Sanciones RGPD

¿Cuáles son las sanciones por incumplir la Ley de Protección de Datos (RGPD y LOPDGDD)?

Solicitar Información

La protección de datos, en España, ha sumado gran importancia en los últimos años. Las empresas e instituciones públicas ya no pueden gestionar sus datos como les parezca y deben cumplir con normativas estrictas acerca de la correcta gestión y salvaguarda de datos personales. En este artículo, te contaremos todo lo que debes saber sobre este ámbito, haciendo hincapié en las sanciones por incumplir la Ley de Protección de Datos.  

La regulación del tratamiento de los datos, tanto para empresas como para personas físicas e instituciones, pasa por dos pilares normativos principales en España. Por un lado, el Reglamento General de Protección de Datos (RGPD) y, por otro, la Ley Orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD). Ambas normativas están enfocadas en conseguir un tratamiento y almacenamiento de los datos personales más seguro, justo y proporcionado. En ambas, se contempla un régimen sancionador para empresas y organizaciones que no cumplan con los requisitos establecidos en estas normativas.  

¡Quédate y conoce todo lo que debes saber sobre las principales sanciones por incumplimiento de la ley de protección de datos! ¿Vamos? 

Sanciones que determina la LOPD de acuerdo con el tipo de infracción 

La Ley Orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD) establece una serie de tipos de infracciones, clasificados en tres categorías principales. Estas sanciones recaerán sobre los sujetos responsables, que son: 

  • Responsables o encargados de los tratamientos de datos. 
  • Representantes de los anteriores. 
  • Entidades de certificación. 
  • Entidades acreditadas de supervisión de los códigos de conducta.  

Las sanciones que detallamos a continuación no recaerán sobre la figura del delegado de protección de datos. Te las mostramos a continuación: 

Infracciones leves 

Las infracciones consideradas leves son aquellas que “prescribirán al año” y algunas de las más importantes son: 

  • Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar la información exigida.  
  • Exigencia del pago de un canon para facilitar a los afectados información sobre sus datos personales.  
  • No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad a los afectados.  
  • El incumplimiento de la obligación de documentar cualquier violación de seguridad. 

Las infracciones leves suelen estar penadas con un importe igual o inferior a 40.000 euros.  

Infracciones graves 

Las infracciones consideradas graves son aquellas que “prescribirán a los dos años” y algunas de las más importantes son: 

  • Tratamiento de datos de un menor de edad sin su consentimiento o de sus titulares. 
  • El impedimento o la obstaculización o la no atención retirada de los derechos de acceso, rectificación, supresión o limitación del tratamiento a los afectados. 
  • Falta de adopción de medidas técnicas y organizativas necesarias para el correcto funcionamiento de los datos.  
  • Contratación de un encargado de tratamiento de datos que no ofrezca las garantías suficientes de seguridad.  
  • No poner a disposición de la autoridad de protección de datos las actividades de tratamiento cuando esta lo solicite.  

Las infracciones graves suelen estar penadas con un importe comprendido entre los 40.001 y los 300.000 euros. 

Infracciones muy graves 

Las infracciones consideradas muy graves son aquellas que “prescribirán a los tres años” y algunas de las más importantes son: 

  • Tratamiento de los datos personas vulnerando principios y garantías estipulados en el artículo 5 del RGPD.  
  • Uso de los datos personales para un fin incompatible con el que se recogieron. 
  • Tratamiento de datos personales relativos a condenas e infracciones penales fuera de los supuestos permitidos.  
  • Vulneración del deber de confidencialidad.  
  • No facilitar el acceso de la autoridad competente en protección de datos cuando lo requiera para sus poderes de investigación. 

Las infracciones muy graves suelen estar penadas con un importe superior a los 300.000 euros. 

¿Qué sanciones por incumplimiento se contemplan en el RGPD? 

El Reglamento General de Protección de Datos (RGPD) establece una división diferente de las multas por incumplimiento del tratamiento de los datos. En concreto, las divide en dos grupos: 

  • Infracciones muy graves. Las multas van hasta los 20 millones de euros o el 4% de la facturación anual global de la empresa en el ejercicio financiero anterior (la cifra que sea mayor). 
  • Infracciones graves. Las multas van hasta los 10 millones de euros o el 2% de la facturación anual global de la empresa en el ejercicio financiero anterior (la cifra que sea mayor). 

Para comprender mejor las distintas multas o sanciones por incumplimiento del tratamiento de datos personales, te mostramos esta tabla resumen de infracciones y multas de la LOPD y el RGPD. ¡Seguro que te ayuda! 

 

TIPO DE INFRACCIÓN 

SANCIÓN LOPDGDD 

MULTA RGPD 

Leve 

Hasta 40.000 euros 

No se contempla 

Grave 

Entre 40.001 y 300.000 euros 

Hasta 10 millones de euros o el 2% de la facturación del año anterior (la más alta) 

Muy grave 

Más de 300.000 euros 

Hasta 20 millones de euros o el 4% de la facturación del año anterior (la más alta) 

¿Qué criterios se utilizan para medirlas sanciones según RGPD y LOPDGDD? 

En muchas ocasiones, la medición de las sanciones por incumplimiento del tratamiento de los datos puede parecer complicada. Sin embargo, se han establecido una serie de criterios que miden la gravedad de las acciones según el RGPD y la LOPDGDD. ¡Te mostramos los detalles! 

  • ¿Cuánto ha durado en el tiempo la infracción? 
  • ¿Se ha cometido de manera consciente o involuntaria? 
  • ¿La empresa o institución ha tomado medidas para mitigar los daños ocasionados? 
  • ¿La empresa o institución ha comunicado la infracción a la autoridad competente? ¿Y a los afectados/as? 
  • ¿Cómo de confidenciales o privados son los datos que se han tratado de forma incorrecta? 
  • ¿Existían otras infracciones del mismo tipo anteriores? 

Dependiendo de las respuestas a estas y otras cuestiones similares, la autoridad competente otorgará una importancia u otra a las infracciones cometidas. Y, con ello, se impondrán unas sanciones u otras.  

¿Cuáles son las causas más habituales para no cumplir la normativa de protección de datos? 

Una duda es la de cuáles son las causas más comunes de incumplimiento de la normativa de protección de datos. Pues bien, esto varía notablemente entre empresas, personas físicas e instituciones, puesto que la sensibilidad y confidencialidad de los datos no es la misma en todos los sectores.  

No obstante, queremos contarte algunas causas habituales que son transversales a todos los sectores. En primer lugar, encontramos el desconocimiento por parte de las organizaciones de la normativa que deben cumplir. Aunque cada vez es menos habitual, muchas empresas desconocen la normativa aplicable, qué acciones deben realizar obligatoriamente y cuáles son las sanciones que pueden afrontar.  

Por otro lado, encontramos la falta de medidas técnicas y procedimientos imprescindibles para la correcta implementación de la normativa. En muchos sectores, aunque conozcan que deben cumplir un reglamento de protección de datos, no disponen de los medios necesarios para organizar y comprobar su cumplimiento.  

Por último, otra causa habitual es la falta de atención a los afectados/as por parte de la organización. Esto implica que, en muchas ocasiones, las empresas no atienden las reclamaciones o dudas de las personas afectadas por infracciones de datos y es una acción que deben realizar obligatoriamente. 

Ejemplos de sanciones por no cumplir la ley de protección de datos 

¿Quieres conocer algunos ejemplos de sanciones por incumplimiento de la ley de protección de datos? ¡Te mostramos algunas multas del RGPD importantes que se han dado en distintos países! No te las pierdas… 

Un caso muy sonado fue el de Google, quien debió pagar 10 millones de euros en 2022 por ceder datos a terceros sin el consentimiento de los afectados/as, así como por obstaculizar el derecho de supresión. En el caso de H&M, multaron a la empresa con 35 millones de euros por vigilancia indebida de sus empleados/as. Por último, Facebook también fue sancionada con 1,2 millones de euros por varias infracciones relacionadas con el tratamiento de datos personales sin el consentimiento requerido.  

En nuestro país, también se han dado casos sonados. ¡Estas son algunas sanciones por protección de datos en España! 

Vodafone España recibió una multa por parte de la EPD de 8,1 millones de euros en 2021. La causa principal fue que no existían consentimientos escritos para el tratamiento de muchos datos y, además, que no se habían implementado medidas suficientes para el tratamiento de datos internacional 

Por su parte, CaixaBank también fue multada por incumplir con la normativa de protección de datos. En concreto, con 6 millones de euros por ceder datos de clientes a otras entidades de su grupo empresarial sin poder demostrar que esto fuese necesario y, por supuesto, sin el consentimiento de los afectados/as. 

La última empresa sancionada en España 

En 2024, muchas empresas españolas han sido sancionadas por incumplimiento de la normativa de tratamiento de datos personales. Uno de los casos más mediáticos ha sido el de Iberdrola y su filial, i-DE Redes inteligentes, con multas de 3 y 3,5 millones de euros, respectivamente. En este caso, el motivo principal ha sido “no proteger de forma adecuada la confidencialidad de los datos personales de sus clientes”, según Agencia EFE. 

¿Cómo se desarrolla el procedimiento sancionador ante un incumplimiento de la normativa? 

Ante una infracción de la normativa de protección de datos, las autoridades competentes iniciarán un procedimiento sancionador para investigar y esclarecer lo ocurrido y, finalmente y si es necesario, proceder a una sanción económica. La LOPDGDD detalla las distintas fases de este procedimiento. ¡Te mostramos las más relevantes! 

  • Inicio de procedimiento 

El primer paso del procedimiento sancionador es, precisamente, el inicio de este. Este procedimiento tramitado por la Agencia Española de Protección de Datos tendrá una duración máxima de 6 meses, a contar dese la fecha de notificación.  

  • Admisión a trámite de alegaciones y reclamaciones 

Las alegaciones y reclamaciones por parte de la empresa cuentan con un periodo propio dentro del procedimiento sancionador. Su objetivo es esclarecer los hechos y circunstancias que han sucedido. La duración no puede ser superior a un año. 

  • Actuaciones de inspección e investigación 

Normalmente, es la AEPD quien se encargará de desarrollar las actuaciones de inspección e investigación necesarias para esclarecer los hechos y, finalmente, decidir sobre la infracción. 

  • Medidas provisionales y de garantía de los derechos 

Esto implica que, durante la investigación, la Agencia Española de Protección de Datos podrá “acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos”.  

¿Cómo evitar las multas RGPD y LOPDGDD? 

Si tienes una empresa o formas parte del departamento legal de una de ellas, está en tu mano cumplir con la normativa de protección de datos. Por ello, proablemente, te preocupe cómo evitar las multas del RGPD y de la LOPDGDD, ¿verdad? ¡Te dejamos algunos consejos que pueden ayudarte! 

  • Conciénciate y revisa periódicamente las normativas aplicables en materia de protección de datos.  
  • Forma a tu personal para que todos sean conocedores de qué está permitido y qué no.  
  • Evalúa procesos internos y externos de la organización en busca de brechas de seguridad y procedimientos poco ‘legales’. 
  • Mantén actualizadas siempre las políticas de protección de datos de la organización.  

Y ante cualquier duda… ¡La Agencia Española de Protección de Datos (AEPD) podrá asesorarte y ayudarte!  

Te ayudamos a cumplir con el RGPD y LOPDGDD 

El primer paso para cumplir con el RGPD y LOPDGDD es, sin duda, la formación y concienciación. Contar con profesionales especializados en el cumplimiento del tratamiento de datos personales según la normativa es crucial. ¡Y ahora tu puedes convertirte en ese experto/a que las empresas están demandando! 

¿Nos acompañas a conocer nuestro Curso en delegado de protección de datos. Data protection officer (DPO), con titulación universitaria + 8 créditos ECTS? Si quieres hacerlo desde casa, sin horarios y siendo dueño de tu ritmo de aprendizaje, INEAF te espera. ¿Hablamos? 

Curso en Delegado de Protección de Datos

Convocatoria Abierta

Más de nuestros blogs:

Datos biometricos

Datos Biométricos

Datos biométricos: todo lo que tienes que saber para mantenerlos a salvo La biometría es una disciplina que se ocupa de analizar las características físicas y del comportamiento de una persona para autenticar

Leer artículo
filtracion de datos

Filtración de Datos

¿Qué es una filtración de datos? Una filtración de datos puede afectar tanto a una empresa como a una persona. En el primer caso, una filtración de datos puede suponer pérdidas económicas, por

Leer artículo
consentimiento tácito

Consentimiento Tácito

Descubre qué es el consentimiento tácito y sus ejemplos Imagina que estás navegando por Internet y, al entrar en una página web, aparece un aviso en el que se te indica que, si

Leer artículo

Solicitar Información