RÈGIM SANCIONADOR EN INFRACCIONS DEL GDPR I DE LA LOPDGDD
Josep Aragonés Salvat 19/05/2021
En aquest article es detallen les infraccions relatives a l'incompliment de la normativa de protecció de dades. Les infraccions es classifiquen per nivell de gravetat i estan ordenades per l'articulat de GDPR i la LOPDGDD.
ÍNDICE
- Figures subjectes a el règim sancionador (art.70 LOPDGDD)
- Sancions (art. 83 GDPR i art. 76 de la LOPDGDD)
- Prescripció de les sancions (art. 78 de la LOPDGDD)
- Infraccions considerades molt greus
- Infraccions considerades greus
- Infraccions considerades lleus
1. FIGURES SUBJECTES A EL RÈGIM SANCIONADOR (art. 70 LOPDGDD)
L'Autoritat de control (AC) disposarà de poders correctius per sancionar els següents subjectes responsables:
- Els Responsables del tractament (RT)
- Els Encarregats del tractament (ET)
- Els representants de RT o ET no establerts en el territori de la UE
- Les entitats de certificació
- Les entitats acreditades de supervisió dels codis de conducta
No està subjecte a el règim sancionador:
- El Delegat de protecció de dades (DPO)
2. SANCIONS (art. 83 GDPR i art. 76 de la LOPDGDD)
La AC pot imposar multes administratives al RT i ET per infringir el GDPR garantint que seran efectives, proporcionades i dissuasòries.
Les multes administratives s'imposaran en funció de les circumstàncies de cada cas individual, tenint en compte les facultats investigadores i correctores conferides a l'AC.
La decisió de l'AC per imposar una multa administrativa i calcular el seu import tindrà en compte:
- La naturalesa, gravetat i durada de la infracció en relació amb la finalitat del tractament.
- El nombre d'interessats afectats.
- El nivell dels perjudicis soferts per les persones interessades.
- La intencionalitat o negligència de la infracció.
- Les categories de dades afectades per la infracció.
- El grau de responsabilitat del RT o ET.
- La reiteració d'infraccions del RT o ET.
- Les mesures preses pel RT o ET per pal·liar els perjudicis soferts per les persones interessades.
- El grau de cooperació amb l'AC per tal de posar remei a la infracció i mitigar-ne els possibles efectes adversos.
- La forma en que l'AC ha tingut coneixement de la infracció (si s'ha notificat, o en la mesura que s'ha fet).
- El compliment de les mesures ordenades prèviament per l'AC contra l'RT o ET en relació amb l'assumpte.
- L'adhesió a codis de conducta o a mecanismes de certificació aprovats per l'AC.
- Altres factors agreujants o atenuants aplicables a les circumstàncies de cada cas, com
- Els beneficis financers obtinguts o les pèrdues evitades per la infracció.
- El caràcter continuat de la infracció.
- La vinculació de l'activitat de l'infractor amb la realització de tractaments de dades personals.
- La possibilitat que la conducta de l'afectat hagués pogut induir a la comissió de la infracció.
- L'existència d'un procés de fusió per absorció posterior a la comissió de la infracció, que no pot imputar-se a l'entitat absorbent.
- L'afectació als drets dels menors.
- Disposar, quan no sigui obligatori, d'un DPO.
- La submissió per part del RT o ET, amb caràcter voluntari, a mecanismes de resolució alternativa de conflictes, en aquells supòsits en què hi hagi controvèrsies entre aquells i qualsevol interessat.
3. PRESCRIPCIÓ DE LES SANCIONS (art. 78 de la LOPDGDD)
Les sancions imposades en aplicació del GDPR i la LOPDGDD prescriuen en els terminis següents:
- 3 anys: infraccions considerades molt greus o amb un import superior a 300.000 euros.
- 2 anys: infraccions considerades greus o amb un import comprès entre 40.001 i 300.000 euros.
- 1 any: infraccions considerades lleus o amb un import igual o inferior a 40.000 euros.
El termini de prescripció comença a comptar des de l'endemà del dia en que es pugui executar la resolució per la qual s'imposa la sanció o hagi transcorregut el termini per recórrer-la.
La prescripció s'interromprà per la iniciació, amb coneixement de l'interessat, del procediment d'execució, tornant a transcórrer el termini si el procediment està paralitzat durant més de 6 mesos per causa no imputable a l'infractor.
