Las multas por incumplimiento de la LOPD se están convirtiendo en una gran preocupación para las empresas. Desde la entrada en vigor del Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantías y Derechos Digitales (LOPDGDD), las multas en protección de datos han ido aumentando de forma progresiva año tras año. De hecho, la Agencia Española de Protección de Datos se sitúa como la más activa dentro de toda Europa. De esta forma, las sanciones por incumplimiento de la LOPD no solo son cada vez más numerosas, sino también de mayor y mayor cuantía. 

Así, la AEPD impuso un total de 264 sanciones a lo largo de todo 2021, lo que supone más del 40% de la totalidad de multas publicadas en toda Europa. Entre las infracciones LOPD más frecuentes, podemos mencionar las cometidas por los servicios de internet y las relativas a videovigilancia, publicidad e inclusión en ficheros de morosos. 

¿Qué es la LOPD?

Desde la última década del siglo pasado, cuando comenzaron a aparecer las primeras regulaciones en materia de protección de datos, nuestra sociedad ha sufrido un gran cambio debido a la digitalización de nuestro día a día. La recogida, transmisión, intercambio de datos es cada vez más rápida. Además, el volumen de datos manejado ha alcanzado una escala impensable hace 20 o 30 años. Esto ha producido un gran impacto en nuestra intimidad, dejando obsoleta la normativa anterior. 

En este contexto nace en Europa el RGPD, con el objetivo de imponer un marco más estricto para el tratamiento de datos personales, a fin de asegurar la protección del Derecho Fundamental a la intimidad dentro de la Unión Europea, dando a las personas físicas el control de sus propios datos. En España se traspone esta norma a través de la LOPD, regulando diversos aspectos adicionales en materia de garantía de los derechos digitales de los ciudadanos.

Tipos de infracciones LOPD y multas asociadas

Ambas normas recogen una serie de sanciones por incumplimiento del deber de protección de los datos personales. No obstante, a continuación analizaremos las sanciones impuestas por la LOPD, ya que parte de la base del RGPD y amplían el número de infracciones. Así, las infracciones se dividen en tres categorías (leves, graves y muy graves), en función del artículo RGPD que se ha vulnerado. Además, la cuantía de la multa recogida en la LOPD variará dependiendo de varios criterios. Entre otros:

  • La naturaleza, gravedad, duración e intencionalidad de la infracción de la LOPD
  • Las medidas tomadas (preventivas y reactivas) para paliar la infracción de la LOPD. 
  • Posibles multas en materia de protección de datos
  • La categoría de datos e interesados afectados. 

Sanciones LOPD – Infracciones leves

Recogidas en el artículo 74, las infracciones LOPD consideradas como leves conllevan una multa de hasta 40.000 euros:

  • Incumplir el deber de información impuesto por los artículos 13 y 14 RGPD.
  • No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del RGPD
  • No proceder a la supresión de datos relativos a una persona fallecida cuando así lo determine el artículo 3 LOPD.
  • Incumplir con las obligaciones aplicables a la entidad, como Responsable y Encargado del Tratamiento.
  • No contar con un Registro de Actividades de Tratamiento que contenga toda la información exigida por el artículo 30 RGPD.
  • Comunicar fuera de plazo o de forma incompleta a la AEPD de una brecha de seguridad.
  • Incumplir con los requisitos del artículo 36 RGPD a la hora de elevar una consulta previa a la AEPD.
  • No informar sobre los datos de contacto del Delegado de Protección de Datos o no comunicarlos a la AEPD.

Sanciones LOPD – Infracciones graves

Recogidas en el artículo 73, las infracciones LOPD consideradas como graves conllevan una multa de entre 40.001 y  300.000 euros:

  • Tratar datos de menores de edad sin previo consentimiento o no acreditar esfuerzos razonables para verificar la validez del consentimiento del menor o de sus padres o tutores.
  • Obstaculizar la solicitud de los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos en los tratamientos en los que no se requiere la identificación del afectado.
  • No adoptar las medidas técnicas y organizativas apropiadas para garantizar la protección de datos desde el diseño y los principios generales de la protección de datos. 
  • No atender las solicitudes de la AEPD y otras Autoridades de Control.
  • Contratar un Encargado del Tratamiento que no ofrezca las garantías suficientes para asegurar la protección de los datos personales. 
  • No formalizar un contrato de encargo del tratamiento.
  • En el caso de Encargados del Tratamiento, contratar otros Encargados sin contar con la autorización del Responsable.
  • No disponer del Registro de Actividades del Tratamiento.
  • En determinadas ocasiones, no cooperar con la AEPD u otras autoridades de control.
  • El tratamiento de datos personales sin cumplir con lo recogido en el artículo 28 de la LOPDGDD.
  • Incumplir el deber de informar de las violaciones de seguridad por parte del encargado del tratamiento al responsable.
  • En caso de que sea necesario, no comunicar a la AEPD o a los afectados cuando se produzca una brecha de seguridad.
  • No realizar una Evaluación de Impacto sobre la protección de datos personales cuando ésta sea necesaria.
  • Tratar datos personales sin haber realizado consulta previa a la AEPD cuando ésta sea obligatoria.
  • No designar a un Delegado de Protección de Datos cuando sea obligatorio.
  • Obstaculizar las labores del Delegado de Protección de Datos.
  • Hacer uso de sellos o certificaciones en materia de protección de datos que no hayan sido otorgados por una entidad de certificación acreditada o estén expirados.

Sanciones LOPD – Infracciones muy graves

Recogidas en el artículo 72, las infracciones LOPD consideradas como leves conllevan una multa de más de 300.000 euros:

  • Realizar cualquier tratamiento de datos personales que vulnere las garantías y los principios generales de la protección de datos.
  • Tratar datos personales sin base legitimadora.
  • No cumplir con los requisitos exigidos en el artículo 7 RGPD para la validez del consentimiento.
  • Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.
  • Tratar categorías de datos especialmente protegidos sin habilitación para ello.
  • Tratar datos personales relativos a condenas e infracciones penales sin habilitación para ello.
  • Incumplir con el deber de informar a los interesados sobre el tratamiento de sus datos personales.
  • Vulnerar el deber de confidencialidad recogido en el artículo 5 LOPD.
  • Dificultar el ejercicio o no atender a las solicitudes de derechos de los interesados recogidos en los artículos 15 a 22 RGPD.
  • Realizar transferencias internacionales de datos personales sin las garantías adecuadas.
  • Incumplir las resoluciones dictadas por la AEPD.
  • Incumplir con la obligación de bloquear los datos en virtud del artículo 32 LOPD.
  • No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación, así como obstruir su inspección.
  • Revertir de forma deliberada un procedimiento de anonimización de forma que sea posible volver a identificar a los afectados.

¿Cómo evitar sanciones por incumplir la LOPD?

A fin de evitar cualquier posible multa en materia de protección de datos, es necesario contar con un adecuado programa de cumplimiento normativo en la materia. Una parte esencial del mismo es la realización de auditoría en materia de protección de datos, que ayudan a determinar cuál es el nivel de madurez de la entidad y cuáles deben ser los pasos a seguir, a fin de garantizar seguridad de los datos. 

De esta forma, la realización de una auditoría ayuda a identificar posibles infracciones de la LOPD, así como a enfocar los aspectos a mejorar dentro de la empresa. En Key Auditors, como expertos auditores, ofrecemos una auditoría de protección de datos para que puedas evitar cualquier sanción por incumplimiento de la LOPD.

Agendar Llamada