Las sanciones RGPD son una preocupación muy común en la mayoría de las empresas. Según el tipo de infracción que se cometa pueden llegar a suponer una cantidad de 20 millones de euros. Estas sanciones RGPD están reservadas para aquellas infracciones que violan los derechos y garantías en materia de protección de datos.
El Reglamento General de Protección de Datos no especificaba una tipología de las infracciones, y eran las agencias nacionales quienes debían hacerlo. Sin embargo, la LOPD subsanó esta carencia y las sanciones RGPD se imponen en tres tipos de infracciones
Tabla de contenido
Sanciones RGPD hasta 10 millones de euros
El Reglamento establece sanciones RGPD de 0 a 10 millones de euros (o, si se trata de una empresa, hasta el 2% de su facturación anual. Estas multas administrativas se imponen al responsable y encargados de datos por incumplimiento del Reglamento. También a la autoridad de control o a los organismos de certificación si no cumplen sus obligaciones.
Sanciones RGPD hasta 20 millones de euros
Por su parte, las sanciones RGPD de hasta 20 millones de euros, o hasta el 4% de su facturación si se trata de una empresa, se imponen si se ha vulnerado los derechos de usuarios. También si no se ha recabado el consentimiento o si se han trasferido los datos personales a una entidad en un tercer país u organización internacional.
Otro de los supuestos en los que imponen sanciones RGPD es el incumplimiento de las resoluciones de la Agencia Española de Protección de Datos.
Infracciones según la LOPD
La ley española de Protección de Datos y Garantía de los Derechos Digitales, matizó el RGPD y estableció una tipificación para las infracciones: leves, graves y muy graves.
Las infracciones leves son, por ejemplo, que un DPO no cumpla sus obligaciones o no informar con la suficiente transparencia. Por su parte, las graves son aquellas que vulneran la protección de datos, como no nombrar un delegado de protección de datos o recopilar datos de menores sin consentimiento. Finalmente, las infracciones muy graves son aquellas que conllevan un incumplimiento sustancial. Por ejemplo, usar los datos para una finalidad distinta a la indicada o transferir datos entre países sin garantía.
Sanciones RGPD: Apercibimiento
El Reglamento contempla la posibilidad de sustituir las sanciones RGPD por un apercibimiento. Esto consiste en una notificación para que el infractor adopte las medidas correctoras que en ella se le indiquen.
La Agencia Española de Protección de Datos es quien debe decidir si impone una sanción económica o un apercibimiento, en función de la naturaleza de los hechos sancionados.
A pesar de que esta medida está considerada de carácter excepcional, la AEPD ha aplicado el apercibimiento en numerosas ocasiones. Sobre todo ocurre cuando pude tratarse de un incumplimiento por desconocimiento. Sin embargo, si los hechos son más graves, no existe esa posibilidad.
Cuando recibimos un apercibimiento, tenemos que acreditar que hemos tomado las medidas solicitadas por la Agencia. Si no lo hacemos, podemos enfrentarnos a una multa de hasta 20 millones de euros según el Reglamento General de Protección de Datos.
