Las sanciones por incumplimiento del RGPD son una preocupación muy común en la mayoría de las empresas. Según el tipo de infracción que se cometa pueden llegar a suponer una cantidad de 20 millones de euros. Estas sanciones RGPD están reservadas para aquellas infracciones que violan los derechos y garantías en materia de protección de datos. Se pueden presentar estas denuncias de protección de datos ante la AEPD, que es la autoridad de control del cumplimiento de esta normativa en España. En este artículo veremos como las sanciones por incumplimiento del RGPD se dividen en leves, graves y muy graves.
Sanciones para infracciones leves: multa de hasta 40.000 €
La multa de estas infracciones puede alcanzar hasta los 40.000 €. La Ley Orgánica 3/2018 considera como infracciones leves:
- Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información que exigen los artículos 13 y 14 del RGPD.
- Pedir un pago al interesado para poder acceder a la información que exigen los artículos 13 y 14 del RGPD o para atender las solicitudes de ejercicio de derechos contempladas en los artículos 15 a 22 del citado Reglamento.
- No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.
- No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del RGPD
- Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.
- Dar información inexacta a la AEPD en los supuestos en los que el responsable del tratamiento debe elevar una consulta previa, de acuerdo al artículo 36 del RGPD.
- No publicar los datos de contacto del delegado de protección de datos o comunicarlos a la AEPD.
Sanciones para infracciones graves: multa de 40.001 € a 300.000 €
La multa de estas infracciones se encuentra entre 40.001 € y 300.000 €. La Ley Orgánica 3/2018 considera como infracciones graves:
- Tratar datos de menores de edad sin recabar su consentimiento, cuando tenga edad para ello, o de sus padres o tutores.
- No adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.
- Brechas de seguridad ocurridas por no haber adoptado las medidas adecuadas de seguridad.
- No designar un representante del responsable o encargado del tratamiento no establecido en territorio de la UE, de acuerdo al artículo 27 del RGPD.
- No atender las solicitudes de las agencias de protección de datos.
- Contratar un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias, de acuerdo al Capítulo IV del RGPD.
- Encargar el tratamiento de datos a un tercero sin el debido contrato.
- Infracción de lo dispuesto en el artículo 28.10 del RGPD respeto a la determinación de los fines y los medios de tratamiento por parte del encargado.
Sanciones muy graves: multa entre 300.001 € a 20.000.000 €
Dentro de las infracciones muy graves están: La multa de estas infracciones se encuentra entre 300.001 € a 20.000.000 € o el 4% de la facturación anual (la cuantía que sea mayor). La Ley Orgánica 3/2018 considera como infracciones muy graves:
- Tratamiento de datos personales que vulneren las garantías y principios establecidos en el artículo 5 del RGPD.
- Trata datos personales sin la legitimación establecida en el artículo 6 del RGPD.
- Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.
- Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos establecidos en el artículo 27 de la LOPDGDD.
- La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
- Vulnerar el deber de confidencialidad.
- Exigir el pago de un canon para facilitar la información al afectado a la que se refieren los artículos 13 y 14 del RGPD.
- No atender u obstaculizar la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
- Transferencias internacionales de datos personales sin las debidas garantías.
- Incumplir las resoluciones dictadas por la AEPD.
- Incumplir con la obligación del bloqueo de datos.
- No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación.
En All Safe somos muy conscientes de nuestras responsabilidades y de la importancia de destruir datos de forma segura. Cada uno de los procesos que llevamos a cabo genera un certificado que da a nuestros clientes la tranquilidad necesaria para saber que todos los soportes de información que nos han sido entregados se han destruido adecuadamente. Si quieres más información contacta con nosotros por teléfono o email y te ayudaremos a encontrar la solución que más se ajuste a tus necesidades.