El Reglamento Europeo de Protección de Datos (RGPD) implica varios cambios con respecto a la LOPD; uno de los más importantes es el aumento de las sanciones. En este artículo te explicamos con detalle cuánto son las sanciones del RGPD y las que contemplaba la antigua LOPD. Además, indicamos algunos casos paradigmáticos en los que tendríamos que aplicar cada sanción para que tengas esa información; a largo plazo, te resultará más fácil prevenir estas cuestiones y tomar decisiones.
A cuánto las sanciones de la LOPD
El primer aspecto que has de tener presente es que la LOPD ya incluía un régimen sancionador explícito, siendo la primera vez que se detallaban el tipo de faltas que se podían cometer y los costes de las mismas. Has de tener en cuenta que el plazo de prescripción varía entre el año de las sanciones leves y los 3 años de las muy graves. Has de utilizar como referencia los denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
Este es el listado de las infracciones principales y los costes que están asociados, aunque has de tener en cuenta que la cuantía ha sido superada por lo que determina hoy el RGPD:
1. Infracciones leves
Una infracción leve era el escalón más bajo y se utilizaba para aquellas empresas que no cumplían con formalidades básicas como no darse de alta en la AEPD o no fijar cómo se trabaja en cuestiones como el tratamiento de datos mediante contratos. Se entendía que hay una negligencia que podía ser poco grave, aunque había una gran discrecionalidad en función de cada caso.
Las sanciones oscilan entre los 900 y los 40 000 euros, de manera que las graduaciones son muchas y como criterio general se suele utilizar el tamaño o importancia de la entidad, así como el volumen de información que maneja.
2. Infracciones graves
Las infracciones graves se referían a cuestiones como la negligencia profesional, la utilización de los ficheros que se han obtenido con fines no autorizdos, no tomar las decisiones de seguridad que corresponden o violar el secreto profesional. Por ejemplo, si has recabado información con motivación estadística no la deberías utilizar con fines publicitarios. Se consideraba que había una transgresión grave porque no había simple pasividad, sino que implicaba una acción determinada por parte de los responsables de datos.
En estos casos, las sanciones que se van a imponer por parte de la AEPD para garantizar el cumplimiento de la legislación aumentaban desde los 40 001 a los 300 000 euros.
3. Infracciones muy graves
Este es el principal escalón de sanciones que prevé la LOPD y en él se incluyen supuestos como el envío de datos de forma no autorizada a otros países, tratar datos que están protegidos por definición o el recoger información de manera engañosa. Aquí ya hablamos de una acción que incluso podría resultar delictuosa según la legislación ordinaria.
En estos casos extremos, hay que indicar que las sanciones van desde los 300 001 hasta los 600 000 euros, aunque hubo pocos precedentes.
A cuánto las sanciones del RGPD
Hemos de dejar claro que las sanciones del RGPD no son incompatibles con las que establecía la LOPD, pero sucede que al tratarse de una normativa de alcance comunitario, las han convertido en obsoletas. El principal aspecto a destacar es que el coste de cada infracción ha aumentado exponencialmente; en la práctica, se hace más importante ponerse al día en este aspecto.
Es significativo que haya desaparecido la categoría de infracción leve, pero no es casual. La filosofía del RGPD es la de defender la protección de datos como una cuestión fundamental y no ha de extrañar que cualquier transgresión se considere grave per se. Has de tener presente que se han ampliado algunos derechos ARCO e introducido novedades como el derecho a la portabilidad, limitación del tratamiento, no ser objeto de decisiones individualizadas o el derecho al olvido.
Se han reducido las categorías de sanción a dos, pero no por ello se rebaja la exigencia por parte de las autoridades reguladoras; al contrario. Podemos señalar las infracciones graves y las muy graves, con un listado de casos que afectan a esta cuestión.
1. Infracciones graves
Las infracciones graves tratan de aspectos como el incumplimiento de las obligaciones que tienes como responsable del tratamiento de datos o la negligencia cuando tienes que guardar datos o tratarlos. Recuerda que tienes la obligación de nombrar un Delegado de Protección de Datos (DPO) y notificar cualquier incidencia la AEPD. En este caso, se limita la sanción al hecho de no cumplir con lo que te corresponde, pero se entiende que no ha habido una vulneración de derechos fundamentales.
La cuantía de las sanciones que te impondrá la AEPD puede alcanzar el 2 % de la facturación o hasta 10 millones de euros. Por lo tanto, has de tener en cuenta que ha aumentado, y mucho, el coste de la sanción con respecto a la antigua LOPD.
2. Infracciones muy graves
Las infracciones muy graves son las que violan derechos y garantías ciudadanas como consecuencia de una mala praxis en el tratamiento de datos como, por ejemplo, dejar de enviar los datos a la AEPD. Otro caso es cuando se envían datos a terceros países sin consentimiento y, como principio general, te recomendamos que tengas mucho cuidado con esta cuestión. Finalmente, puedes tener problemas cuando se violan los principios del RGPD, puesto que esta consideración genérica se referirá a aquella praxis contraria a lo que establece la nueva legislación.
Habida cuenta de que se consideran infracciones muy graves y que desafían los principios de la legislación, las sanciones pueden alcanzar el 4 % de la facturación o 20 millones de euros según el caso.
Conclusión
Saber cuánto son las sanciones del RGPD es importante para preparar una política de protección de datos coherente y que no te genere problemas a medio plazo. Para ello, lo mejor que puedes hacer es pedir asesoramiento a una consultoría que esté especializada en la materia porque ahorrarás tiempo y, a la larga, dinero. En clickDatos tenemos experiencia en el sector y te podemos ayudar a implementar con garantías el RGPD.