Nuevas sanciones de protección de datos

Recientemente ha sido convalidado por el Congreso el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos que establece un nuevo marco de sanciones de protección de datos.

La nueva LOPD tendrá que esperar

En noviembre de 2017 el Gobierno remitió un proyecto de Ley Orgánica de Protección de Datos Personales, el cual está aún pendiente de su debate y aprobación en el Congreso de los Diputados para aplicar plenamente al ordenamiento jurídico español las medidas especificadas en el nuevo Reglamento General de Protección de Datos ( RGPD ), de ámbito europeo.

Mientras tanto están coexistiendo el RGPD y la antigua LOPD de 1999, cuyos preceptos colisionan en algunos aspectos, en especial en el régimen de sanciones de protección de datos.

La aprobación del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, es una indicación clara de que no se espera que se vaya a aprobar la nueva LOPD en el Congreso próximamente, motivo por el que el Gobierno ha decidido legislar sobre aquellos aspectos del ordenamiento en materia de protección de datos personales que no requieren de una Ley Orgánica, como por ejemplo el régimen de sanciones de protección de datos.

Congreso de los Diputados

Novedades normativas

El nuevo real decreto comprende catorce artículos estructurados en tres capítulos. Su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos ( RGPD ) y que no están excluidas del ámbito del legislador de urgencia por el artículo 86 de la Constitución Española.

El Capítulo I atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigación que el Reglamento General de Protección de Datos otorga a las autoridades de control.

El Capítulo II articula el novedoso régimen de sanciones de protección de datos establecido en el RGPD, reemplazando los tipos infractores actualmente contenidos en la LOPD de 1999.

El Capítulo III contiene la regulación del procedimiento en caso de que exista una posible vulneración del Reglamento General de Protección de Datos, que les explicaré en detalle en un próximo artículo.

Inspección en materia de protección de datos

La actividad de investigación de la Agencia Española de Protección de Datos la llevarán a cabo los funcionarios de la Agencia ofuncionarios ajenos a ella habilitados expresamente por su Director. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones.

Quienes desarrollen la actividad de investigación podrán:

  • Recabar las informaciones precisas para el cumplimiento de sus funciones.
  • Realizar inspecciones
  • Requerir la exhibición o el envío de los documentos y datos necesarios
  • Examinar documentos y datos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos
  • Obtener copia de documentos y datos.
  • Inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.

Los poderes de investigación en lo que se refiere a la entrada en domicilios deberán ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa.

Sanciones LOPD

Régimen sancionador en materia de protección de datos

Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas de supervisión de los códigos de conducta.

No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia, si bien ello no significa que el delegado de protección de datos esté exento de cualquier responsabilidad, como explicaré en próximos artículos.

Infracciones en materia de protección de datos personales

Las sanciones de protección de datos por el incumplimiento de las obligaciones del responsable y del encargado del tratamiento, se sancionarán con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Las sanciones de protección de datos por por incumplimiento de las disposiciones siguientes se sancionarán, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

  • Vulneración de los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.
  • Vulneración de los derechos del interesado.
  • Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional sin las debidas garantías.
  • El incumplimiento de una resolución de una autoridad de control.

Prescripción de infracciones y de sanciones de protección de datos

Las infracciones prescribirán, con carácter general, a los tres años, excepto aquellas relacionadas con las responsabilidades del responsable y encargado del tratamiento, que prescribirán a los 2 años.

Las sanciones de protección de datos prescriben en los siguientes plazos:

  • Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
  • Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
  • Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

En conclusión

Las sanciones de protección de datos pueden ser extremadamente elevadas, por lo que no conviene tomarse a broma la gestión de datos personales ni la seguridad de la información. Por ello le recomiendo que se ponga en manos de personal técnico cualificado que asuma la responsabilidad en caso de negligencia o mala praxis. De contratar a personal no cualificado la responsabilidad será asumida totalmente por la empresa, así que mucho ojo.

mm

Sobre 

Soy perito informático judicial colegiado, legalmente habilitado para actuar ante los tribunales de Justicia, conferenciante y ponente habitual en jornadas sobre peritaje informático, ciberseguridad y tecnologías de la información. Estoy especializado en defensa penal, aunque también actúo en los órdenes civil, social, mercantil y contencioso-administrativo

    Puedes encontrar más sobre mi en:
  • facebook
  • googleplus
  • linkedin
  • twitter
¿Qué le ha parecido la información?

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

dos + dos =

A %d blogueros les gusta esto: