Siguiendo con nuestro estudio y análisis del Reglamento Europeo de Protección de Datos (en adelante RGPD), en esta ocasión, nos centraremos en el desarrollo del Régimen Sancionador.
¿Cómo se encuentra regulado en el RGPD?, ¿Qué novedades introduce el RGPD respecto de la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)? Y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, ¿qué indica al respecto?
En el Capítulo VIII del RGPD, que reza “Recursos, responsabilidades y sanciones” se introducen las principales novedades respecto del régimen sancionador, representado los derechos y deberes de las partes y estableciendo condiciones generales y límites a la imposición de multas de carácter administrativo.
Comenzando por la tipificación de las infracciones, en el RGPD no encontramos un artículo como el 44 de nuestra actual LOPD, con una clasificación clara de infracciones en leves, graves y muy graves. El RGPD, en este sentido, podemos decir que es bastante genérico recogiendo en su considerando 148 que con el fin de reforzar la aplicación de las normas del RGPD, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del RGPD, o en sustitución de estas medidas.
Sin embargo, en España, el Anteproyecto mantiene la clasificación que conocemos, a lo largo de sus artículos 72 a 74, es decir, efectúa una relación detallada de las conductas recogidas en el RGPD donde su incumplimiento será considerado como :
1. Infracciones muy graves, de entre las 17 conductas tipificadas como muy graves por el legislador español, destacamos:
a. El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del RGPD o incumpliendo los requisitos para la validez del consentimiento exigidos por el artículo 7 del RGPD.
b. El tratamiento de categorías especiales de datos sin que concurran las circunstancias previstas en el RGPD.
c. La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal así como la vulneración del deber de confidencialidad.
d. El impedimento, obstaculización o la no atención reiterada del ejercicio de los derechos de los interesados.
e. El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente.
f. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
g.La transferencia internacional de datos a un tercer país u organización internacional a tenor de los artículos 44 a 49 del RGPD.
El periodo de prescripción establecido para este tipo de infracciones será de tres años.
2. Infracciones graves, en este caso, el Anteproyecto recoge un total de 28 conductas graves de entre las cuales destacamos:
a. El tratamiento de datos de carácter personal de un menor de trece años sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, así como no acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por estos.
b. La falta de adopción de aquellas medidas apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño y por defecto integrando las garantías necesarias en el tratamiento.
c. El impedimento o la obstaculización o la no atención reiterada de los derechos de los afectados.
d. La contratación por el responsable del tratamiento de un encargado de tratamiento de acuerdo a las exigencias del RGPD.
e. No cooperar con las autoridades de control en el ejercicio de sus funciones.
f. La no notificación de las violaciones de seguridad de datos personales a las partes interesadas (responsable, autoridad de control, afectado)
g .El tratamiento de datos de carácter personal sin llevar a cabo una previa valoración de los riesgos.
h. La no designación de un delegado de protección de datos cuando sea exigible su nombramiento así como el incumplimiento de otras exigencias del RGPD en relación con el mismo.
i. El incumplimiento por parte de un organismo de certificación de los principios y deberes establecidos en el RGPD, o el desempeño de sus funciones sin haber sido correctamente acreditado.
El periodo de prescripción para las infracciones tipificadas como graves será de dos años.
3. Infracciones leves, encontramos un total de 19 conductas que tendrán una prescripción de un año y que corresponderán a las restantes infracciones de carácter meramente formal. Destacamos:
a. El incumplimiento del principio de transparencia, del derecho de información del afectado o de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.
b. No atender a las solicitudes del ejercicio derechos de los interesados, o su incumplimiento.
c. El incumplimiento por encargado o subencargado de las estipulaciones impuestas en el contrato con el responsable del tratamiento.
d. La notificación incompleta o defectuosa de las violaciones de seguridad.
e. El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos conforme a lo establecido en el RGPD.
Toda vez que se ha tipificado una conducta como infracción, se deberá imponer la sanción correspondiente. Dedicaremos artículos en exclusiva a su estudio.