Como hemos ido comentando en anteriores post, el Reglamento 2016/679/UE, de 27 de abril no efectúa una calificación de las conductas proscritas pormenorizadamente.
Como veremos en este post, la regulación de las infracciones graves en RGPD es bastantes menos precisa y pormenorizada que en la LOPD-GDD/2018 en cuanto las situaciones que suponen una infracción grave y su consideración, de modo que sea mucho más difícil conocer el plazo de prescripción de esa infracción (en función de si es considerada leve, grave o muy grave) así como hacernos una idea de la gravedad de la infracción de cara a la sanción administrativa que nos podrían imponer por su incumplimiento.
(Hemos de recordar de cualquier modo, que la sanción se graduará atendiendo al caso individual y se tendrán en cuenta las circunstancias recogidas en el art. 83.2 del RGPD
El art. 73 de la LOPD-GDD/2018 califica como graves, en relación con lo establecido en el art. 83.4 del Reglamento 2016/679/UE, de 27 de abril , las infracciones que supongan una vulneración sustancial de los mandatos mencionados en el RGPD
¿Qué relación de conductas merecen la calificación como infracciones graves?
Para esta respuesta, el art. 73 LOPD-GDD/2018 contiene una relación de las acciones que merecen la calificación de graves, al establecer lo siguiente:
En función de lo que estasblece el art. 83.4 del Reglamento 2016/679/UE se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los arts. mencionados , y en particular las siguiente
a) El tratamiento de datos de carácter personal de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al art. 8 del Reglamento 2016/679/UE .
b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el art. 8.2 del Reglamento 2016/679/UE .
c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño y por defecto e integrar las garantías necesarias en el tratamiento, en los términos exigidos por el art. 25 del Reglamento 2016/679/UE .
e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el art. 25.2 del Reglamento 2016/679/UE .
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el art. 32.1 del Reglamento 2016/679/UE .
Por ejemplo: Organización Sancionada: Madrileña Red de Gas
Artículo violado: art. 32 GDPR – RPGD
Tipo : no implementar medidas suficientes para garantizar la seguridad de la información
Fuente: Enlace
Resumen: La compañía de gas no tenía las medidas técnicas necesarias para verificar la identidad de los datos de los sujetos. Un tercero alegó que la empresa envió su información por correo electrónico a un tercero en relación con una solicitud.
g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el art. 32.1 del Reglamento 2016/679/UE .
h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el art. 27 del Reglamento 2016/679/UE .
i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos
Otro ejemplo que se encuentra entre las actuaciones de la AEPD. Organización Finada: Iberdrola Clientes
Artículo violado: art. 31 GDPR – RGPD
Tipo: no cooperar con la autoridad supervisora
Fuente: Enlace
Resumen:
Iberdrola Clientes violó el Artículo 13 del GDPR cuando mostró una falta total de cooperación con la AEPD. Este último había pedido a Iberdrola Clientes que proporcionara la información necesaria para agregar una persona a la lista de solvencia.
…
¿De qué va a depender la multa o la sanción de estas vulneraciones sustanciales o infracciones graves?
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
b) la intencionalidad o negligencia en la infracción;
c) cualquier medida tomada para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado;
e) toda infracción anterior cometida;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.