Consultores RGPD
Vaya al Contenido

Sanciones en el RGPD (10)

Cumplimiento normativo online
Publicado de AmyPc en RGPD-GDPR · 2 Abril 2017
Tags: sancionesmultasrgpd
Sanciones y multas en el RGPD

El RGPD proporciona amplias competencias para que las autoridades de control para hacer cumplir, incluido el poder de imponer multas administrativas significativas. Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del RGPD, en particular las infracciones que no se sancionen con multas administrativas, y adoptarán todas las medidas necesarias para garantizar su observancia.

Multas administrativas: Las multas administrativas impuestas serán efectivas, proporcionadas y disuasorias. Se impondrán, en función de las circunstancias de cada caso individual. Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de la aplicación del RGPD;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando hayan sido ordenadas medidas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta o a mecanismos de certificación aprobados;
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Si un responsable o un encargado del tratamiento incumpliera de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del RGPD, la cuantía total de la multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

Las infracciones de las disposiciones siguientes se sancionarán con multas administrativas de 10.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado;
b) las obligaciones de los organismos de certificación;
c) las obligaciones de la autoridad de control.

Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento;
b) los derechos de los interesados;
c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional;
d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX del RGPD;
e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control, o el no facilitar acceso a los datos.

El incumplimiento de las resoluciones de la autoridad de control, se sancionará multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Sin perjuicio de los poderes correctivos de las autoridades de control, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro. El ejercicio por una autoridad de control de sus poderes estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y de los Estados miembros, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, la sanción se podrá aplicar de tal modo que la incoación de la multa corresponda a la autoridad de control competente y su imposición a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas por las autoridades de control.

Acciones a realizar:
• Si se quieren evitar sanciones hay que cumplir la ley por lo que no hay otra opción que adaptarse y comenzar por ponerse al día con la normativa actual, la LOPD 15/1999 y su Reglamento de Desarrollo 1720/2007, que aún están en vigor. Adaptar al RGPD a empresas que ya están cumpliendo la normativa será más sencillo que hacerlo partiendo de cero.


Regreso al contenido