LOPD teoría y práctica (IV): Sanciones
En ocasiones algunos empresarios me formulan una curiosa pregunta: ¿Y a mi de que me sirve la protección de datos?
Hay muchas respuestas posibles, pero una es bastante contundente: Para evitar ser sancionado. En otros países europeos no sería necesario explicarle a un empresario el porqué es necesario cumplir con la ley, pero Spain is different.
En esta entrada veremos las sanciones recogidas en la legislación y algunos ejemplos de infracciones y el importe de la sanción impuesta por la AGPD. Nos dice en artículo 45 de la LOPD:
- Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas (han leído bien, las irónicamente llamadas leves van de 601,01 a 60.101,21 euros).
- Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas (60.101,21 a 300.506,25 euros).
- Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas (300.506,05 a 601.012,1 euros).
Veamos las infracciones que pueden provocar sanciones según su calificación y algunos ejemplos:
Infracciones “leves”
a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
b) No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
El mero hecho de no estar dado de alta en la AGPD si se tienen trabajadores o clientes directos, por ejemplo, ya es un incumplimiento y es motivo de sanción.
Por ejemplo, esta sanción de 601,01 euros a una Comunidad de Propietarios por la falta de inscripción de sus ficheros.
d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.
Este artículo dice que “Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
- De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante
Toda esta información debe figurar en cualquier documento (facturas, altas de clientes, cuestionarios no anónimos, etc) en que se soliciten datos personales.
e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.
El artículo 10 dice ” El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”
Ejemplo de sanción de 6.000 euros a una Comunidad de Propietarios por poner un listado de morosos en un tablón de anuncios.
Otra sanción por cámaras conectadas a Internet que señalan a la vía pública, 2.000 euros.
Tirar documentación de personas físicas a un contenedor, 12.000 euros.
Grabar a los vecinos en un garaje comunitario y publicarlos en YouTube , 2.500 euros.
Infracciones graves
Entre otras:
- Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
- Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
- La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos de nivel medio.
- La obstrucción al ejercicio de la función inspectora.
Infracciones muy graves
Algunos de los casos más relevantes son:
- La recogida de datos en forma engañosa y fraudulenta.
- La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. Si no hay una ley que nos lo permita, no se pueden ceder datos personales a otras empresas o individuos sin autorización expresa del interesado.
Por ejemplo la sanción a France Telecom de 300.506,05 euros por la venta de deudas o al Instituto Médico Quirúrgico San Rafael de 60.101,21 euros por entregar datos médicos a una exmujer.
- Recabar y tratar los datos de carácter personal sin consentimiento expreso de ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual.
- La vulneración del deber de guardar secreto sobre los datos de carácter personal anteriores.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!