¿Te gustaría conocer la Ley de protección de datos sanciones, infracciones y multas? Con la entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, las sanciones han pasado a tener un techo máximo de seiscientos mil euros que contemplaba la antigua normativa, hasta los veinte millones de euros que puede llegar a aplicarse a partir de la entrada en vigor del Reglamento General de Protección de Datos.

En este ecosistema de posibles infracciones y sanciones a aplicar, conviene tener claras cuáles son las posibles infracciones (o al menos las más frecuentes y las que marca la legislación actual), el procedimiento que puede seguirse frente a los posibles infractores, así como el régimen de sanciones que puede llegarse a aplicar por parte de la autoridad de control pertinente (en el caso de España, la Agencia Española de Protección de Datos – AEPD).

Tipos de infracciones

Las infracciones en materia de protección de datos tienen que ver con todo tipo de obligaciones impuestas por la nueva normativa, desde aspectos esenciales relacionados con el deber de información y el modo de captación de los datos, hasta aspectos más controvertidos que pueden estar relacionados con la necesidad de llevar a cabo evaluaciones de impacto por la tipología o el volumen de los datos tratados, o bien la aplicación de medidas de seguridad concretas o procedimientos de anonimización.

Concretamente, las infracciones se establecen en el artículo 83.4 del Reglamento General de Protección de Datos, y pueden abarcar cualquier tipo de incumplimiento que los responsables o encargados de tratamiento puedan llegar a cometer a propósito de la normativa.

Procedimiento

Casi el 100% de los procedimientos administrativos que desembocan en una sanción inician de la mano de una reclamación interpuesta por un usuario frente a una empresa.

En este sentido, lo normal en este tipo de casos es que el organismo regulador a nivel nacional, en nuestro caso la Agencia Española de Protección de Datos, una vez recibida la denuncia correspondiente por parte de un usuario, inicie la vía administrativa para recabar información por parte de la empresa denunciada.

A partir de ahí, la empresa deberá aportar información sobre el incidente con el usuario, poniendo a disposición de la Agencia Española de Protección de Datos tanto la documentación intercambiada, como el modo de obtención del consentimiento de los datos (o bien la relación contractual que mantiene con el usuario), para que la Agencia decida iniciar o archivar el expediente.

En caso de iniciar el procedimiento, este finalizará con una resolución de la Agencia que podrá ser recurrible en vía administrativa y judicial.

Sanciones

Las sanciones que se establecen en el Reglamento General de Protección de Datos pueden llegar hasta los veinte millones de Euros, o bien el cuatro por ciento de la facturación anual del grupo de empresas a la que se establezca la sanción.

En principio estas sanciones tan cuantiosas están previstas para llegar a los gigantes como Facebook o Google, pero también es cierto que nada se especifica en la normativa para que tu empresa pueda quedar exceptuada de la aplicación de estas multas, por lo que habremos de desarrollar una política de compliance en materia de protección de datos que resulte efectiva, y que pueda, en el caso de la incoación de un procedimiento sancionador, dejar al margen a nuestro negocio de una amenaza de estas características.

Letslaw es un despacho de abogados especializado en protección de datos, derecho digital y de las nuevas tecnologías.