Blog

Protecció de Dades

Infraccions i sancions de protecció de dades

25 abril, 2019

Una de les novetats destacades del Reglament (UE) 2016/679 de Protecció de Dades és l’establiment d’un nou règim sancionador.

L’anterior Llei Orgànica 15/1999 de Protecció de Dades (LOPD) contemplava multes de fins a un màxim de 600.000 euros en cas d’incompliment. Amb la nova normativa, les empreses que no compleixin les obligacions s’exposen a multes de fins a 20 milions d’euros o el 4% de la facturació anual.

 

NOU RÈGIM SANCIONADOR

El Reglament Europeu ha incrementat considerablement el règim sancionador, encara que deixant àmplia flexibilitat per determinar la quantitat de les sancions.

L’RGPD fixa dues franges econòmiques en funció del tipus d’infraccions que detectin les autoritats de control:

  • Fins a 10 milions d’euros o, en cas d’una empresa, fins al 2% de la facturació.
  • Fins a 20 milions d’euros o, en cas d’una empresa, fins al 4% de la facturació.

 

TIPUS DE SANCIONS DE PROTECCIÓ DE DADES

La Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals desenvolupa el sistema de sancions de l’RGPD. La LOPDGDD categoritza les infraccions en molt greus, greus i lleus. Alguns dels actes sancionables de cada un dels tres nivells, així com els terminis de prescripció, són:

 

Infraccions molt greus (prescriuen als 3 anys):
  • Vulnerar els principis establerts a l’RGPD.
  • Incomplir els requisits exigits per a la validesa del consentiment.
  • Tractar dades personals per a una finalitat diferent per a la qual van ser recollides.
  • Exigir un pagament per atendre les sol·licituds d’exercici de drets.
  • Realitzar una transferència internacional de dades personals sense garanties.
  • Incomplir resolucions dictades per l’autoritat de protecció de dades.
  • Revertir deliberadament l’anonimització per tal d’identificar als titulars.

 

Infraccions greus (prescriuen als 2 anys):
  • Tractar dades d’un menor d’edat sense el seu consentiment, o dels pares o tutors legals si escau.
  • No adoptar mesures tècniques i organitzatives apropiades per garantir el compliment de la protecció de dades o un nivell de seguretat adequat.
  • Contractar un encarregat de tractament que no ofereixi les garanties suficients o sense la prèvia formalització d’un contracte.
  • No disposar del registre d’activitats de tractament.
  • No notificar una violació de seguretat de les dades a l’autoritat de control.
  • Tractar dades personals sense fer una avaluació d’impacte quan sigui exigible.
  • No designar un delegat de protecció de dades (DPD) quan sigui obligatori.

 

Infraccions lleus (prescriuen en 1 any):
  • No complir el principi de transparència de la informació.
  • Incomplir el deure d’informar a l’interessat.
  • No suprimir les dades referides a una persona morta quan això fos obligatori.
  • Disposar d’un Registre d’activitats de tractament incomplet.
  • Informa d’una violació de seguretat a l’autoritat de protecció de dades de forma defectuosa.
  • No publicar les dades de contacte del delegat de protecció de dades o no comunicar a l’autoritat de control.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *