En este artículo se detallan las infracciones relativas al incumplimiento de la normativa de protección de datos. Las infracciones se clasifican por nivel de gravedad y están ordenadas según el articulado del GDPR y la LOPDGDD.
ÍNDICE
La Autoridad de control (AC) dispondrá de poderes correctivos para sancionar a los siguientes sujetos responsables:
No está sujeto al régimen sancionador:
La AC podrá imponer multas administrativas al RT y ET por infringir el GDPR garantizando que serán efectivas, proporcionadas y disuasorias.
Las multas administrativas se impondrán en función de las circunstancias de cada caso individual, teniendo en cuenta las facultades investigadoras y correctoras conferidas a la AC.
La decisión de la AC para imponer una multa administrativa y calcular su importe tendrá en cuenta:
Las sanciones impuestas en aplicación del GDPR y la LOPDGDD prescriben en los siguientes plazos:
El plazo de prescripción comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de 6 meses por causa no imputable al infractor.
Normativa | Artículo 83.5 y 83.6 del GDPR y 72 de la LOPDGDD |
Prescripción | 3 años |
Multas administrativas | En función de las circunstancias de cada caso individual: Mínimo: 300.000 € Máximo: el importe más elevado entre 20.000.000 € y el 4 % del total de la facturación global anual del ejercicio financiero anterior |
Infracción | PRINCIPIOS (capítulo II GDPR) | GDPR | LOPD GDD |
72.1.a | Infringir las disposiciones relativas a los «Principios relativos al tratamiento» | 5 | |
72.1.i | Vulneración del deber de confidencialidad | 5.1.f | 5 |
72.1.b | Infringir las disposiciones relativas a la «Licitud del tratamiento» | 6 | |
72.1.d | Utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello | 6.4 | |
72.1.c | Infringir las disposiciones relativas a las «Condiciones para el consentimiento» | 7 | |
72.1.e | Infringir las disposiciones relativas al «Tratamiento de categorías especiales de datos» | 9 | 9 |
72.1.f | Infringir las disposiciones relativas al «Tratamiento de datos relativos a condenas e infracciones penales» | 10 | 10 |
72.1.p | La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los interesados | Cdo. 75 y 85 |
Infracción | DERECHOS DEL INTERESADO (capítulo III GDPR) | GDPR | LOPD GDD |
83.5.b | Infringir las disposiciones relativas a los «Derechos del interesado» | 12 a 22 | |
72.1.j | Exigir el pago de un canon para facilitar la información del tratamiento, fuera de los supuestos establecidos en art. 12.5 del GDPR | 12.5 | |
72.1.j | Exigir el pago de un canon por atender las solicitudes de ejercicio de derechos, fuera de los supuestos establecidos en art. 12.5 del GDPR | 12.5 | |
72.1.h | Omisión del deber de informar al interesado | 13 y 14 | 12 |
72.1.k | Impedir, obstaculizar o no atender reiteradamente el ejercicio de derechos | 15 a 22 |
Infracción | TRATAMIENTOS CONCRETOS (título IV LOPDGDD) | GDPR | LOPD GDD |
72.1.g | Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos | 27 |
Infracción | RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (título V LOPDGDD) | GDPR | LOPD GDD |
72.1.n | Incumplir la obligación de bloqueo de los datos cuando la misma sea exigible | 32 |
Infracción | TRANSFERENCIAS INTERNACIONALES DE DATOS (capítulo V GDPR) | GDPR | LOPD GDD |
72.1.l | Realizar transferencias internacionales de datos cuando no concurran las garantías, requisitos o excepciones establecidas | 44 a 49 |
Infracción | SITUACIONES ESPECÍFICAS DE TRATAMIENTO (capítulo IX GDPR) | GDPR | LOPD GDD |
83.5.d | Infringir las disposiciones relativas al «Tratamiento y libertad de expresión y de información» | 85 | |
83.5.d | Infringir las disposiciones relativas al «Tratamiento y acceso del público a documentos oficiales» | 86 | |
83.5.d | Infringir las disposiciones relativas al «Tratamiento del número nacional de identificación» | 87 | |
83.5.d | Infringir las disposiciones relativas al «Tratamiento en el ámbito laboral» | 88 | |
83.5.d | Infringir las disposiciones relativas a las «Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos» | 89 | |
83.5.d | Infringir las disposiciones relativas a las «Obligaciones de secreto» | 90 | |
83.5.d | Infringir las disposiciones relativas a las «Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas» | 91 |
Infracción | AUTORIDADES DE CONTROL (AC) (capítulo VI GDPR) | GDPR | LOPD GDD |
72.1.ñ | No facilitar el acceso del personal de la AC a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación | 58.1 | |
72.1.o | La resistencia u obstrucción del ejercicio de la función inspectora por la AC | 57 | |
72.1.m | Incumplir un requerimiento de la AC | 58.2 | |
72.1.m | Incumplir las resoluciones dictadas por la AC | 58.2 |
Normativa | Artículo 83.4 del GDPR y 73 de la LOPDGDD |
Prescripción | A los 2 años |
Multas administrativas | En función de las circunstancias de cada caso individual: Mínimo: entre 40.001 € y 300.000 € Máximo: importe más elevado entre 10.000.000 € y el 2 % del total de la facturación global anual del ejercicio financiero anterior |
