Sanciones LOPD: cambios significativos de cara al RGPD

Detallamos las sanciones LOPD correspondientes a la normativa aplicable hasta el 25 de mayo y las establecidas por el nuevo Reglamento Europeo General de Protección de Datos.

 

1. Introducción a las sanciones LOPD

 

El desarrollo de las nuevas tecnologías, como puede ser el Big Data, sumado a la globalización y al cada vez más frecuente trasvase de información generada en todo el mundo, ha hecho que el tratamiento de datos se convierta en uno de los negocios más lucrativos a nivel mundial.

En muchas ocasiones, nos encontramos que, a pesar de que el derecho a la protección de los datos personales se protege como un derecho fundamental, las empresas realizan prácticas no permitidas y especialmente invasivas para la privacidad sin tener en cuenta este hecho.

Una de las formas que tienen los reguladores para tratar que no se lleven a cabo practicas no permitidas y por lo tanto destinadas al cumplimiento de la normativa, no es otra que la imposición de sanciones de carácter económico a aquellas organizaciones que no traten los datos de forma lícita.

La ley 13/1999 de protección de datos de carácter personal ya preveía una serie de sanciones que podían alcanzar la cifra de 600.000 euros en el caso de las más graves. A continuación, detallamos de forma más concreta el tipo de sanciones LOPD de la normativa aplicable hasta el 25 de Mayo y las posibles sanciones establecidas en el RGPD.

 

2. ¿Qué tipos de infracciones hay y qué sanciones LOPD se imponen?

 

La regulación en materia de protección de datos que se venía aplicando imponía una serie de sanciones LOPD a determinadas acciones que supusieran un incumplimiento, en función de si éstas se consideraban infracciones leves, graves o muy graves.

Se consideraban infracciones leves a aquellas que implicaban una menor gravedad como son por ejemplo, no llevar a cabo la inscripción de los ficheros ante la Agencia Española de Protección de Datos, o no firmar un contrato de encargado de tratamiento entre el Responsable y el Encargado del tratamiento de datos. Estás infracciones estaban castigadas entre 900 y 40.000 €.

Las infracciones graves eran aquellas que los órganos reguladores consideraban que el incumplimiento podía tener una relevancia mayor para la privacidad de los afectados. Las de carácter grave más frecuentes consistían en tratar los datos sin haber recabado un consentimiento lícito, vulnerar el deber de secreto o no adoptar las medidas de seguridad adecuadas. Las infracciones graves estaban castigas con sanciones LOPD que iban desde los 400.001  a los 300.000 €.

Por último,  se consideraban las infracciones muy graves que suponen las más graves vulneraciones a la privacidad a ojos de las autoridades de control. El recoger datos de forma engañosa o fraudulenta o realizar transferencias internacionales de datos a países no seguros sin autorizaciones, eran algunos de los supuestos castigados como muy graves. En estos casos la sanción iba desde los 300.001 euros, hasta la nada despreciable cantidad de 600.000 €.

 

A diferencia de las sanciones LOPD, con la aplicación del RGPD las infracciones serán de dos tipos:
  • En primer lugar, aquellas que podrán suponer sanciones de hasta 10 Millones de Euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior. Con carácter general, son aquellas que suponen un incumplimiento de las medidas de seguridad adecuadas o la no diligencia a la hora de tratar los datos.

 

  • Por otra parte, las sanciones que pueden alcanzar hasta los 20 Millones de Euros o el 4% de facturación global del ejercicio financiero anterior. En este caso, nos referimos a aquellas que suponen vulneraciones de los principios fundamentales de la materia, la vulneración de los derechos de los interesados o la realización de transferencias internacionales a países no seguros sin las garantías adecuadas.

 

3. ¿Qué introduce el Proyecto de LOPD?

 

En materia de sanciones, el RGPD instaura que corresponde a cada una de las autoridades de control el establecimiento de las normas en materia de otras sanciones aplicables a las infracciones del RGPD, siendo estas sanciones efectivas, proporcionadas y disuasorias.

El proyecto de ley orgánica de protección de datos (que se encuentra en trámites parlamentarios) establece, al igual que hacía la anterior normativa, una serie de infracciones que pueden ser valoradas en leves, graves o muy graves. De esta forma, se valoran las cuantías a imponer en materia de sanciones LOPD y RGPD.

De igual manera, se fijan los plazos de prescripción de dichas sanciones en función de la cuantía que, para la comisión de cada una de las infracciones cometidas, haya impuesto la autoridad de control. Ha quedado fijado que hasta los 40.000 euros, tendrá un plazo de prescripción de 1 año. Y para el rango desde 40.001 a 300.000 euros, tendrán un plazo de 2 años. El plazo de 3 años es para las superiores a 300.001 euros.

 

sanciones LOPD

 

4. ¿Por qué se produce un aumento de las sanciones LOPD?

 

Las sanciones LOPD ya imponían unas cuantías relevantes que podían suponer un grave impacto para las PYMES que integran el tejido empresarial de nuestro país. Sin embargo, nos encontramos con que a determinadas macro empresas (frecuentemente son las que realizan tratamientos con un mayor impacto para la privacidad de los interesados) dichas cantidades no suponían realmente un impedimento para la realización de algunas prácticas no permitidas. La rentabilidad alcanzada por las acciones que realizaban, en comparación con la cuantía de la sanción que podían imponer las autoridades de control, hacía que no fuesen efectivas, ya que la rentabilidad era claramente superior.

Por ello, el RGPD trata de adecuar la cuantía de las sanciones impuestas al poder económico de algunas empresas con un gran volumen de facturación, con el objetivo de que las mismas tengan el carácter disuasorio adecuado. De esta forma, se trata de impedir que puedan llevar a cabo acciones o tratamientos que supongan una vulneración del derecho a la protección de datos de carácter personal.

En Grupo Adaptalia como especialistas en Consultoría en Protección de Datos, nos ocupamos de la Defensa en procedimientos sancionadores de la AEPD y todo lo relacionado con sanciones LOPD y adaptación al nuevo RGPD. Así como ante la Jurisdicción Contencioso Administrativa. Consúltenos su caso sin compromiso para que podamos ayudarle.