El Régimen Sancionador en el RGPD y el Anteproyecto. Parte I.

Lunes, 25 Septiembre 2017 11:55
Publicado en Blog
Escrito por  Visto 2520 veces
Valora este artículo
(1 Voto)

Siguiendo con nuestro estudio y análisis del Reglamento Europeo de Protección de Datos (en adelante RGPD), en esta ocasión, nos centraremos en el desarrollo del Régimen Sancionador.

¿Cómo se encuentra regulado en el RGPD?, ¿Qué novedades introduce el RGPD respecto de la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)? Y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, ¿qué indica al respecto?

En el Capítulo VIII del RGPD, que reza “Recursos, responsabilidades y sanciones” se introducen las principales novedades respecto del régimen sancionador, representado los derechos y deberes de las partes y estableciendo condiciones generales y límites a la imposición de multas de carácter administrativo.

Comenzando por la tipificación de las infracciones, en el RGPD no encontramos un artículo como el 44 de nuestra actual LOPD, con una clasificación clara de infracciones en leves, graves y muy graves. El RGPD, en este sentido, podemos decir que es bastante genérico recogiendo en su considerando 148 que con el fin de reforzar la aplicación de las normas del RGPD, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del RGPD, o en sustitución de estas medidas.

Sin embargo, en España, el Anteproyecto mantiene la clasificación que conocemos, a lo largo de sus artículos 72 a 74, es decir, efectúa una relación detallada de las conductas recogidas en el RGPD donde su incumplimiento será considerado como :

1. Infracciones muy graves, de entre las 17 conductas tipificadas como muy graves por el legislador español, destacamos:

a. El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del RGPD o incumpliendo los requisitos para la validez del consentimiento exigidos por el artículo 7 del RGPD.
b. El tratamiento de categorías especiales de datos sin que concurran las circunstancias previstas en el RGPD.
c. La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal así como la vulneración del deber de confidencialidad.
d. El impedimento, obstaculización o la no atención reiterada del ejercicio de los derechos de los interesados.
e. El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente.
f. La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
g.La transferencia internacional de datos a un tercer país u organización internacional a tenor de los artículos 44 a 49 del RGPD.

El periodo de prescripción establecido para este tipo de infracciones será de tres años.

2. Infracciones graves, en este caso, el Anteproyecto recoge un total de 28 conductas graves de entre las cuales destacamos:

a. El tratamiento de datos de carácter personal de un menor de trece años sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, así como no acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por estos.
b. La falta de adopción de aquellas medidas apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño y por defecto integrando las garantías necesarias en el tratamiento.
c. El impedimento o la obstaculización o la no atención reiterada de los derechos de los afectados.
d. La contratación por el responsable del tratamiento de un encargado de tratamiento de acuerdo a las exigencias del RGPD.
e. No cooperar con las autoridades de control en el ejercicio de sus funciones.
f. La no notificación de las violaciones de seguridad de datos personales a las partes interesadas (responsable, autoridad de control, afectado)
g .El tratamiento de datos de carácter personal sin llevar a cabo una previa valoración de los riesgos.
h. La no designación de un delegado de protección de datos cuando sea exigible su nombramiento así como el incumplimiento de otras exigencias del RGPD en relación con el mismo.
i. El incumplimiento por parte de un organismo de certificación de los principios y deberes establecidos en el RGPD, o el desempeño de sus funciones sin haber sido correctamente acreditado.

El periodo de prescripción para las infracciones tipificadas como graves será de dos años.

3. Infracciones leves, encontramos un total de 19 conductas que tendrán una prescripción de un año y que corresponderán a las restantes infracciones de carácter meramente formal. Destacamos:

a. El incumplimiento del principio de transparencia, del derecho de información del afectado o de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.
b. No atender a las solicitudes del ejercicio derechos de los interesados, o su incumplimiento.
c. El incumplimiento por encargado o subencargado de las estipulaciones impuestas en el contrato con el responsable del tratamiento.
d. La notificación incompleta o defectuosa de las violaciones de seguridad.
e. El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos conforme a lo establecido en el RGPD.

Toda vez que se ha tipificado una conducta como infracción, se deberá imponer la sanción correspondiente. Dedicaremos artículos en exclusiva a su estudio.

Marta Castrillo de la Fuente

Abogada TIC – Consultora Protección de Datos

PRODAT en Castilla y León

Inicia sesión para enviar comentarios

Modificado por última vez en Viernes, 13 Octubre 2017 10:43

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal