Omet navegació

5.3.2. Infraccions i sancions

En primer lloc, hem de tenir en consideració l'article 83, apartats 1 i 2, de l'RGPD, que assenyala el següent:

  • Les multes administratives (poder correctiu establert en l'article 58.2.i de l'RGPD) han de ser efectives, proporcionades i dissuasives.

  • S'han d'imposar en funció de les circumstàncies de cada cas individual, a títol addicional o substitutiu de les mesures establertes en l'article 58.2, en què es relacionen els poders correctius que disposen les autoritats de control.

Així mateix, i amb l'objecte de graduar la quantia de les sancions pecuniàries, l'article 83.2 esmentat, estableix els criteris de graduació següents:

  1. la naturalesa, la gravetat i la durada de la infracció, tenint en compte la naturalesa, l'abast o el propòsit de l'operació de tractament de què es tracta així com el nombre d'interessats afectats i el nivell dels danys i perjudicis que han patit;
  2. la intencionalitat o la negligència en la infracció;
  3. qualsevol mesura presa pel responsable o l'encarregat del tractament per pal·liar els danys i els perjudicis soferts pels interessats;
  4. el grau de responsabilitat del responsable o de l'encarregat del tractament, tenint en compte de les mesures tècniques o organitzatives que han aplicat en virtut dels articles 25 i 32; e) qualsevol infracció anterior comesa pel responsable o l'encarregat del tractament;
  5. el grau de cooperació amb l'autoritat de control per tal de posar remei a la infracció i mitigar-ne els possibles efectes adversos;
  6. les categories de les dades de caràcter personal afectades per la infracció;
  7. la manera en què l'autoritat de control va tenir coneixement de la infracció, en particular si el responsable o l'encarregat va notificar la infracció i, en aquest cas, en quina mesura;
  8. quan les mesures indicades en l'article 58, apartat 2, hagin estat ordenades prèviament contra el responsable o l'encarregat de què es tracti en relació amb el mateix assumpte, el compliment d'aquestes mesures;
  9. l'adhesió a codis de conducta en virtut de l'article 40 o a mecanismes de certificació aprovats de conformitat amb l'article 42, i
  10. qualsevol altre factor agreujant o atenuant aplicable a les circumstàncies del cas, com els beneficis financers obtinguts o les pèrdues evitades, directament o indirectament, a través de la infracció.

D'altra banda, els apartats 4, 5 i 6 de l'article 83 de l'RGPD es refereixen als límits de la quantia de les sancions pecuniàries en funció de la infracció comesa. En els casos més greus poden assolir una quantia màxima de 20.000.000 €, o el 4% del volum de negoci total.

Així mateix, i en funció del que disposa l'article 83 apartats 4 i 5, els articles 72-74 de la LOPDGDD defineixen un catàleg d'infraccions lleus, greus i molt greus.

Infraccions molt greus

a) El tractament de dades personals que vulnera els principis els i garanties establerts en l'article 5 del Reglament (UE) 2016/679.

b) El tractament de dades personals sense que es doni alguna de les condicions de licitud del tractament establertes en l'article 6 del Reglament (UE) 2016/679.

c) L'incompliment dels requisits exigits per l'article 7 del Reglament (UE) 2016/679 per a la validesa del consentiment.

d) La utilització de les dades per a una finalitat que no sigui compatible amb la finalitat per a la qual van ser recollides, sense comptar amb el consentiment de l'afectat o amb una base legal per a això.

e) El tractament de dades personals de les categories a les quals es refereix l'article 9 del Reglament (UE) 2016/679, sense que es doni alguna de les circumstàncies previstes en aquest precepte i en l'article 9 d'aquesta Llei orgànica.

f) El tractament de dades personals relatives a condemnes i infraccions penals o mesures de seguretat connexes fora dels supòsits permesos per l'article 10 del Reglament (UE) 2016/679 i l'article 10 d'aquesta Llei orgànica.

g) El tractament de dades personals relacionades amb infraccions i sancions administratives fora dels supòsits permesos per l'article 27 d'aquesta Llei orgànica.

h) L'omissió del deure d'informar l'afectat sobre el tractament de les seves dades personals de conformitat amb el que disposen els articles 13 i 14 del Reglament (UE) 2016/679 i 12 d'aquesta Llei orgànica.

i) La vulneració del deure de confidencialitat establert en l'article 5 d'aquesta Llei orgànica.

j) L'exigència del pagament d'un cànon per facilitar a l'afectat la informació a què es refereixen els articles 13 i 14 del Reglament (UE) 2016/679 o per atendre les sol·licituds d'exercici de drets dels afectats prevists en els articles 15-22 del Reglament (UE) 2016/679, fora dels supòsits establerts en l'article 12.5.

k) L'impediment o l'obstaculització o la no atenció reiterada de l'exercici dels drets establerts en els articles 15-22 del Reglament (UE) 2016/679.

l) La transferència internacional de dades personals a un destinatari que es troba en un tercer país o a una organització internacional, quan no es donin les garanties, els requisits o les excepcions establerts en els articles 44-49 del Reglament (UE) 2016/679.

m) L'incompliment de les resolucions dictades per l'autoritat de protecció de dades competent en exercici dels poders que li confereix l'article 58.2 del Reglament (UE) 2016/679.

n) L'incompliment de l'obligació de bloqueig de les dades establerta en l'article 32 d'aquesta Llei orgànica quan sigui exigible.

o) El fet de no facilitar l'accés del personal de l'autoritat de protecció de dades competent a les dades personals, la informació, els locals, els equips i els mitjans de tractament que siguin requerits per l'autoritat de protecció de dades per a l'exercici dels seus poders d'investigació.

p) La resistència o l'obstrucció de l'exercici de la funció inspectora per l'autoritat de protecció de dades competent.

q) La reversió deliberada d'un procediment d'anonimització per tal de permetre la reidentificació dels afectats.

r) L'incompliment de les resolucions de l'autoritat de control.

Infraccions greus

a) El tractament de dades personals d'un menor d'edat sense recollir el seu consentiment, quan tingui capacitat per a això, o el del titular de la seva pàtria potestat o tutela, de conformitat amb l'article 8 del Reglament (UE) 2016/679.

b) La falta d'acreditació de la realització d'esforços raonables per verificar la validesa del consentiment prestat per un menor d'edat o pel titular de la pàtria potestat o la tutela sobre el menor, de conformitat amb el que requereix l'article 8.2 del Reglament (UE) 2016/679.

c) L'impediment o l'obstaculització o la no atenció reiterada dels drets d'accés, rectificació, supressió, limitació del tractament o a la portabilitat de les dades en tractaments en què no es requereix la identificació de l'afectat, quan aquest afectat, per a l'exercici d'aquests drets, ha facilitat informació addicional que permet ser identificat.

d) La falta d'adopció de les mesures tècniques i organitzatives que resulten apropiades per aplicar de manera efectiva els principis de protecció de dades des del disseny, així com la no integració de les garanties necessàries en el tractament, en els termes exigits per l'article 25 del Reglament (UE) 2016/679.

e) La falta d'adopció de les mesures tècniques i organitzatives apropiades per garantir que, per defecte, només es tractaran les dades personals necessàries per a cadascun dels fins específics del tractament, de conformitat amb el que exigeix l'article 25.2 del Reglament (UE) 2016/679

f) La falta d'adopció de les mesures tècniques i organitzatives que resulten apropiades per garantir un nivell de seguretat adequat al risc del tractament, en els termes exigits per l'article 32.1 del Reglament (UE) 2016/679.

g) El trencament, com a conseqüència de la falta de la diligència deguda, de les mesures tècniques i organitzatives que s'hagin implantat de conformitat amb el que exigeix l'article 32.1 del Reglament (UE) 2016/679.

h) L'incompliment de l'obligació de designar un representant del responsable o encarregat del tractament no establert en el territori de la Unió Europea, de conformitat amb el que preveu l'article 27 del Reglament (UE) 2016/679.

i) La falta d'atenció pel representant en la Unió del responsable o de l'encarregat del tractament de les sol·licituds efectuades per l'autoritat de protecció de dades o pels afectats.

j) La contractació pel responsable del tractament d'un encarregat de tractament que no ofereixi les garanties suficients per aplicar les mesures tècniques i organitzatives apropiades de conformitat amb el que estableix el capítol IV del Reglament (UE) 2016/679.

k) El fet d'encarregar el tractament de dades a un tercer sense haver-ne formalitzat prèviament un contracte o un altre acte jurídic escrit amb el contingut exigit per l'article 28.3 del Reglament (UE) 2016/679.

l) La contractació per un encarregat del tractament d'altres encarregats sense comptar amb l'autorització prèvia del responsable, o sense haver-lo informat sobre els canvis produïts en la subcontractació quan siguin legalment exigibles.

m) La infracció per un encarregat del tractament del que disposa el Reglament (UE) 2016/679 i en aquesta Llei orgànica, en determinar els fins i els mitjans del tractament, de conformitat amb el que disposa l'article 28.10 del reglament esmentat.

n) El fet de no disposar del registre d'activitats de tractament establert en l'article 30 del Reglament (UE) 2016/679.

o) El fet de no posar el registre d'activitats de tractament a disposició de l'autoritat de protecció de dades que l'hagi sol·licitat, de conformitat amb l'apartat 4 de l'article 30 del Reglament (UE) 2016/679.

p) La falta de cooperació amb les autoritats de control en l'acompliment de les seves funcions en els supòsits no prevists en l'article 72 d'aquesta Llei orgànica.

q) El tractament de dades personals sense valorar prèviament els elements esmentats en l'article 28 d'aquesta Llei orgànica.

r) L'incompliment del deure de l'encarregat del tractament de notificar al responsable del tractament les violacions de seguretat de què tengui coneixement.

s) L'incompliment del deure de notificació a l'autoritat de protecció de dades d'una violació de seguretat de les dades personals de conformitat amb el que preveu l'article 33 del Reglament (UE) 2016/679.

t) L'incompliment del deure de comunicació a l'afectat d'una violació de la seguretat de les dades de conformitat amb el que preveu l'article 34 del Reglament (UE) 2016/679, si el responsable del tractament ha estat requerit per l'autoritat de protecció de dades per dur a terme aquesta notificació.

u) El tractament de dades personals sense haver avaluat l'impacte de les operacions de tractament en la protecció de dades personals en els supòsits en què sigui exigible.

v) El tractament de dades personals sense haver consultat prèviament a l'autoritat de protecció de dades en els casos en què aquesta consulta resulta preceptiva de conformitat amb l'article 36 del Reglament (UE) 2016/679 o quan la llei estableixi l'obligació de dur a terme aquesta consulta.

w) L'incompliment de l'obligació de designar un delegat de protecció de dades quan sigui exigible nomenar-lo d'acord amb l'article 37 del Reglament (UE) 2016/679 i l'article 34 d'aquesta Llei orgànica.

x) El fet de no possibilitar la participació efectiva del delegat de protecció de dades en totes les qüestions relatives a la protecció de dades personals, no donar-li suport o interferir en l'acompliment de les seves funcions.

y) La utilització d'un segell o certificació en matèria de protecció de dades que no hagi estat atorgat per una entitat de certificació degudament acreditada o en cas que la vigència n'hagi expirat.

z) L'obtenció de l'acreditació com a organisme de certificació presentant informació inexacta sobre el compliment dels requisits exigits per l'article 43 del Reglament (UE) 2016/679.

aa) L'acompliment de funcions que el Reglament (UE) 2016/679 reserva als organismes de certificació, sense haver estat degudament acreditat de conformitat amb el que estableix l'article 39 d'aquesta Llei orgànica.

ab) L'incompliment per part d'un organisme de certificació dels principis i els deures a què està sotmès segons el que preveuen els articles 42 i 43 de Reglament (UE) 2016/679.

ac) L'acompliment de funcions que l'article 41 del Reglament (UE) 2016/679 reserva als organismes de supervisió de codis de conducta sense haver estat prèviament acreditat per l'autoritat de protecció de dades competent.

ad) La falta d'adopció per part dels organismes acreditats de supervisió d'un codi de conducta de les mesures que resulten oportunes en cas que s'hagi produït una infracció del codi, de conformitat amb el que exigeix l'article 41.4 del Reglament (UE) 2016/679.

