Sanciones derivadas de una mala gestión de la Protección de Datos

Cada empresa, institución, organización, etc. cumple con las normativas y leyes que les corresponden, por lo tanto, todos aquellos que manejen datos personales en España deberán cumplir con el Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

Como sucede cuando las leyes se incumplen, hay unas sanciones a las que atenerse; aquí te presentamos las referentes a la protección de datos en las empresas.

¿En qué se apoyan las sanciones?

En base a la RGPD, los Estados miembros se comprometen a adoptar todas las medidas necesarias para garantizar la correcta aplicación y el cumplimiento de las normas, y a aplicar las sanciones correspondientes y de manera que sean efectivas.

Estas sanciones variarán en función de las circunstancias particulares de cada caso, y se impondrán teniendo en cuenta los siguientes factores:

1. La naturaleza, gravedad y duración de la infracción, así como su alcance o propósito, el número de afectados y el nivel de daños y perjuicios
2. Las medidas tomadas por el encargado de paliar esos daños y perjuicios y su grado de responsabilidad
3. La intencionalidad o negligencia de la infracción
4. Toda infracción anterior cometida por el responsable
5. El grado de cooperación del responsable para poner remedio a la infracción y mitigar los posibles efectos adversos
6. La categoría de los datos personales afectados por la infracción
7. La forma en la que la autoridad competente tuvo conocimiento de la infracción
8. El cumplimiento de las medidas indicadas con anterioridad en relación con el mismo asunto
9. La adhesión a códigos de conducta o mecanismos de certificación
10. Cualquier otro factor atenuante o agravante

Tipos de infracciones

Hay una distinción entre: infracciones muy graves, graves y leves, grado que será establecido en base a:

1. Si la infracción fue de carácter continuado
2. Si la actividad del infractor estuvo vinculada con tratamientos de datos personales
3. Los beneficios obtenidos como consecuencia de la infracción
4. La posibilidad de que la conducta del afectado hubiera podido inducir a cometer la infracción
5. La existencia de un proceso de fusión posterior a cometer la infracción

La diferencia entre infracciones leves, graves o muy graves se verá en la duración de la sanción y su cuantía. Mientras que las leves prescriben al año, las graves lo hacen a los 2 y las más graves a los 3. En lo referente a la cuantía: las leves pueden alcanzar los 40.000€, las graves oscilan entre 40.001 y 300.000€ y las muy graves entre 300.000€ y 20.000.000€ o el 2 %-4 % del volumen de negocio total anual global.

Así pues, estas últimas suponen un incumplimiento fundamental del tratamiento y están relacionadas con:

• El uso de datos para una finalidad que dista de la pactada
• Omisión del deber de informar o no hacerlo como se debe
• Exigir un pago para el ejercicio de los derechos
• Transferir datos a otros países 

Las graves suponen una vulneración fundamental del tratamiento, y  están relacionadas con:

• Recabar datos de menores sin consentimiento
• No adoptar medidas técnicas u organizativas para proteger los datos
• No nombrar un Delegado de Protección de Datos

Las leves abarcan:

• Falta de transparencia con la información
• Incumplimiento de informar cuando se solicite
• Incumplimiento de las obligaciones por parte de la persona encargada del tratamiento de datos

¿Cuáles son las infracciones más comunes?

Cuando tu empresa y tú estáis bien asesorados, no tiene por qué pasar nada grave, pero desde el desconocimiento que implica no contar con la figura del DPD, no es difícil despistarse. Te contamos cuáles son las infracciones que se repiten más, a pesar de ser fáciles de evitar, en materia de protección de datos:

No tener un Delegado de Protección de Datos

La presencia de esta figura es obligatoria en ciertas empresas, instituciones, etc. Si la tuya entra dentro de este espectro, incorporar un DPO en tu plantilla es lo primero que debes hacer, sobre todo porque será el factor determinante a la hora de evitar cometer el resto de infracciones.

Mala gestión de documentos

La gestión documental, además de contribuir al orden y control de esos documentos, también garantiza la confidencialidad de los datos que contengan.

No destruir documentos confidenciales

Al hilo de la anterior, si no controlamos los documentos con los que trabajamos, puede que pasemos por alto destruir aquellos con información confidencial que, de verse expuesta, podría derivar en serios problemas para la empresa.

Las sanciones derivadas de la infracción de la Ley de Protección de Datos con las más elevadas en la Unión Europea, principalmente como medida disuasoria para que las empresas no contemplen otra opción que no sea la de cumplir con la normativa. Además, si la Agencia lo considera oportuno, puede paralizar ciertas actividades de la empresa acometedora de la infracción. 

Por estas, entre otras razones, es primordial estar informado y asesorado correctamente sobre la normativa y sobre cómo cumplirla.

¿Necesitas un DPD? No dudes en contactar con nosotros.