Con la modificación de la LOPD y la aplicación del Reglamento General de Protección de Datos (RGPD) se han modificado también el tipo y la cantidad de sanciones que se imponen por incumplir la LOPD. Las nuevas sanciones se fundamentan en denuncias ante la AEPD, que es la autoridad de control del cumplimiento de la normativa en España. Las sanciones pueden variar en función de si son leves, graves o muy graves. Si quieres conocer todo acerca de las sanciones LOPD, te lo explicamos a continuación.

¿Cuáles son las sanciones por incumplir la LOPD?

Las sanciones LOPD se fundamentan en un sistema dual, que puede consistir en una cifra exacta de un importe monetario que la empresa debe abonar en caso de detectarse las anomalías pertinentes, o en un determinado porcentaje (hasta el 4%) del volumen de negocio del ejercicio presentado el año anterior a la sanción. Si el porcentaje de la facturación anual supera el importe sancionador máximo, entonces se aplica la sanción basada en el porcentaje. En el caso contrario, que la facturación anual del 4% sea inferior al importe sancionador máximo, se multa con el importe exacto.

Las sanciones LOPD pueden ser:

  • De hasta 10 millones de euros o un 2% del volumen de negocio en el ejercicio al año anterior para infracciones como no adoptar las medidas de seguridad correspondientes, o no nombrar un delegado de protección de datos en los casos en los que éste es obligatorio.
  • De hasta 20 millones de euros o un 4% del volumen de negocio en el ejercicio al año anterior para infracciones como incumplir los derechos de terceros o de los principios básicos del tratamiento de datos.

¿Quién impone las sanciones LOPD?

La autoridad encargada de hacer cumplir el reglamento de protección de datos es la Agencia Española de Protección de Datos (AEPD). Esta autoridad es la encargada de valorar las condiciones de cada caso en particular, establecer cuáles son las infracciones que se han llevado a cabo, e imponer las sanciones que sean pertinentes en base a lo establecido en el RGPD.

Las consideraciones que la AEPD tiene en cuenta son muy diversas, pero fundamentalmente suelen responder a los siguientes patrones:

  • Naturaleza, gravedad y duración de la infracción
  • Intencionalidad de la infracción
  • Medidas tomadas para tratar de paliar los efectos de la infracción por parte de la entidad
  • Grado de responsabilidad del responsable de tratamiento de datos
  • Grado de cooperación de la entidad con las autoridades para mitigar los efectos causados, así como la forma en la que las autoridades tienen noticia de la infracción
  • Categoría de los datos afectados en la infracción
  • Diferentes agravantes o atenuantes de cada caso

¿Cómo es el proceso sancionador en España?

En el momento en que se presenta una reclamación a la AEPD, para iniciar el establecimiento de las sanciones LOPD se tienen en cuenta 2 factores:

  • Si se incumplen los derechos ARCO
  • Si existe una infracción del reglamento

Pero tampoco vale todo en las sanciones de la LOPD, ya que existe también una evaluación de cada caso, remitiendo las que incumplan una serie de condiciones. Por ejemplo: no se tienen en cuenta aquellas sobre cuestiones de datos de carácter personal, que sean abusivas, que no aporten indicios racionales de la existencia de una infracción… Estas son solo algunas, realmente existen otras muchas excepciones a las sanciones de la LOPD.

La AEPD notifica a cada entidad en un plazo de 3 meses si las reclamaciones presentadas van adelante o no. En caso de que esta notificación no se haga efectiva en el plazo de 3 meses se sobreentiende que la reclamación ha sido admitida y que se continúa con la tramitación de la misma.

Una vez admitida la reclamación puede existir una fase previa de alegaciones para la investigación, que no será superior a 12 meses. Finalizada esta fase previa de alegaciones, el Director de la AEPD establece un acuerdo inicial con la entidad en el que se establecen:

  • Los hechos acometidos
  • La identificación de la entidad y responsables del procedimiento
  • La posible infracción
  • La posible sanción

Posteriormente a este acuerdo y en función de cada caso, la AEPD llevará a cabo, en caso de que sen necesarias, actuaciones de inspección para fundamentar el procedimiento, además de acordar la adopción de medidas provisionales con la entidad en caso de ser necesarias.

Durante las actividades de inspección existen actuaciones que los funcionarios de la AEPD pueden hacer y que no pueden hacer, por eso lo mejor en estos casos es ponerse en contacto con profesionales expertos en protección de datos que garanticen la seguridad del proceso.

¿Cuáles son los plazos de prescripción de las sanciones?

Al igual que las sanciones de la LOPD son graduales en función de cada infracción, también lo son los periodos en los que se prescriben las mismas. La diferenciación de estas prescripciones se establece en función de si las infracciones son leves, graves o muy graves.

  • Sanciones leves (importe inferior a 40.000 euros): prescriben en 1 año
  • Sanciones graves (importe comprendido entre 40.001 y 300.000 euros): prescriben en 2 años
  • Sancione muy graves (importe superior a 300.000 euros): prescriben en 3 años

En ExpertosLOPD® estamos a tu disposición para resolver todas las dudas que te puedan surgir con respeto a la LOPD, RGPD, infracciones y sanciones, así como sobre otros temas relacionados con la protección de datos. Puedes conocer nuestro servicio de adaptación a LOPD/RGPD o ponerte en contacto con nosotros para que estudiemos tu caso en particular y atendiendo a tus necesidades.

Última modificación el 1 junio, 2021 por Expertos LOPD