Infraccions lleus

a) L'incompliment del principi de transparència de la informació o el dret d'informació de l'afectat per no facilitar tota la informació exigida pels articles 13 i 14 del Reglament (UE) 2016/679.

b) L'exigència del pagament d'un cànon per facilitar a l'afectat la informació exigida pels articles 13 i 14 del Reglament (UE) 2016/679 o per atendre les sol·licituds d'exercici de drets dels afectats prevists en els articles 15-22 del Reglament (UE) 2016/679, quan ho permeti l'article 12.5, si la quantia excedeix l'import dels costs ocasionats per facilitar la informació o fer l'actuació sol·licitada.

c) La falta d'atenció de les sol·licituds d'exercici dels drets establerts en els articles 15-22 del Reglament (UE) 2016/679, llevat que sigui d'aplicació el que disposa l'article 72.1.k) d'aquesta Llei orgànica.

d) La falta d'atenció dels drets d'accés, rectificació, supressió, limitació del tractament o a la portabilitat de les dades en tractaments en què no es requereix la identificació de l'afectat, quan aquest afectat, per a l'exercici d'aquests drets, ha facilitat informació addicional que permet identificar-lo, llevat que sigui d'aplicació el que disposa l'article 73 c) d'aquesta Llei orgànica.

e) L'incompliment de l'obligació de notificació relativa a la rectificació o la supressió de dades personals o la limitació del tractament exigida per l'article 19 del Reglament (UE) 2016/679.

f) L'incompliment de l'obligació d'informar l'afectat, quan ho hagi sol·licitat, dels destinataris als quals s'hagin comunicat les dades personals rectificades, suprimides o respecte dels quals s'ha limitat el tractament.

g) L'incompliment de l'obligació de suprimir les dades referides a una persona difunta quan sigui exigible de conformitat amb l'article 3 d'aquesta Llei orgànica.

h) La falta de formalització pels corresponsables del tractament de l'acord que determina les obligacions, les funcions i les responsabilitats respectives respecte al tractament de dades personals i les seves relacions amb els afectats als quals es refereix l'article 26 del Reglament (UE) 2016/679 o la inexactitud a l'hora de determinar-les.

i) El fet de no posar a disposició dels afectats els aspectes essencials de l'acord formalitzat entre els corresponsables del tractament, de conformitat amb el que exigeix l'article 26.2 del Reglament (UE) 2016/679.

j) La falta del compliment de l'obligació de l'encarregat del tractament d'informar el responsable del tractament sobre la possible infracció per una instrucció que n'hagi rebut de les disposicions del Reglament (UE) 2016/679 o d'aquesta Llei orgànica, de conformitat amb el que exigeix l'article 28.3 del Reglament esmentat.

k) L'incompliment per l'encarregat de les estipulacions imposades en el contracte o l'acte jurídic que regula el tractament o les instruccions del responsable del tractament, llevat que estigui legalment obligat a fer-ho de conformitat amb el Reglament (UE) 2016/679 i a aquesta Llei orgànica o en els supòsits en què sigui necessari per evitar la infracció de la legislació en matèria de protecció de dades i se n'hagi advertit el responsable o l'encarregat del tractament.

l) El fet de disposar d'un Registre d'activitats de tractament que no incorpori tota la informació exigida per l'article 30 del Reglament (UE) 2016/679.

m) La notificació incompleta, tardana o defectuosa a l'autoritat de protecció de dades de la informació relacionada amb una violació de seguretat de les dades personals de conformitat amb el que preveu l'article 33 del Reglament (UE) 2016/679.

n) L'incompliment de l'obligació de documentar qualsevol violació de seguretat, exigida per l'article 33.5 del Reglament (UE) 2016/679.

