¿QUÉ ME PUEDE PASAR POR INCUMPLIR LA LOPD? Recuerde que el desconocimiento no exime el cumplimiento de la Ley ni de las sanciones
La protección de los datos generados o recopilados por su empresa, es una cuestión de vital importancia y una obligación legal. La Ley 15 /1999 de Protección de Datos de Carácter Personal, establece una serie de obligaciones a nivel legal, organizativo, formativo e informativo para todas las empresas, profesionales y administraciones públicas que sean titular de datos de carácter personal.
La entrada en vigor del Reglamento Europeo de Protección de Datos va a suponer que las empresas y entidades tengan que revisar sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos.
Recuerde que el desconocimiento, no exime a las empresas públicas y privadas, del cumplimiento de la LOPD y por tanto tampoco los libra de recibir las sanciones económicas que suponen su incumplimiento.
Tanto la obligación de cumplir con la ley como las sanciones no tienen nada que ver con el tamaño de la empresa ni con el tipo de actividad.
El incumplimiento de la normativa puede dar lugar a sanciones económicas, que se establecen en función de la infracción cometida. La agencia puede actuar de oficio o por denuncia.
¿Quién me puede denunciar?
Cualquier persona, trabajador, cliente, proveedor, empleado, vecino, competencia…, puede poner una denuncia totalmente gratuita y simplemente por no estar dado de alta en la Agencia ya tiene la primera sanción.
Tipos de infracciones
Cabe recordar que a partir de la entrada en vigor del Reglamento Europeo, las sanciones serán sumamente importantes llegando a los 20.000.000€ o, si es una empresa, una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior, eligiendo la de mayor cuantía.
Actualmente y según la LOPD, vigente hasta el 25 de mayo de 2018, hay tres tipos de infracciones: leves, graves y muy graves.
Las infracciones leves serán sancionadas con multas de 900 a 40.000 euros.
- No remitir a la AGPD las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
- No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
- La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el art. 12 de la LOPD.
Las infracciones graves serán sancionadas con una multa de 40.001 a 300.000 euros.
- Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el BOE o diario oficial correspondiente.
- Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando éste sea necesario de acuerdo con lo dispuesto en la Ley LOPD y sus disposiciones de desarrollo.
- Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el art. 4 de la Ley LOPD y disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
- La vulneración del deber de guardar secreto sobre el tratamiento de los datos de carácter personal a que se refiere el art. 10 de la Ley LOPD.
- El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
- El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
- El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por la Ley LOPD y sus disposiciones de desarrollo.
- Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
- No atender los requerimientos o advertencias de la AGPD o no proporcionar todos los documentos e informaciones que solicite.
- La obstrucción al ejercicio de la función inspectora.
- La comunicación o cesión de los datos de carácter personal sin contar con legitimación, que para ello, prevé la Ley LOPD y disposiciones reglamentarias de desarrollo, salvo que ésta sea constitutiva de infracción muy grave .
Las infracciones muy graves serán sancionadas con multas de 300.001 a 600.000 euros.
- La recogida de datos en forma engañosa o fraudulenta.
- Tratar o ceder los datos de carácter personal especialmente protegidos salvo en los supuestos en que la Ley LOPD lo autoriza.
- No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del director de la AGPD para ello.
- La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AGPD salvo los supuestos en que de acuerdo con la Ley LOPD y sus disposiciones de desarrollo la autorización no sea necesaria.
¿Cómo se cuantifican?
Para cuantificar y valorar el valor exacto de la multa, se tienen en cuenta una serie de criterios que exponemos a continuación.
- El carácter continuado de la infracción.
- El volumen de los tratamientos efectuados.
- La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
- El volumen de negocio del infractor.
- Los beneficios obtenidos tras la infracción.
- El grado de intencionalidad.
- La reincidencia por comisión de infracciones de la misma naturaleza.
- La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
- La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
- Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad del infractor.
El órgano sancionador establece la cuantía teniendo en cuenta la gravedad de la infracción, y si se cumplen alguno de los siguientes supuestos:
- Cuando se aprecie una disminución de la culpabilidad del imputado o de la antijuridicidad del hecho.
- Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
- Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
- Cuando el infractor haya reconocido espontáneamente su culpabilidad.
- Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
- De forma excepcional, el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
- Que los hechos fuesen constitutivos de infracción leve o grave.
- Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