4. INFRACCIONS CONSIDERADES MOLT GREUS
| Normativa | Article 83.5 i 83.6 del GDPR i 72 de la LOPDGDD |
| Prescripció | 3 anys |
| Multes administratives | En funció de les circumstàncies de cada cas individual: Mínim: 300.000 € Màxim: l'import més elevat entre 20.000.000 € i el 4% del total de la facturació global anual de l'exercici financer anterior |
| Infracció | PRINCIPIS (capítol II GDPR) | GDPR | LOPD GDD |
| 72.1.a | Infringir les disposicions relatives als «Principis relatius al tractament» | 5 | |
| 72.1.i | Vulneració el deure de confidencialitat | 5.1.f | 5 |
| 72.1.b | Infringir les disposicions relatives a la «Licitud del tractament» | 6 | |
| 72.1.d | Utilització de les dades per a una finalitat que no sigui compatible amb la finalitat per a la qual es van recollir, sense comptar amb el consentiment de l'afectat o amb una base legal per a això | 6.4 | |
| 72.1.c | Infringir les disposicions relatives a les «Condicions per al consentiment» | 7 | |
| 72.1.e | Infringir les disposicions relatives al «Tractament de categories especials de dades» | 9 | 9 |
| 72.1.f | Infringir les disposicions relatives al «Tractament de dades relatives a condemnes i infraccions penals» | 10 | 10 |
| 72.1.p | La reversió deliberada d'un procediment d'anonimització per tal de permetre la re-identificació dels interessats | Cdo. 75 i 85 |
| Infracció | DRETS DE L'INTERESSAT (capítol III GDPR) | GDPR | LOPD GDD |
| 83.5.b | Infringir les disposicions relatives als «Drets de l'interessat» | 12 a 22 | |
| 72.1.j | Exigir el pagament d'un cànon per facilitar la informació del tractament, fora dels supòsits establerts en art. 12.5 del GDPR | 12.5 | |
| 72.1.j | Exigir el pagament d'un cànon per atendre les sol·licituds d'exercici de drets, fora dels supòsits establerts en art. 12.5 del GDPR | 12.5 | |
| 72.1.h | Omissió del deure d'informar l'interessat | 13 i 14 | 12 |
| 72.1.k | Impedir, obstaculitzar o no atendre reiteradament l'exercici de drets | 15 a 22 |
| Infracció | TRACTAMENTS CONCRETS (títol IV LOPDGDD) | GDPR | LOPD GDD |
| 72.1.g | Tractar dades personals relacionats amb infraccions i sancions administratives fora dels supòsits permesos | 27 |
| Infracció | RESPONSABLE I ENCARREGAT DEL TRACTAMENT (títol V LOPDGDD) | GDPR | LOPD GDD |
| 72.1.n | Incomplir l'obligació de bloqueig de les dades quan la mateixa sigui exigible | 32 |
| Infracció | TRANSFERÈNCIES INTERNACIONALS DE DADES (capítol V GDPR) | GDPR | LOPD GDD |
| 72.1.l | Realitzar transferències internacionals de dades quan no concorrin les garanties, requisits o excepcions establertes | 44 a 49 |
| Infracció | SITUACIONS ESPECÍFIQUES DE TRACTAMENT (capítol IX GDPR) | GDPR | LOPD GDD |
| 83.5.d | Infringir les disposicions relatives al «Tractament i llibertat d'expressió i d'informació» | 85 | |
| 83.5.d | Infringir les disposicions relatives al «Tractament i accés de públic a documents oficials» | 86 | |
| 83.5.d | Infringir les disposicions relatives al «Tractament del nombre nacional d'identificació» | 87 | |
| 83.5.d | Infringir les disposicions relatives al «Tractament en l'àmbit laboral» | 88 | |
| 83.5.d | Infringir les disposicions relatives a les «Garanties i excepcions aplicables al tractament amb fins d'arxiu en interès públic, fins d'investigació científica o històrica o fins estadístiques» | 89 | |
| 83.5.d | Infringir les disposicions relatives a les «Obligacions de secret» | 90 | |
| 83.5.d | Infringir les disposicions relatives a les «Normes vigents sobre protecció de dades de les esglésies i associacions religioses» | 91 |
| Infracció | AUTORITATS DE CONTROL (AC) (capítol VI GDPR) | GDPR | LOPD GDD |
| 72.1.ñ | No facilitar l'accés de personal de la AC a les dades personals, informació, locals, equips i mitjans de tractament que siguin requerits per l'autoritat de protecció de dades per a l'exercici dels seus poders d'investigació | 58.1 | |
