Conceptos básicos de la LOPD (IX): infracciones y sanciones

La Ley Orgánica de Protección de Datos (LOPD) tiene como objeto garantizar y proteger derechos fundamentales de las personas físicas, como son especialmente su honor e intimidad personal y familiar. Es por eso que es una ley de rango orgánico, y que en caso de incumplimiento prevee importantes sanciones económicas.

Si una pyme ha de prestar una importante atención a este capítulo se debe a que estás sanciones, al regular un derecho individual de cada ciudadano, no están en función del tamaño de la empresa sino del artículo vulnerado, del nivel de seguridad exigido a esos datos y de una serie de factores que pueden atemperar la sanción y que veremos más adelante.

Analicemos primero qué tipo de infracciones señala la LOPD.

Son infracciones leves:

  • No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
  • No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas.
  • No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
  • Proceder a la recogida de datos de carácter personal de los propios afectados sin informarles de sus derechos.
  • Incumplir el deber de secreto (salvo que constituya infracción grave).

Las infracciones leves serán sancionadas con multa de 601,01 euros a 60.101,21 euros.

Son infracciones graves:

  • La recogida de datos de carácter personal con finalidades distintas de las que constituyen el objeto legítimo de la empresa.
  • Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
  • El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
  • Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan.
  • La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
  • Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
  • No colaborar con la Agencia de Protección de Datos
  • Incumplir el deber de información cuando los datos hayan sido recabados de persona distinta del afectado.

Las infracciones graves serán sancionadas con multa de 60.101,21 euros a 300.506,05 euros.

Son infracciones muy graves:

  • La recogida de datos en forma engañosa y fraudulenta.
  • La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
  • No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
  • No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
  • No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.

Las infracciones muy graves serán sancionadas con multa de 300.506,05 euros a 601.012,10 euros.

La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas.

Si se apreciara una cualificada disminución de la culpabilidad de la empresa denunciada, la Agencia de Protección de Datos (AEPD), que es el organismo que tiene la potestad sancionadora, aplica la escala inferior a la clase de infracción señalada. Es decir, que las infracciones muy graves se sancionan como graves, y las graves como leves.

En Tecnología Pyme | LOPD: guías prácticas y conceptos básicos

También te puede gustar

Portada de Pymes y Autonomos

Ver todos los comentarios en https://www.pymesyautonomos.com

VER 0 Comentario