Infracciones graves en materia de protección de datos

Autor:Alberto Palomar (Magistrado y Profesor Titular -Acred- de Derecho administrativo ) y Javier Fuertes (Doctor en Derecho. Magistrado suplente)
 
EXTRACTO GRATUITO

Las infracciones graves en materia de protección de datos son las acciones y omisiones contrarias a lo establecido en la regulación legal en materia de Protección de Datos de Carácter Personal que se califican como tales (aunque el art. 74 del Proyecto LOPD/2018 califica determinadas infracciones como leves, ni el Reglamento 2016/679/UE , ni el Real Decreto-ley 5/2018, de 27 de julio , contienen una clasificación de las infracciones).

Contenido
  • 1 Determinación de las infracciones graves en materia de protección de datos
    • 1.1 LOPD/1999
    • 1.2 Reglamento 2016/679/UE y Proyecto LOPD/2018
  • 2 Consecuencias de las infracciones graves en materia de protección de datos
  • 3 Ver también
  • 4 Recursos adicionales
    • 4.1 En doctrina
    • 4.2 En dosieres legislativos
  • 5 Legislación básica
  • 6 Legislación citada
Determinación de las infracciones graves en materia de protección de datos LOPD/1999

El Real Decreto-ley 5/2018, de 27 de julio , de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, deroga el art. 44 LOPD/1999 , en cuyo apartado 3 calificada los hechos constitutivos de infracción grave.

Reglamento 2016/679/UE y Proyecto LOPD/2018

El Reglamento 2016/679/UE, de 27 de abril no efectúa una calificación de las conductas proscritas.

De igual forma, el art. 4 del Real Decreto-ley 5/2018, de 27 de julio , de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, dispone:

Constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83 .

El art. 73 del Proyecto LOPD/2018 califica como graves, en relación con lo establecido en el art. 83.4 del Reglamento 2016/679/UE, de 27 de abril , las infracciones que supongan una vulneración sustancial de los mandatos mencionados en aquél.

De esta forma, el art. 73 del Proyecto de LOPD/2018 contiene una relación de las conductas que merecen la calificación de graves, al establecer lo siguiente:

En función de lo que establece el art. 83.4 del Reglamento 2016/679/UE se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los arts. mencionados en aquél, y en particular las siguientes:

a) El tratamiento de datos de carácter personal de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al art. 8 del Reglamento 2016/679/UE .

b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el art. 8.2 del Reglamento 2016/679/UE .

c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño y por defecto e integrar las garantías necesarias en el tratamiento, en los términos exigidos por el art. 25.1 del Reglamento 2016/679/UE .

e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el art. 25.2 del Reglamento 2016/679/UE .

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el art. 32.1 del Reglamento 2016/679/UE .

g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el art. 32.1 del Reglamento 2016/679/UE .

h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el art. 27 del Reglamento 2016/679/UE .

i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento 2016/679/UE .

k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el art. 28.3 del Reglamento 2016/679/UE .

l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento 2016/679/UE y la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el...

Para continuar leyendo

SOLICITA TU PRUEBA