| 72.1.o | La resistència o obstrucció de l'exercici de la funció inspectora per l'AC | 57 | |
| 72.1.m | Incomplir un requeriment de l'AC | 58.2 | |
| 72.1.m | Incomplir les resolucions dictades per l'AC | 58.2 |
5. INFRACCIONS CONSIDERADES GREUS
| Normativa | Article 83.4 del GDPR i 73 de la LOPDGDD |
| Prescripció | Als 2 anys |
| Multes administratives | En funció de les circumstàncies de cada cas individual: Mínim: entre 40.001 € i 300.000 € Màxim: import més elevat entre 10.000.000 € i el 2% del total de la facturació global anual de l'exercici financer anterior |
| Infracció | PRINCIPIOS (capítol II GDPR) | GDPR | LOPD GDD |
| 83.4.a | Condicions aplicables a el consentiment del menor en relació amb els serveis de la societat de la informació | 8 | |
| 73.a | El tractament de dades personals d'un menor d'edat sense demanar el seu consentiment, quan tingui capacitat per a això, o el del titular de la seva pàtria potestat o tutela | 8 | 7 |
| 73.b | No acreditar la realització d'esforços raonables per a verificar la validesa de el consentiment prestat per un menor d'edat o pel titular de la seva pàtria potestat o tutela sobre el mateix | 8.2 | 7 |
| 83.4.a | Infringir les disposicions relatives als «Tractaments que no requereixen identificació» | 11 | |
| 73.c | Impedir, obstaculitzar o no atendre reiteradament l'exercici dels drets d'accés, rectificació, supressió, limitació o portabilitat en tractaments en els quals no es requereix la identificació de l'interessat, quan aquest, per a exercir aquests drets, hagi facilitat informació addicional que permeti la seva identificació | 11.2 Cdo. 57 |
| Infracció | RESPONSABLE I ENCARREGAT DEL TRACTAMENT (capítol IV GDPR) | GDPR | LOPD GDD |
| Obligacions generals | |||
| 83.4.a | Infringir les disposicions relatives a la «Protecció de dades des del disseny i per defecte» | 25 | |
| 73.d | No adoptar mesures tècniques i organitzatives apropiades per aplicar la protecció de dades des del disseny incloent les garanties necessàries en el tractament | 25 | |
| 73.e | No adoptar mesures tècniques i organitzatives necessàries per assegurar que, per defecte, només es tractaran les dades necessàries per a cada cap del tractament | 25.2 | |
| 83.4.a | Infringir les disposicions relatives als «Corresponsables del tractament (CoRT)» | 26 | |
| 83.4.a | Infringir les disposicions relatives als «Representants dels RT no establerts a la UE» | 27 | |
| 73.h | No designar un representant del RT o ET no establert a la UE | 27 | |
| 73.i | Falta d'atenció del representant a la UE de les sol·licituds efectuades per l'AC o pels interessats | 27.4 | |
| 83.4.a | Infringir les disposicions relatives als «Encarregats del tractament (ET)» | 28 | |
| 73.p | Tractar dades personals sense dur a terme una prèvia valoració dels elements esmentats a l'article 28 LOPDGDD (Obligacions generals del RT i ET) | 28 | |
| 73.j | Contractar una ET que no ofereixi prou garanties per aplicar les mesures tècniques i organitzatives apropiades acord amb el que estableix el capítol IV del GDPR | 28.1 | |
| 73.l | Contractar, per part d'un ET, altres SubET sense comptar amb l'autorització prèvia del RT, o sense informar-lo dels canvis en la subcontractació quan aquests siguin exigibles | 28.2 | |
| 73.k | Encarregar el tractament a un ET sense la prèvia formalització d'un contracte o acte jurídic que contingui el que disposa el GDPR | 28.3 | |
| 73.m | La infracció d'un ET en determinar pel seu compte els fins i els mitjans del tractament | 28.10 | |
| 83.4.a | No adoptar mesures perquè qualsevol persona que actuï sota l'autoritat del RT o ET i tingui accés a dades personals els tracti seguint les instruccions del RT | 29 | |
