La protección de los datos de consumidores y usuarios ha sido una de las mayores preocupaciones del legislador en los últimos tiempos. La conocida como Ley Orgánica de Protección de Datos (LOPD) surge de esa voluntad de brindar mayor seguridad a los particulares cuando, en ejercicio de su autonomía privada, se ven obligados a proporcionar datos de carácter personal a las empresas.

La contrapartida de esa protección es, lógicamente, la existencia de una serie de obligaciones para quienes prestan servicios o venden bienes en el mercado, y requieren de esos datos personales.

Las empresas y autónomos están expuestos a sanciones por incumplimiento de esta Ley LOPD si no actúan conforme a ésta de una forma correcta.

Autónomos y Pymes ante la LOPD

En materia de protección de datos, los empresarios tienen unos determinados deberes en función del tipo de negocio que regenten.

Los autónomos que operan a través de una Sociedad, no tienen obligación personal de cumplir con la Ley Orgánica de Protección de Datos, pero como administradores de la misma, deben ocuparse de que la empresa no vulnere los deberes que la ley impone en el desarrollo de su actividad.

El autónomo que actúa de forma personal – no a través de una persona jurídica – en el tráfico de la información de ciertos datos, tiene una responsabilidad personal en el cumplimiento de los deberes de protección y custodia de los mismos.

Deberá tratar los datos de sus empleados (si los tiene), clientes y proveedores de acuerdo con lo que establece la normativa.

Si no trabaja con una plantilla, solo quedará sujeto a la LOPD si su actividad empresarial exige mantener un registro actualizado con datos personales de proveedores o clientes.

Sanciones por incumplimiento de la LOPD

sanciones-ley-proteccion-de-datos

¿Qué pasa si no cumplo las obligaciones de la LOPD? En ese caso, existen tres tipos de infracciones de la LOPD, en función de la gravedad con la que se haya vulnerado la ley, que conllevan una serie de sanciones económicas:

  • Infracciones leves: este tipo de infracciones serán sancionadas con cantidades que oscilaran entre los 600 y los 60.100 euros.
  • Infracciones graves: en este caso, las multas oscilarían entre los 60.101 y los 300.506 euros.
  • Infracciones muy graves: En caso de que la infracción sea considerada como muy grave, las sanciones podría oscilar entre 300.507 y los 600.000 euros.

La calificación de una infracción como leve, grave o muy grave depende de la magnitud de la vulneración de la ley.

Las cuantías de las sanciones, se graduarán atendiendo a una serie de criterios, como:

  1. El carácter continuado de la infracción.
  2. El volumen de los tratamientos efectuados.
  3. La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  4. El volumen de negocio o actividad del infractor.
  5. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  6. El grado de intencionalidad.
  7. La reincidencia por comisión de infracciones de la misma naturaleza.
  8. La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
  9. La acreditación de que, con anterioridad a los hechos constitutivos de infracción, la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
  10. Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Una vez calificada la infracción como leve, grave o muy grave; la Agencia Española de Protección de Datos modera las sanciones de la LOPD de 2017 de acuerdo con una serie de criterios.

Algunas infracciones tienen que ver con la magnitud del negocio. Las más eventuales suelen ser por violación de la LOPD o el tiempo por el que se haya prolongado dicha  infracción.

INFRACCIONES LEVES

Entre las infracciones leves están consideras las siguientes acciones:

  • No inscribir datos de carácter personal en el Registro General de Protección de Datos, además de no remitir a la Agencia Española de Protección de Datos (AEPD)aquellas notificaciones a que la ley obligue.
  • Incumplir los deberes formales en la comunicación de datos también puede acarrear este tipo de sanción. Si no se informa al cliente previamente sobre cómo van a ser tratados sus datos, también hay riesgo de ser multado de forma leve.
  • No atender a las solicitudes de los clientes de rectificación o cancelación de sus datos personales.
  • No atender a las consultas por parte de la Agencia de Protección de Datos.

 

La LOPD establece una larga lista de conductas constitutivas de infracción grave en su artículo 44.3.

Algunas infracciones están relacionadas con el uso de ficheros con datos de carácter personal sin obtener autorización, bien de las personas afectadas, cuando sea legalmente exigible, o bien de la Administración.

INFRACCIONES GRAVES

En el caso de las infracciones consideradas de carácter grave, podríamos concretar los siguientes supuestos:

  • La vulneración del deber de secreto en el tratamiento de los datos de carácter personal.
  • El impedimento u obstaculización del ejercicio de los derechos de rectificación, cancelación y oposición.
  • No implementar las debidas medidas de seguridad para custodiar los datos es considerado un incumplimiento grave de la LOPD.
  • También es considera una infracción grave la obstrucción de las tareas de investigación de los inspectores.
  • No colaborar con la Agencia Española de Protección de Datos, cuando ésta solicite documentación.
  • Ceder datos de carácter personal a terceros no autorizados o utilizar los ficheros con una finalidad distinta para la que se crearon.
  • Y no seguir los principios y garantías de la LOPD.

 

INFRACCIONES MUY GRAVES

En cuanto a las sanciones muy graves, los siguientes supuestos son constitutivos de este tipo de infracciones:

  • Recogida de datos de forma engañosa o fraudulenta.
  • No subsanar la ilicitud en el tratamiento de unos datos aun cuando se haya recibido un requerimiento del director de la AEPD.
  • La transferencia de datos de manera temporal o definitiva, a países que no cuentan con un nivel de protección de datos equiparable al español. Sí está permitido hacerlo, no obstante, con la autorización expresa de la AEPD.
  • La cesión a terceros de los datos personales que la ley, en su artículo 7, considera que deben ser especialmente protegidos (los relativos a la ideología, religión, afiliación sindical, salud, antecedentes penales,…etc.)
  • No atender u obstaculizar de manera reiterativa y sistemática las solicitudes de cancelación o rectificación de los datos personales.
  • Tratar los datos de forma ilegítima o con menosprecio de los principios y garantías que son aplicación en la LOPD.

Conclusión

El beneficio obtenido con la violación o los perjuicios causados a terceros también se tendrá en cuenta, así como el grado de intencionalidad de la infracción cometida.

Las sanciones por incumplimiento de la LOPD pueden suponer un verdadero obstáculo para el desarrollo de la actividad empresarial.

Por eso, ante cualquier duda legal, es muy recomendable buscar el asesoramiento adecuado. Una buena política empresarial de protección de datos, no solo evita sanciones, sino que ofrece siempre una mayor seguridad y confianza a nuestros clientes.