Si eres una PYME o autónomo, debes saber que no estás fuera del alcance de la regulación que atañe al tratamiento de datos personales.
Tras 2 años de adaptación, desde el pasado 25 de mayo ha entrado en vigor el Reglamento Europeo que recoge las obligaciones que deberá cumplir cualquier empresa en referencia a los datos de carácter personal con los que trate. Si aún no sabes de lo que te hablo, sigue leyendo para conocer a qué te expones si no has tomado ya las medidas pertinentes.
Será objeto de sanción el incumplimiento de las disposiciones contempladas en el Reglamento del Parlamento Europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Por datos personales se entiende toda información relativa a una persona física (“el interesado”) que permita su identificación; como es el caso del nombre, el número de identificación, su domicilio, correo electrónico o aspectos físicos, fisiológicos, genético, psíquicos, económicos, culturales o sociales.
Según el artículo 83 del Reglamento General de Protección de Datos, las cuantías de las sanciones se impondrán de manera individualizada según las características de cada caso, para lo cual se tendrá en cuenta:
- la naturaleza, gravedad y duración de la infracción, analizando la naturaleza, el alcance y la voluntad de la operación, así como el número de interesados afectados y los daños y perjuicios ocasionados.
- si la infracción fue intencionada o negligente.
- las medidas tomadas por el encargado del tratamiento de los datos para paliar los daños y perjuicios de los interesados.
- el grado de responsabilidad que tuviera el encargado del tratamiento de protección de datos.
- si el responsable del tratamiento ya hubiera cometido otra infracción de manera anterior, o no.
- el grado de colaboración por parte del responsable con la autoridad de control con el objetivo de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
- la categoría de los datos personales desprotegidos por los que se impone la sanción.
- la forma en la que la autoridad de control reconoció la infracción, más concretamente, si el responsable la notificó a la autoridad de control y en qué medida lo hizo.
- si el responsable ya haya sido advertido o apercibido con relación al mismo asunto, por la falta de cumplimiento del reglamento.
- la adhesión a códigos de conducta o a mecanismo de certificación creados con arreglo al RGPD.
- cualquier factor que agrave o atenúe las circunstancias del caso, como los beneficios obtenidos o las pérdidas evitadas a través de la infracción.
Conforme al reglamento, las infracciones serán sancionadas con multas administrativas de 10 millones de euros o el 2% del volumen de negocio anual total tomando siempre la cuantía superior o 20 millones de euros y en su defecto 4 % del volumen de negocio anual total tomando siempre la cuantía más alta.
Por lo tanto, tener conocimiento de tus obligaciones con el tratamiento de los datos te ahorrará consecuencias muy negativas.
En suma, existe una adaptación de dicho reglamento a nuestro ordenamiento jurídico que se encuentra recogida en la Ley Orgánica 3/2018 del 5 de diciembre de 2018, lo que viene a modificar la antigua Ley Orgánica de Protección de Datos de 1999. Entre las nuevas disposiciones de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales se encuentra el régimen sancionador que estará vigente en el territorio español de manera complementaria a las incluidas en la RGPD. Es decir, el reglamento europeo tendrá adaptaciones de carácter nacional en el nuevo decreto-ley de diciembre de 2018.
El real Decreto-Ley 5/2018 incluye en el Capítulo IX el régimen sancionador aplicable y aborda:
- los sujetos responsables que serán objeto del régimen sancionador
- infracciones
- la prescripción de las infracciones
- la prescripción de las sanciones
Sujetos responsables que serán objeto del régimen sancionador
Los sujetos que podrán ser objeto régimen sancionador serán:
- Los responsables de los tratamientos.
- Los encargados de los tratamientos.
- Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
- Las entidades de certificación.
- Las entidades acreditadas para la supervisión de los códigos de conducta.
Por ende, no será de aplicación al delegado de protección de datos.
Infracciones
La ley orgánica de protección de datos a nivel nacional establece un régimen sancionador complementario al RGPD. De esta manera, incluye una categorización de infracciones dividiéndolas en muy graves, graves y leves.
- Infracciones consideradas muy graves serán las recogidas en el artículo 83.5 del Reglamento Europeo.
- Infracciones consideradas graves serán las recogidas en el artículo 83.4 del Reglamento Europeo
- Infracciones consideradas como leves serán las restantes incluidas en los apartados 4 y 5 del artículo 83.
Prescripción de las infracciones
Las infracciones prescribirán en un periodo de 2 a 3 años que variará en función del tipo de infracción.
Prescripción de las sanciones
Las sanciones impuestas en base a los recogido en el RGPD prescribirán en los siguientes plazos:
- Un año, para aquellas sanciones menores o iguales a 40.000 €
- Dos años, para las sanciones de entre 40.001 y 300.000 €
- Tres años, para las sanciones de más de 300.000 €
Plazos temporales a contar desde el día inmediatamente posterior a la ejecución de la resolución por la que se impone la sanción.
Estas son algunas de las prácticas por las que serás multado con sanciones de 10 millones de euros o el 2 % del volumen de negocio anual.
- No obtener el consentimiento de los padres en los servicios ofrecidos a menores sin capacidad de consentir
- La no designación de un Delegado de Protección de Datos cuando así proceda.
- Incumplimiento de las obligaciones del encargado del tratamiento
- No notificar a la Autoridad de Control o a los titulares, las violaciones de seguridad que pongan en riesgo de los derechos o libertades de los mismos, como, por ejemplo:
- Destrucción, pérdida o alteración accidental o ilícita de datos personales.
- Pérdida de ordenador portátil.
- Accesos no autorizados a base de datos.
- Borrado accidental de registros.
Algunos ejemplos de prácticas que conllevan las mayores sanciones, en este caso de 2 millones de euros o 4 % del volumen de negocio anual, son:
- No contar con el consentimiento explícito del usuario.
- Incumplir el deber de secreto.
- Transferir datos a un país tercero que no ofrezca las garantías de seguridad adecuadas.
- Incumplimiento de las normas del estado miembro
- Incumplimiento de los requisitos necesarios para transferencias de datos personales a terceros países u organizaciones internacionales.
- Falta de cumplimiento de los principios básicos.
Deja un comentario