Última revisión
datos
890 - ¿Qué tipos de infracciones existen en materia de protección de datos?
Relacionados:
Vademecum: Datos
Fecha última revisión: 30/09/2024
Resumen:
A la hora de conocer las infracciones existentes en materia de protección de datos, debemos remitirnos al artículo 71 de la LOPDGDD, constituyendo infracciones los actos y conductas a los que se refieren los apartados 4, 5 y 6 del artículo 83 del RGPD. Estas infracciones incluyen el incumplimiento de las obligaciones de los sujetos responsables, infracción de los principios y derechos, vulneración de los derechos del interesado y el incumplimiento de las resoluciones de la autoridad de control.
Como recoge el artículo 71 de la LOPDGDD, constituyen infracciones los actos y conductas a los que se refieren los apartados 4, 5 y 6 del artículo 83 del
El incumplimiento de las obligaciones de los sujetos responsables:
Las obligaciones del responsable y del encargado en cuanto a:
- Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información (art. 8 del
RGPD ). - Tratamientos que no requieren identificación (art. 11 del
RGPD ). - La aplicación de medidas técnicas y organizativas adecuadas desde el diseño y por defecto (art. 25 del
RGPD ). - Corresponsabilidad y representación en el tratamiento de los datos (arts. 26 y 27 del
RGPD ). - El ejercicio de sus funciones impuestas por los arts. 28 y 29 del
RGPD . - El registro de las actividades de tratamiento (art. 30 del
RGPD ). - La cooperación con la autoridad de control (art. 31 del
RGPD ). - Las medidas para garantizar un nivel de seguridad adecuado (art. 32 a 34 del
RGPD ). - La evaluación de impacto (arts. 35 y 36 del
RGPD ). - La designación del delegado de protección de datos y la colaboración con el mismo. (arts. 37 a 39 del
RGPD ). - Las obligaciones respecto a la certificación del cumplimiento en protección de datos (arts. 42 y 43 del
RGPD ).
- Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información (art. 8 del
- Las obligaciones de los organismos de certificación, de las recogidas en los artículos 42 y 43 del
RGPD . - Las obligaciones del organismo de supervisión a tenor del artículo 41, apartado 4, del
RGPD , esto es, cuando un responsable o encargado del tratamiento infringe el código de conducta.
La infracción de los principios y derechos:
Vulneración de los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, a tenor de:
- Los principios relativos al tratamiento (art. 5 del
RGPD ) - La licitud del tratamiento (art. 6 del
RGPD ). - El consentimiento del interesado (art. 7 del
RGPD ). - El tratamiento de categorías especiales de datos, es decir, datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física (art. 9 del
RGPD ).
- Los principios relativos al tratamiento (art. 5 del
Vulneración de los derechos del interesado:
- Transparencia de la información y comunicación en el ejercicio de los derechos del interesado (arts. 12 a 14 del
RGPD ). - Derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición (arts. 15 a 21 del
RGPD ). - Derecho a no ser objeto de decisiones individuales automatizadas (art. 22 del
RGPD ).
- Transparencia de la información y comunicación en el ejercicio de los derechos del interesado (arts. 12 a 14 del
- Realizar transferencias de datos personales a un destinatario en un tercer país o una organización internacional, sin cumplir las normas recogidas en los artículos 44 a 49 del
RGPD . Toda obligación en virtud del derecho de los Estados miembros que se adopte con arreglo al capítulo IX del
RGPD :- Libertad de expresión e información.
- Acceso del público a documentos oficiales.
- Tratamiento del número nacional de identificación.
- Tratamiento en el ámbito laboral, en particular, a efectos de contratación, planificación y organización del trabajo, igualdad y diversidad en el lugar de trabajo, salud y seguridad, bienes de los empleados, etc.
- Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, investigación científica o histórica o fines estadísticos.
- Obligaciones de secreto profesional.
- Protección de datos de iglesias y asociaciones religiosas.
- Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1, del
RGPD .
CUESTIÓN
Una empresa de reparto crea un grupo de WhatsApp en el que incluye a todos los trabajadores. Uno de ellos realiza una reclamación por incluirlo sin su consentimiento. La empresa alega que informa expresamente a sus trabajadores de la utilización de este canal de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto, en esta situación, ¿es lícito el tratamiento de datos por parte de la empresa?
Sí, en un caso como el descrito se ha pronunciado la Agencia Española de Protección de Datos en la resolución AI-00050-2022, de 9 de enero de 2023, en la que señala:
«La legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados en el apartado 1 del artículo 6 del
El tratamiento de los datos personales debe respetar los principios establecidos en el artículo 5 del
En el presente caso, los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada, que ha informado a los trabajadores de la finalidad del tratamiento en los grupos de whatsapp creados con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos».
- Incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, del
RGPD .
CUESTIÓN
¿Son lo mismo las conductas infractoras que las prácticas agresivas en materia de tratamiento de datos personales?
No, no se trata del mismo comportamiento. La D.A. 16.ª de la LOPDGDD determina respecto a las prácticas agresivas que, a los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, estas se constituyen por:
- Actuar con intención de suplantar la identidad de la AEPD o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.
- Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.
- Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.
- Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.
- Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la AEPD o las autoridades autonómicas de protección de datos.