Infracción | PRINCIPIOS (capítulo II GDPR) | GDPR | LOPD GDD |
83.4.a | Condiciones aplicables al consentimiento del menor en relación con los servicios de la sociedad de la información | 8 | |
73.a | El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela | 8 | 7 |
73.b | No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo | 8.2 | 7 |
83.4.a | Infringir las disposiciones relativas a los «Tratamientos que no requieren identificación» | 11 | |
73.c | Impedir, obstaculizar o no atender reiteradamente el ejercicio de los derechos de acceso, rectificación, supresión, limitación o portabilidad en tratamientos en los que no se requiere la identificación del interesado, cuando este, para ejercer estos derechos, haya facilitado información adicional que permita su identificación | 11.2 Cdo. 57 |
Infracción | RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (capítulo IV GDPR) | GDPR | LOPD GDD |
Obligaciones generales | |||
83.4.a | Infringir las disposiciones relativas a la «Protección de datos desde el diseño y por defecto» | 25 | |
73.d | No adoptar medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño incluyendo las garantías necesarias en el tratamiento | 25 | |
73.e | No adoptar medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos necesarios para cada fin del tratamiento | 25.2 | |
83.4.a | Infringir las disposiciones relativas a los «Corresponsables del tratamiento (CoRT)» | 26 | |
83.4.a | Infringir las disposiciones relativas a los «Representantes de los RT no establecidos en la UE» | 27 | |
73.h | No designar un representante del RT o ET no establecido en la UE | 27 | |
73.i | Falta de atención del representante en la UE de las solicitudes efectuadas por la AC o por los interesados | 27.4 | |
83.4.a | Infringir las disposiciones relativas a los «Encargados del tratamiento (ET)» | 28 | |
73.p | Tratar datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 LOPDGDD (Obligaciones generales del RT y ET) | 28 | |
73.j | Contratar un ET que no ofrezca suficientes garantías para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del GDPR | 28.1 | |
73.l | Contratar, por parte de un ET, otros SubET sin contar con la autorización previa del RT, o sin informarle de los cambios en la subcontratación cuando estos sean exigibles | 28.2 | |
73.k | Encargar el tratamiento a un ET sin la previa formalización de un contrato o acto jurídico que contenga lo dispuesto en el GDPR | 28.3 | |
73.m | La infracción de un ET al determinar por su cuenta los fines y los medios del tratamiento | 28.10 | |
83.4.a | No adoptar medidas para que cualquier persona que actúe bajo la autoridad del RT o ET y tenga acceso a datos personales los trate siguiendo las instrucciones del RT | 29 | |
73.n | No disponer del Registro de actividades de tratamiento | 30 | |
73.ñ | No poner a disposición de la AC el Registro de actividades de tratamiento | 30.4 | |
83.4.a | No cooperar con la AC | 31 | |
73.o | No cooperar con la AC en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD (infracciones consideradas muy graves) | 31 | |
Seguridad de los datos personales | |||
83.4.a | Infringir las disposiciones relativas a la «Seguridad del tratamiento» | 32 | |
73.f | No adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento | 32.1 | |
73.g | Quebrantar, a consecuencia de la falta de la debida diligencia, las medidas técnicas y organizativas que se hubiesen implantado | 32.1 | |
73.r | No notificar una violación de seguridad a la AC | 33 | |
73.q | Incumplir el deber del ET de notificar al RT las violaciones de seguridad de las que tuviera conocimiento | 33 | |
73.s | No comunicar una violación de seguridad al interesado | 34 | |
73.s | Incumplir el deber de comunicación al interesado de una violación de la seguridad cuando sea requerido por la AC | 34 | |
Evaluación de impacto | |||
83.4.a | Infringir las disposiciones relativas a la «Evaluación de impacto» | 35 | |
73.p | Tratar datos sin llevar a cabo una previa valoración de si procede la realización de una evaluación de impacto y la consulta previa a la AC | 28 | |
73.t | Tratar datos personales sin haber llevado a cabo una DPIA de las operaciones de tratamiento en los supuestos en que la misma sea exigible | 35.3 | |
83.4.a | Infringir las disposiciones relativas a la «Consulta previa» | 36 | |
73.u | Tratar datos personales sin realizar una consulta previa a la AC en los casos en que resulte preceptiva o cuando la ley establezca la obligación de llevarla a cabo | 36 | |
Delegado de protección de datos | |||
83.4.a | Infringir las disposiciones relativas a la «Designación, funciones y cometidos del DPO» | 37 a 39 | |
73.v | Incumplir la obligación de designar un DPO cuando sea exigible | 37 | 34 |
73.w | No posibilitar la participación del DPO en todas las cuestiones relativas a la protección de datos, no respaldarlo o interferir en el desempeño de sus funciones | 38 | |
Códigos de conducta y certificación | |||
73.ab | Desempeñar funciones reservadas a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la AC | 41 | |
73.ac | No adoptar, por parte de los organismos acreditados de supervisión de un código de conducta, las medidas oportunas en caso de producirse una infracción del código | 41.4 | |
83.4.a | Infringir las disposiciones relativas a las «Garantías de certificación» | 42 | |
73.x | Utilizar un sello o certificado de protección de datos que no haya sido otorgado por una entidad de certificación acreditada o cuando la vigencia hubiera expirado | 42 | |
73.aa | Incumplir, por parte de un organismo de certificación, los principios y deberes a los que está sometido | 42 y 43 | |
83.4.a | Infringir las disposiciones relativas a los «Organismos y procedimientos de certificación» | 43 | |
73.y | Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos | 43 | |
73.z | Desempeñar funciones que el GDPR reserva a los organismos de certificación, sin haber sido debidamente acreditado | 43.1 | 39 |
Normativa | Las restantes infracciones de carácter meramente formal de los artículos 83.4 y 83.5 del GDPR y 74 de la LOPDGDD |
Prescripción | 1 año |
Multas administrativas | En función de las circunstancias de cada caso individual, con un máximo de 40.000 € |
Infracción | PRINCIPIOS (capítulo II GDPR) | GDPR | LOPD GDD |
74.d | No atender el ejercicio de los derechos de acceso, rectificación, supresión, limitación o portabilidad en tratamientos en los que no se requiere la identificación del interesado, cuando este, para ejercer estos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73.c de la LOPDGDD | 11.2 Cdo. 57 |
Infracción | DERECHOS DEL INTERESADO (capítulo III GDPR) | GDPR | LOPD GDD |
74.b | Exigir el pago de un canon para facilitar la información del tratamiento o por atender el ejercicio de los derechos del interesado, cuando lo permita el art. 12.5 del GDPR pero su cuantía exceda el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada | 12 y 15 | |
74.a | Incumplir el principio de transparencia de la información o el derecho de información del interesado por no facilitar toda la información exigida en el GDPR | 13 y 14 | |
74.c | No atender las solicitudes de ejercicio de los derechos del interesado, salvo que resultase de aplicación lo dispuesto en el artículo 72.1.k de la LOPDGDD | 15 a 22 | |
74.e | No notificar la rectificación o supresión de datos o la limitación del tratamiento a cada uno de los destinatarios a los que se hayan comunicado los datos, salvo que sea imposible o exija un esfuerzo desproporcionado | 19 | |
74.f | No informar al interesado, cuando lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se haya limitado el tratamiento | 19 |
Infracción | DISPOSICIONES GENERALES (título I LOPDGDD) | GDPR | LOPD GDD |
74.g | No suprimir los datos referidos a una persona fallecida cuando ello fuera exigible | 3 |
Infracción | RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (título V LOPDGDD) | GDPR | LOPD GDD |
Obligaciones generales | |||
74.h | No formalizar un acuerdo con corresponsables del tratamiento (CoRT) que determine las obligaciones, funciones y responsabilidades y sus relaciones con los interesados, o la inexactitud en la determinación de las mismas | 26 | |
74.i | No poner a disposición de los interesados los aspectos esenciales del acuerdo formalizado entre los CoRT | 26.2 | |
74.k | Incumplir, por parte del ET, las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del RT, salvo que esté legalmente obligado a ello conforme el GDPR y la LOPDGDD, o en los supuestos en que fuese necesario para evitar la infracción y se hubiese advertido de ello al RT o ET | 28.3 | |
74.j | Incumplir, por parte del ET, la obligación de informar al RT acerca de la posible infracción por recibir una instrucción que incumple el GDPR o la LOPDGDD | 28.3.h | |
74.l | Disponer de un Registro de actividades de tratamiento que no incorpore toda la información | 30 | |
Seguridad de los datos personales | |||
74.m | La notificación incompleta, tardía o defectuosa a la AC relacionada con una violación de seguridad | 33 | |
74.n | No documentar cualquier violación de seguridad en los términos exigidos en el GDPR | 33.5 | |
74.ñ | No comunicar al interesado una violación de la seguridad que entrañe un alto riesgo para sus derechos y libertades | 34 | |
Evaluación de impacto | |||
74.o | Facilitar información inexacta a la AC, en los supuestos en los que el RT deba elevar una consulta previa | 36 | |
Delegado de protección de datos | |||
74.p | No publicar los datos de contacto del DPO, o no comunicarlos a la AC, cuando su nombramiento sea exigible | 37 | 34 |
Códigos de conducta y certificación | |||
74.q | Incumplir, por parte de los organismos acreditados de supervisión de un código de conducta, la obligación de informar a la AC acerca de las medidas que resulten oportunas en caso de infracción del código | 41.4 | |
74.r | Incumplir, por parte de los organismos de certificación, la obligación de informar a la AC de la expedición, renovación o retirada de una certificación | 43.1 y 43.5 |