o) L'incompliment del deure de comunicació a l'afectat d'una violació de la seguretat de les dades que comporti un risc alt per als drets i les llibertats dels afectats, de conformitat amb el que exigeix l'article 34 del Reglament (UE) 2016/679, llevat que sigui d'aplicació el que preveu l'article 73 s) d'aquesta Llei orgànica.

p) El fet de facilitar informació inexacta a l'autoritat de protecció de dades, en els supòsits en què el responsable del tractament hagi d'elevar-li una consulta prèvia, de conformitat amb l'article 36 del Reglament (UE) 2016/679.

q) El fet de no publicar les dades de contacte del delegat de protecció de dades, o no comunicar-les a l'autoritat de protecció de dades, quan sigui exigible nomenar-lo d'acord amb l'article 37 del Reglament (UE) 2016/679 i l'article 34 d'aquesta Llei orgànica.

r) L'incompliment pels organismes de certificació de l'obligació d'informar l'autoritat de protecció de dades de l'expedició, la renovació o la retirada d'una certificació, de conformitat amb el que exigeixen els apartats 1 i 5 de l'article 43 del Reglament (UE) 2016/679.

s) L'incompliment per part dels organismes acreditats de supervisió d'un codi de conducta de l'obligació d'informar les autoritats de protecció de dades sobre les mesures que resulten oportunes en cas d'infracció del codi, de conformitat amb el que exigeix l'article 41.4 del Reglament (UE) 2016/679.

Termini de prescripció

Infraccions considerades molt greus (article 72)

Tres anys

Infraccions considerades greus (article 73)

Dos anys

Infraccions considerades lleus (article 74)

Un any

Termini de prescripció de les sancions (article 78)

Sancions per un import superior a 300.000 euros.

Tres anys

Sancions per import comprès entre 40.001 i 300.000 euros.

Dos anys

Sancions per import igual o inferior a 40.000 euros.

Un any

D'altra banda, l'article 76 de la LOPDGDD estableix la metodologia per determinar les sancions:

Article 76. Sancions i mesures correctives.

1. Les sancions previstes en els apartats 4, 5 i 6 de l'article 83 del Reglament (UE) 2016/679 s'aplicaran tenint en compte els criteris de graduació establerts en l'apartat 2 de l'article esmentat.

2. D'acord amb el que preveu l'article 83.2.k) del Reglament (UE) 2016/679 també poden tenir-se en compte:

a) El caràcter continuat de la infracció.

b) La vinculació de l'activitat de l'infractor amb els tractaments de dades personals.

c) Els beneficis obtinguts a conseqüència de la comissió de la infracció.

d) La possibilitat que la conducta de l'afectat hagi pogut induir a la comissió de la infracció.

e) L'existència d'un procés de fusió per absorció posterior a la comissió de la infracció, que no pot imputar-se a l'entitat absorbent.

f) L'afectació als drets dels menors.

g) El fet de disposar, quan no sigui obligatori, d'un delegat de protecció de dades.

h) La submissió per part del responsable o l'encarregat, amb caràcter voluntari, a mecanismes de resolució alternativa de conflictes, en els supòsits en què existeixin controvèrsies entre aquells i qualsevol interessat.

3. Complementàriament o alternativament, és possible l'adopció, quan escaigui, de la resta de les mesures correctives a les quals es refereix l'article 83.2 del Reglament (UE) 2016/679.

4. És objecte de publicació en el Butlletí Oficial de l'Estat la informació que identifiqui l'infractor, la infracció comesa i l'import de la sanció imposada quan l'autoritat competent sigui l'Agència Espanyola de Protecció de Dades, la sanció sigui superior a un milió d'euros i l'infractor sigui una persona jurídica.

Quan l'autoritat competent per imposar la sanció sigui una autoritat autonòmica de protecció de dades, es tindrà en compte la seva normativa d'aplicació.

Finalment, i a tall de curiositat, l'article 83.9 de l'RGPD esmenta dos països de la Unió, Dinamarca i Estònia, atès que els seus ordenaments jurídics interns no permeten l'establiment de multes administratives, per la qual cosa regulen que la incoació de la multa correspon a l'autoritat de control i la imposició, als tribunals nacionals competents.