| 73.n | No disposar de Registre d'activitats de tractament | 30 | |
| 73.ñ | No posar a disposició de l'AC el Registre d'activitats de tractament | 30.4 | |
| 83.4.a | No cooperar amb la AC | 31 | |
| 73.o | No cooperar amb l'AC en l'exercici de les seves funcions en els supòsits no previstos en l'article 72 de la LOPDGDD (infraccions considerades molt greus) | 31 | |
| Seguretat de les dades personals | |||
| 83.4.a | Infringir les disposicions relatives a la «Seguretat del tractament» | 32 | |
| 73.f | No adoptar mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat a el risc del tractament | 32.1 | |
| 73.g | Trencar, a conseqüència de la manca de la deguda diligència, les mesures tècniques i organitzatives que s'haguessin implantat | 32.1 | |
| 73.r | No notificar una violació de seguretat a l'AC | 33 | |
| 73.q | Incomplir el deure de l'ET de notificar al RT les violacions de seguretat de les que tingués coneixement | 33 | |
| 73.s | No comunicar una violació de seguretat a l'interessat | 34 | |
| 73.s | Incomplir el deure de comunicació a l'interessat d'una violació de la seguretat quan sigui requerit per l'AC | 34 | |
| Avaluació d'impacte | |||
| 83.4.a | Infringir les disposicions relatives a l'«Avaluació d'impacte» | 35 | |
| 73.p | Tractar dades sense dur a terme una prèvia valoració de si procedeix la realització d'una avaluació d'impacte i la consulta prèvia a l'AC | 28 | |
| 73.t | Tractar dades personals sense haver dut a terme una DPIA de les operacions de tractament en els supòsits en què la mateixa sigui exigible | 35.3 | |
| 83.4.a | Infringir les disposicions relatives a la «Consulta prèvia» | 36 | |
| 73.u | Tractar dades personals sense realitzar una consulta prèvia a l'AC en els casos en què resulti preceptiva o quan la llei estableixi l'obligació de fer-la | 36 | |
| Delegat de protecció de dades | |||
| 83.4.a | Infringir les disposicions relatives a la «designació, funcions i comeses de l'DPO» | 37 a 39 | |
| 73.v | Incomplir l'obligació de designar un DPO quan sigui exigible | 37 | 34 |
| 73.w | No possibilitar la participació del DPO en totes les qüestions relatives a la protecció de dades, no recolzar-lo o interferir en l'exercici de les seves funcions | 38 | |
| Codis de conducta i certificació | |||
| 73.ab | Exercir funcions reservades als organismes de supervisió de codis de conducta sense haver estat prèviament acreditat per l'AC | 41 | |
| 73.ac | No adoptar, per part dels organismes acreditats de supervisió d'un codi de conducta, les mesures oportunes en cas de produir una infracció del codi | 41.4 | |
| 83.4.a | Infringir les disposicions relatives a les «Garanties de certificació» | 42 | |
| 73.x | Utilitzar un segell o certificat de protecció de dades que no hagi estat atorgat per una entitat de certificació acreditada o quan la vigència dels quals ha expirat | 42 | |
| 73.aa | Incomplir, per part d'un organisme de certificació, els principis i deures a què està sotmès | 42 y 43 | |
| 83.4.a | Infringir les disposicions relatives als «Organismes i procediments de certificació» | 43 | |
| 73.y | Obtenir l'acreditació com a organisme de certificació presentant informació inexacta sobre el compliment dels requisits exigits | 43 | |
| 73.z | Exercir funcions que el GDPR reserva als organismes de certificació, sense haver estat degudament acreditat | 43.1 | 39 |
6. INFRACCIONS CONSIDERADES LLEUS
| Normativa | Les restants infraccions de caràcter merament formal dels articles 83.4 i 83.5 del GDPR i 74 de la LOPDGDD |
| Prescripció | 1 any |
| Multes administratives | En funció de les circumstàncies de cada cas individual, amb un màxim de 40.000 € |
| Infracció | PRINCIPIS (capítol II GDPR) | GDPR | LOPD GDD |
| 74.d | No atendre l'exercici dels drets d'accés, rectificació, supressió, limitació o portabilitat en tractaments en els quals no es requereix la identificació de l'interessat, quan aquest, per a exercir aquests drets, hagi facilitat informació addicional que permeti la seva identificació, llevat que resultés aplicable el que disposa l'article 73.c de la LOPDGDD | 11.2 Cdo. 57 |
| Infracció | DRETS DE L'INTERESSAT (capítol III GDPR) | GDPR | LOPD GDD |
| 74.b | Exigir el pagament d'un cànon per facilitar la informació del tractament o per atendre l'exercici dels drets de l'interessat, quan ho permeti l'art. 12.5 del GDPR però la seva quantia excedeixi l'import dels costos afrontats per facilitar la informació o realitzar l'actuació sol·licitada | 12 y 15 | |
| 74.a | Incomplir el principi de transparència de la informació o el dret d'informació de l'interessat per no facilitar tota la informació exigida en el GDPR | 13 y 14 | |
| 74.c | No atendre les sol·licituds d'exercici dels drets de l'interessat, llevat que resultés d'aplicació el que disposa l'article 72.1.k de la LOPDGDD | 15 a 22 | |
| 74.e | No notificar la rectificació o supressió de dades o la limitació del tractament a cada un dels destinataris als quals s'hagin comunicat les dades, llevat que sigui impossible o exigeixi un esforç desproporcionat | 19 | |
| 74.f | No informar l'interessat, quan ho hagi sol·licitat, dels destinataris als quals s'hagin comunicat les dades personals rectificades, suprimides o respecte de les quals s'hagi limitat el tractament | 19 |
| Infracció | DISPOSICIONS GENERALS (títol I LOPDGDD) | GDPR | LOPD GDD |
| 74.g | No suprimir les dades referides a una persona morta quan això fos exigible | 3 |
| Infracció | RESPONSABLE I ENCARREGAT DEL TRACTAMENT (títol V LOPDGDD) | GDPR | LOPD GDD |
| Obligacions generals | |||
| 74.h | No formalitzar un acord amb corresponsables del tractament (CoRT) que determini les obligacions, funcions i responsabilitats i les seves relacions amb els interessats, o la inexactitud en la determinació de les mateixes | 26 | |
| 74.i | No posar a disposició dels interessats els aspectes essencials de l'acord formalitzat entre els CoRT | 26.2 | |
| 74.k | Incomplir, per part de l'ET, les estipulacions imposades en el contracte o acte jurídic que regula el tractament o les instruccions del RT, llevat que estigui legalment obligat a això conforme el GDPR i la LOPDGDD, o en els supòsits en què fos necessari per evitar la infracció i s'hagués advertit d'això al RT o ET | 28.3 | |
| 74.j | Incomplir, per part de l'ET, l'obligació d'informar el RT sobre la possible infracció per rebre una instrucció que incompleix el GDPR o la LOPDGDD | 28.3.h | |
| 74.l | Disposar d'un Registre d'activitats de tractament que no incorpori tota la informació | 30 | |
| Seguretat de les dades personals | |||
| 74.m | La notificació incompleta, tardana o defectuosa a l'AC relacionada amb una violació de seguretat | 33 | |
| 74.n | No documentar qualsevol violació de seguretat en els termes exigits en el GDPR | 33.5 | |
| 74.ñ | No comunicar a l'interessat una violació de la seguretat que comporti un alt risc per als seus drets i llibertats | 34 | |
| Avaluació d'impacte | |||
| 74.o | Facilitar informació inexacta a l'AC, en els supòsits en què el RT hagi d'elevar una consulta prèvia | 36 | |
| Delegat de protecció de dades | |||
| 74.p | No publicar les dades de contacte del DPO, o no comunicar-les a l'AC, quan el seu nomenament sigui exigible | 37 | 34 |
| Codis de conducta i certificació | |||
| 74.q | Incomplir, per part dels organismes acreditats de supervisió d'un codi de conducta, l'obligació d'informar a l'AC sobre les mesures que resultin oportunes en cas d'infracció de el codi | 41.4 | |
| 74.r | Incomplir, per part dels organismes de certificació, l'obligació d'informar a l'AC de l'expedició, renovació o retirada d'una certificació | 43.1 i 43.5 |