910 - ¿Qué tipo de infracciones se consideran como graves en el tratamiento de los datos personales?

El artículo 73 de la LOPDGDD establece lo siguiente: 

1. Regula las infracciones consideradas graves.

2. Estas infracciones prescriben a los dos años. 

3. Se encajan como grave la vulneración sustancial de:

- Las infracciones del artículo 83, apartado 4, del RGPD, es decir, aquellas conductas citadas anteriormente respecto a las obligaciones de los responsables y encargados (arts. 8, 11, 25 a 39 y 42 y 43 del RGPD), los organismos de certificación (arts. 42 y 43 del RGPD) y de supervisión (art. 41 del RGPD).

- El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del RGPD (la edad marcada por las leyes estatales a estos efectos como minoría de edad, nunca podrá ser inferior a los 13 años).

- No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8, apartado 2, del RGPD (este precepto ordena que el responsable del tratamiento debe hacer el esfuerzo de verificar que el consentimiento fue dado o autorizado por tales sujetos, teniendo en cuenta la tecnología disponible).

- El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación. 

A TENER EN CUENTA. Este precepto entra en concordancia con esta infracción lo dispuesto en el artículo 74, letra d) de la LOPDGDD, que tipifica como infracción leve no atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que fuese susceptible de ser calificado como infracción grave. 

- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del RGPD.

- La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25, apartado 2, del RGPD.

- La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32, apartado 1 del RGPD: seudonimización y cifrado de datos, garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente en los sistemas y servicios de tratamiento, capacidad para restaurar la disponibilidad y el acceso a los datos personales de forma rápida, así como procesos de verificación, evaluación y valoración de medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

- El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32, apartado 1, del RGPD.

- El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la UE, conforme a lo previsto en el artículo 27 del RGPD.

- La falta de atención por el representante en la Unión, del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

- La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el capítulo IV del RGPD (que se rubrica bajo el título «Responsable del tratamiento y encargado del tratamiento»).

- Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28, apartado 3, del RGPD.

- La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

- La infracción por un encargado del tratamiento de lo dispuesto en el RGPD y LOPDGDD, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28, apartado 10, del RGPD, que considera responsable del tratamiento al encargado que infrinja el citado reglamento bajo las conductas descritas anteriormente.

- No disponer del registro de actividades de tratamiento establecido en el artículo 30 del RGPD.

- No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, como así lo ordena el artículo 30, apartado 4, del artículo 30 del RGPD.

- No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.

- El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de la LOPDGDD.

- El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.

- El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del RGPD.

- El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 34 del RGPD, si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación. Entra en concordancia con esta infracción lo dispuesto en el artículo 74, letra ñ) de la LOPDGDD, que tipifica como infracción leve el incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del RGPD, salvo que resulte de aplicación lo previsto en el párrafo anterior. 

- El tratamiento de datos personales sin haber llevado a cabo la EIPD en los supuestos en que la misma sea exigible.

- El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del RGPD o cuando la ley establezca la obligación de llevar a cabo esa consulta.

- El incumplimiento de la obligación de designar un DPD cuando sea exigible su nombramiento de acuerdo con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.

- No posibilitar la efectiva participación del DPD en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

- La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.

- Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del RGPD.

- El desempeño de funciones que el RGPD reserva a los organismos de certificación, sin haber sido debidamente acreditado conforme a lo establecido en el artículo 39 de la LOPDGDD.

- El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en los artículos 42 y 43 del RGPD.

- El desempeño de funciones que el artículo 41 del RGPD reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.

- La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso de que se hubiera producido una infracción del código, conforme exige el artículo 41, apartado 4, del RGPD.

A TENER EN CUENTA. La LOPDGDD dispone en su artículo 77, apartado 2, que cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del RGPD. (Este apartado se ha visto modificado por la publicación de la Ley 11/2023, de 8 de mayo, con entrada en vigor el 10/05/2023).