En lo que llevamos de año, desgranando mes a mes las partes clave de la LOPDGDD, ya hemos remarcado el importante papel que cumple la AEPD para garantizar el cumplimiento de la normativa de protección de datos. Hoy profundizamos en algunas de sus funciones como “autoridad administrativa independiente de ámbito estatal con personalidad jurídica y plena capacidad pública y privada y con una actuación totalmente independiente de los poderes públicos”, según especifica la normativa.
La Agencia Española de Protección de Datos como organismo competente para la protección de las personas físicas en lo relativo al tratamiento de datos personales se encargará de:
- Mantener un listado público y actualizado de los delegados de protección de datos;
- Fijar excepciones a la obligación de bloqueo de datos en situaciones en las que la conservación de datos pueda plantear un elevado riesgo para los afectados o suponga costes desproporcionados para el responsable del tratamiento;
- Tramitar las reclamaciones recibidas directamente del usuario afectado o derivadas por parte de las empresas que las hayan recibido previamente y que tras su análisis las hayan desestimado;
- Aprobar los códigos de conducta en coordinación con el Comité Europeo de Protección de Datos y mantener los registros de aquellos que hayan sido aprobados;
- Publicar en su sede electrónica una relación de los sistemas de exclusión publicitaria que le fueran comunicados, así como ponerlos en conocimiento de las restantes autoridades de control para su publicación por todas ellas;
- Adoptar cláusulas contractuales tipo para la realización de transferencias internacionales de datos, así como aprobar normas corporativas vinculantes;
- Autorizar las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con una decisión de adecuación aprobada por la Comisión;
- Realizar actuaciones de investigación y planes de auditoría preventiva para evitar vulneraciones en materia de protección de datos;
- Dictar disposiciones que fijen su actuación en la aplicación del Reglamento y de la LOPDGDD (Circulares de la Agencia Española de Protección de Datos);
- Ejercer la representación exterior del Estado en materia de protección de datos, en particular ante el Comité Europeo de Protección de Datos, e informar a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas;
- Cooperar con otras autoridades de control con el fin de garantizar la coherencia en la aplicación y ejecución del Reglamento;
- Participar en reuniones y foros con organizaciones internacionales competentes en materia de protección de datos para analizar y colaborar en todas aquellas cuestiones relativas al derecho fundamental a la protección de datos personales;
- Garantizar la protección de los datos personales de las personas físicas en aplicación de cualquier Convenio Internacional en el que sea parte el Estado español.
¿Cuál es el régimen sancionador por incumplimiento de la LOPDGDD?
Las figuras que están sujetas a sanciones son:
- Los responsables y encargados de tratamientos;
- Los representantes de los responsables o encargados de tratamientos no establecidos en la Unión Europea;
- Las entidades de certificación y las acreditadas de supervisión de códigos de conducta;
Las infracciones se dividen en muy graves, graves y leves y prescribirán a los 3,2 y 1 años respectivamente.
Se considerarán infracciones, entre otras:
- Vulnerar:
- los principios y garantías establecidos en el Reglamento;
- el deber de confidencialidad;
- Tratar:
- datos sin que concurran las condiciones de licitud del tratamiento previstas en el Reglamento;
- de forma ilícita los datos personales sin el consentimiento del afectado;
- datos para una finalidad distinta para la que fueron recabados;
- datos de categorías especiales, sin que concurra alguna de las circunstancias previstas en el Reglamento y en la LOPDGDD;
- datos personales relativos a condenas, infracciones y sanciones administrativas fuera de lo permitido por la norma;
- Incumplir:
- el deber de informar al afectado sobre el tratamiento de sus datos personales cuando así lo solicita.
- Exigir al afectado el pago de un canon tanto facilitarle la información obligatoria establecida en el Reglamento, como para el ejercicio de sus derechos;
- Impedir que el usuario pueda ejercer sus derechos de protección de datos;
- Realizar transferencias internacionales de datos personales a destinatarios de terceros países cuando no haya garantías acreditadas por la Unión Europea;
- Obstaculizar o no colaborar con los procesos de investigación e inspección;
Son infracciones graves:
- El tratamiento de los datos personales:
- de un menor sin su consentimiento o el del titular de su patria potestad;
- sin haber realizado previamente una evaluación de impacto en los casos en los que sea exigible.
- El incumplimiento de:
- del deber de facilitar el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento o de portabilidad;
- la obligación de designar representantes del responsable o encargado del tratamiento de datos, hacerlo sin la previa formalización de un contrato o subcontratar a un encargado del tratamiento sin el conocimiento ni la autorización del responsable;
- designar un delegado de protección de datos cuando sea necesario;
- del deber del encargado del tratamiento de notificar al responsable y a las autoridades competentes las violaciones de seguridad;
- La falta de adopción:
- de todas las medidas técnicas, organizativas y de seguridad necesarias para garantizar la protección de datos y un tratamiento adecuado en base a cada uno de los fines específicos para los que se recabaron;
- de las medidas supervisoras necesarias por parte de los organismos acreditados ante infracciones de su código de conducta,
- La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad acreditada o cuya vigencia haya expirado;
Algunas de las consideradas como infracciones leves son:
- El incumplimiento de la obligación de:
- facilitar al afectado toda la información necesaria exigida por el Reglamento en el momento de la recogida de sus datos;
- informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento;
- suprimir los datos referidos a una persona fallecida;
- documentar cualquier violación de seguridad y comunicarla a los afectados cuando supongan un alto riesgo para los derechos y libertades de los afectados. También la notificación incompleta, tardía o defectuosa a la Autoridad de protección de datos;
- no publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la autoridad competente;
- informar a las autoridades de protección de datos por parte de los organismos acreditados de supervisión de un código de conducta en los casos de infracción de dicho código.
En lo relativo a las sanciones y medidas correctivas, a la hora de establecerlas se tendrá en cuenta, entre otras circunstancias, el tiempo durante el que se ha producido, la capacidad de reacción por parte de la empresa para establecer soluciones, los beneficios obtenidos por la comisión de la infracción, si han resultado afectados los derechos de los menores y el sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos.
En cuando a las cuantías, para infracciones leves que prescriben en el plazo de un año se establece un importe igual o inferior a 40.000 euros. Las asociadas con infracciones graves que prescriben a los dos años serán de entre 40.001 y 300.000 euros y las que se aplican a incumplimientos muy graves que prescriben a los tres años tendrán un importe superior a 300.000 euros.