¿QUÉ ES LA PROTECCIÓN DE DATOS?

A nivel empresarial, se trata de uno de los puntos más relevantes puesto que, del mismo, podrían derivar diferentes consecuencias negativas y gravosas a estas empresas o entidades, por lo que es importante que conozcan y respeten los preceptos legales que les son aplicables con el fin de evitar sorpresas desagradables y, lo que es aún peor, muy costosas para ellas.

 En este sentido el Reglamento General de Protección de Datos (RGPD) (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos endurece el régimen sancionador aplicable no sólo a los responsables del tratamiento de los datos de carácter personal, sino también a los encargados del tratamiento de estos, procediendo a incrementar las cuantías de las sanciones por el incumplimiento de las disposiciones previstas para proteger los datos de carácter personal, implicando un cambio sustancial que debe ser tenido en cuenta por todas las empresas y entidades a la hora de tratar datos personales, adaptándose a las estipulaciones del nuevo Reglamento y adecuándose a todos los cambios que este prevé, de tal forma que pueda evitar sorpresas desagradables e imprevistas.

 La cuantía de las sanciones que impone el Reglamento se gradúa atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a cualquier otra circunstancia que sea relevante para determinar el grado de culpabilidad.

 ¿Quiénes van a ser los responsables?

 Los responsables del tratamiento de protección de datos que estarán sujetos al régimen sancionador son:

 Las obligaciones del responsable y del encargado

• Los responsables de los tratamientos.
• Los encargados de los tratamientos.

 Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.

 Tipos de infracciones

 Vamos a ver alguna de ellas:

 Infracciones leves

 El incumplimiento del principio de transparencia de la información o el derecho de información del afectado.

• No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos.
• El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.
• El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales.
• Disponer de un Registro de actividades de tratamiento que no incorpore toda la información.
• Facilitar información inexacta a la Autoridad de protección de datos.
• No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos.

 Infracciones graves

 El tratamiento de datos de carácter personal de un menor de edad sin recabar su consentimiento.

• El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos.
• La falta de adopción de aquellas medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado.
• Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido.
• No disponer del Registro de actividades de tratamiento.
• No cooperar con las autoridades de control.
• El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
• El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.

 Infracciones muy graves

 El tratamiento de datos personales vulnerando los principios y garantías.

• El incumplimiento de los requisitos exigidos para la validez del consentimiento.
• La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado.
• La omisión del deber de informar al afectado acerca del tratamiento de sus datos.
• La vulneración del deber de confidencialidad.
• La transferencia internacional de datos de carácter personal a un destinatario de un tercer país o a una organización internacional.
• El incumplimiento de la obligación de bloqueo de los datos cuando la misma sea exigible.
• La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.

 Tipos de sanciones

 Las infracciones de las disposiciones siguientes se sancionarán con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

 Las obligaciones del responsable y del encargado.

• Las obligaciones de los organismos de certificación.
• Las obligaciones de la autoridad de control.

 Y las siguientes infracciones se sancionarán con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

 Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.

• Los derechos de los interesados.
• Las transferencias internacionales de datos personales a un destinatario en un tercer país o una organización internacional.

 Toda obligación en virtud del Derecho de los Estados miembros.

 El incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control, o el no facilitar acceso.

 Además, el incumplimiento de las resoluciones de la autoridad de control se sancionará con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.