracción.

3. Se encajan como muy graves la vulneración sustancial de:

- Las infracciones del artículo 83, apartado 5, del RGPD, mencionados anteriormente y que vienen a ser las relativas a:

• Vulneración de principios básicos para el tratamiento de datos.

• Vulneración de derechos de los interesados.

• Transferencia de datos personales a un destinatario de un tercer país u organización internacional.

• Incumplimiento de cualquier obligación en virtud del derecho de los Estados miembros que se adopten con arreglo al capítulo IX, es decir, respecto a situaciones específicas de tratamiento. 

• Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control. 

-  El tratamiento de datos personales vulnerando los principios y garantías del artículo 5 del RGPD:

• Licitud, lealtad y transparencia.

• Minimización de los datos, es decir, los datos deben ser adecuados, pertinentes y limitados en relación a los fines para los que son tratados.

• Exactitud, se requiere que los datos sean exactos, y en su caso, estén actualizados.

• Limitación del tiempo de conservación.

• Integridad y confidencialidad.

- El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento que recoge el artículo 6 del RGPD:

• Consentimiento del interesado.

• Necesidad para la ejecución de un contrato o cumplimiento legal aplicable al responsable del tratamiento.

• Necesidad para proteger intereses vitales del interesado u otra persona física.

• Necesidad para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

• Necesidad para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero siempre que no prevalezcan sobre los del interesado. A este respecto, a título ilustrativo, puede citarse la resolución del Alto Tribunal, STS n.º 1460/2020, de 5 de noviembre, ECLI:ES:TS:2020:3609, que razona que ha de darse una ponderación entre el interés legítimo de quien trata los datos y los intereses y derechos del interesado. Si de esa ponderación resulta que el interés legítimo del responsable debe prevalecer, esta causa y tratamiento de datos sí tendrá justificación legal:

«La norma comunitaria establece, entre otras, una nueva base legitimadora general que permite el tratamiento de datos personales: el interés legítimo. No se escapa, sin embargo, la circunstancia de que la apreciación de dicho interés requiere la realización, caso por caso, de una ponderación entre el interés legítimo de quien trata los datos y los intereses, derechos y libertades del interesado, en los términos que menciona el reproducido precepto. Sólo cuando de la ponderación se concluya que aquellos intereses prevalecen sobre estos, el tratamiento de los datos podrá basarse en esta causa legitimadora».

A mayor abundamiento sobre este punto concreto, pueden consultarse también las SSTS n.º 1459/2020, de 5 de noviembre, ECLI:ES:TS:2020:3583, o n.º 1562/2020, de 19 de noviembre, ECLI:ES:TS:2020:3891.

- El incumplimiento de los requisitos de validez del consentimiento establecidos en el artículo 7 del RGPD.

- El tratamiento de datos personales para fines distintos a los que fueron recogidos, sin consentimiento del afectado ni base legal para ello.

- El tratamiento de datos personales de las categorías del artículo 9 del RGPD (que revelen el origen étnico o racial, opiniones públicas, las convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos o relativos a la salud, actividad sexual u orientación sexual de la persona), sin que concurra alguna de las circunstancias previstas en el citado precepto o en el art. 9 de la LOPDGDD:

• En algunos casos, cuando el interesado preste su consentimiento para un fin específico. Esto no bastará para levantar la prohibición de tratar datos cuya finalidad sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencia u origen racial o étnico.

• Cuando el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos en el ámbito de derecho laboral y de seguridad y protección social.

• Cuando el tratamiento sea necesario para proteger intereses vitales del interesado cuando sea una persona que no pueda dar su consentimiento porque esté incapacitado físicamente o porque necesite una medida de apoyo judicial.

• Cuando el tratamiento sea efectuado por una fundación, asociación u organismo sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa o sindical, siempre en el ámbito de sus actividades legítimas y respecto a sus propios miembros.

• El tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

• El tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en la esfera de su función judicial.

• El tratamiento sea necesario por razones de interés público esencial, siempre que el objetivo perseguido sea proporcional al respeto al derecho a la protección de datos. El tratamiento de estos datos deberá estar amparado en una norma con rango de ley.

• El tratamiento sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, es decir, el tratamiento se podrá amparar en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social. El tratamiento de estos datos deberá estar amparado en una norma con rango de ley.

• El tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios. El tratamiento de estos datos deberá estar amparado en una norma con rango de ley.

• El tratamiento sea necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Este tratamiento debe ser proporcional al objetivo perseguido.

- El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas que no se encajen en las permitidas en el artículo 10 del RGPD, esto es, que el tratamiento se dé bajo la supervisión de las autoridades públicas o por amparo del derecho de la UE o de los Estados miembros, garantizando en todo caso los derechos y libertades de los afectados. 

- El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de la LOPDGDD, es decir, que los responsables del tratamiento sean órganos competentes para la instrucción del procedimiento o sean llevados a cabo por abogados y procuradores en el ejercicio de sus funciones hacia el cliente. 

- La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del RGPD (transparencia e información) y 12 de la LOPDGDD.

- La vulneración del deber de confidencialidad establecido en el artículo 5 de la LOPDGDD y que complementa al deber del secreto profesional. 

- La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del RGPD o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del RGPD, fuera de los supuestos establecidos en su artículo 12, apartado 5, del citado reglamento, siendo estos cuando las solicitudes sean manifiestamente infundadas o excesivas (muy repetitivas). Si fuere el caso, se podrá cobrar un canon en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.

- El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD (derecho de acceso, rectificación y supresión, limitación notificación, portabilidad, oposición, etc.). Entra en concordancia con esta infracción lo dispuesto en el artículo 74, letra c) de la LOPDGDD, que tipifica como infracción leve no atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, salvo que deba aplicarse lo recogido en la línea anterior. 

- La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del RGPD.

- El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58, apartado 2, del RGPD.

- El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de la LOPDGDD.

- No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.

- La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

- La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

- Las infracciones a las que se refiere el artículo 83, apartado 6, del RGPD, es decir, el incumplimiento de las resoluciones de la autoridad de control que dicte en aras de sus poderes correctivos que le reconoce el artículo 58, apartado 2, del RGPD (advertir o apercibir, ordenar o imponer límites, multas, retirada de certificaciones, etc. a los responsables o encargados de tratamiento de datos). 

A TENER EN CUENTA. La LOPDGDD dispone en su artículo 77, apartado 2, que cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del RGPD. (Este apartado se ha visto modificado por la publicación de la Ley 11/2023, de 8 de mayo, con entrada en vigor el 10/05/2023).