Sanciones y medidas correctivas en caso de incumplimiento de la normativa de protección de datos

Autor:Alberto Palomar (Magistrado y Profesor Titular -Acred- de Derecho administrativo ) y Javier Fuertes (Doctor en Derecho. Magistrado suplente)
 
EXTRACTO GRATUITO

Las sanciones y medidas correctivas en caso de incumplimiento de la normativa de protección de datos son aquellas consecuencias, económicas y de otro tipo, establecidas infracciones muy graves son las acciones y omisiones contrarias a lo establecido en la regulación legal en materia de Protección de Datos de Carácter Personal.

Contenido
  • 1 Sanciones y medidas correctivas en la LOPD/1999
  • 2 Sanciones y medidas correctivas en el Reglamento 2016/679/UE y en el Proyecto LOPD/2018
    • 2.1 Condiciones generales y tipos de sanciones en el Reglamento 2016/679/UE
    • 2.2 Criterios de graduación de las sanciones en el Reglamento 2016/679/UE
    • 2.3 Importe de las sanciones en el Reglamento 2016/679/UE
    • 2.4 Sanciones no económicas en el Reglamento 2016/679/UE
    • 2.5 Multas a autoridades y organismos públicos en el Reglamento 2016/679/UE
    • 2.6 Inexistencia de multas y aplicación del Reglamento 2016/679/UE
  • 3 Ver también
  • 4 Recursos adicionales
    • 4.1 En doctrina
    • 4.2 En dosieres legislativos
  • 5 Legislación básica
  • 6 Legislación citada
Sanciones y medidas correctivas en la LOPD/1999

El Real Decreto-ley 5/2018, de 27 de julio , de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, deroga el art. 45 LOPD/1999 , que regulaba las sanciones en materia de protección da datos de carácter personal.

Sanciones y medidas correctivas en el Reglamento 2016/679/UE y en el Proyecto LOPD/2018 Condiciones generales y tipos de sanciones en el Reglamento 2016/679/UE

El art. 83.1 del Reglamento 2016/679/UE, de 27 de abril , establece, como premisa y condición general para la imposición de multas administrativas en este ámbito, que cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente art. por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.

Téngase en cuenta que en el Considerando 149 del Reglamento 2016/679/UE, de 27 de abril se señala:

Los Estados miembros deben tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del presente Reglamento, incluidas las infracciones de normas nacionales adoptadas con arreglo a él y dentro de sus límite. (...) Dichas sanciones penales pueden asimismo autorizar la privación de los beneficios obtenidos en infracción del presente Reglamento. (...) No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales y de sanciones administrativas no debe entrañar la vulneración del principio ne bis in idem, según la interpretación del Tribunal de Justicia.

Multas administrativas que se impondrán:

  • En función de las circunstancias de cada caso individual

Cabe citar el art. 58.2 del Reglamento 2016/679/UE, de 27 de abril , en el que se establece que cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los arts. 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al art. 17, apartado 2 y al art. 19 ;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los arts. 42 y 43 , u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al art. 83 , además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
Criterios de graduación de las sanciones en el Reglamento 2016/679/UE

En el art. 83.2 del Reglamento 2016/679/UE, de 27 de abril , se determinan los criterios de graduación que habrán de tenerse en cuenta (“se tendrá debidamente en cuenta” en términos del Reglamento) al decidir la imposición de una multa administrativa y para fijar su cuantía:

  • La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
  • La intencionalidad o negligencia en la infracción;
  • El grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los arts. 25 y 32 ;
  • Toda infracción anterior cometida por el responsable o el encargado del tratamiento;
  • El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
  • Las categorías de los datos de carácter personal afectados por la infracción;
  • La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
  • Cuando las medidas correctivas hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
  • Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

En este sentido, el art. 76.1 del Proyecto LOPD/2018 establece que se aplicarán los criterios de graduación establecidos en el art. 83.2 del Reglamento 2016/679/UE, de 27 de abril , y que, de acuerdo a lo previsto en el art. 83.2.k) del propio Reglamento (cualquier otro factor agravante o atenuante aplicable a las circunstancias del...

Para continuar leyendo

SOLICITA TU PRUEBA