La protection des données des consommateurs et des utilisateurs a été l’une des plus grandes préoccupations du législateur ces derniers temps. La loi organique sur la protection des données (LOPD) est née de cette volonté d’offrir une plus grande sécurité aux individus lorsque, dans l’exercice de leur autonomie privée, ils sont contraints de fournir des données personnelles aux entreprises.

La contrepartie de cette protection est, logiquement, l’existence d’une série d’obligations pour ceux qui fournissent des services ou vendent des biens sur le marché, et ils ont besoin de ces données personnelles.

Les entreprises et les indépendants sont exposés à
des sanctions en cas de non-respect de cette loi LOPD
 s’ils n’agissent pas correctement conformément à celle-ci.

Indépendants et PME avant la LOPD

En termes de protection des données, les entrepreneurs ont certaines obligations en fonction du type d’entreprise qu’ils dirigent.

Les travailleurs indépendants qui opèrent par l’intermédiaire d’une société n’ont aucune obligation personnelle de se conformer à la loi organique sur la protection des données,mais en tant qu’administrateurs de celle-ci, ils doivent s’assurer que la société ne viole pas les obligations que la loi impose dans le développement de son activité.

Le travailleur indépendant qui agit personnellement – et non par l’intermédiaire d’une personne morale – dans le trafic d’informations de certaines données, a une responsabilité personnelle dans l’accomplissement des obligations de protection et de garde de celles-ci.

Vous devez traiter les données de vos employés (si vous en avez), de vos clients et de vos fournisseurs conformément aux dispositions de la réglementation.

Si vous ne travaillez pas avec un personnel, vous ne serez soumis à la LOPD que si votre activité commerciale nécessite de tenir un registre à jour avec les données personnelles des fournisseurs ou des clients.

Sanctions en cas de non-respect de la LOPD

sanciones-ley-proteccion-de-datos

Que se passe-t-il si je ne respecte pas les obligations de la LOPD ? Dans ce cas, il existe trois types d’infractions à la LOPD, en fonction de la gravité avec laquelle la loi a été violée, qui entraînent une série de sanctions économiques:

  • Infractions mineures :ce type d’infractions sera sanctionné à des montants compris entre 600 et 60 100 euros.
  • Infractions graves :dans ce cas, les amendes varieraient entre 60 101 et 300 506 euros.
  • Infractions très graves :Dans le cas où l’infraction est considérée comme très grave, les sanctions pourraient varier entre 300 507 et 600 000 euros.

La qualification d’une infraction comme mineure, grave ou très grave dépend de l’étendue de la violation de la loi.

Les montants des sanctions seront gradués en fonction d’une série de critères, tels que:

  1. Sur la nature continue de l’infraction.
  2. Le volume des traitements effectués.
  3. Le lien entre l’activité du contrevenant et le traitement des données personnelles.
  4. Le volume d’affaires ou d’activité du contrefacteur.
  5. Les bénéfices obtenus à la suite de la commission de l’infraction.
  6. Le degré d’intentionnalité.
  7. Récidive due à la commission d’infractions de même nature.
  8. La nature des dommages causés aux personnes concernées ou à des tiers.
  9. L’accréditation que, avant les faits constitutifs d’une infraction, l’entité imputée avait mis en œuvre des procédures adéquates d’action dans la collecte et le traitement des données à caractère personnel, l’infraction étant le résultat d’une anomalie dans le fonctionnement de ces procédures non due à un manque de diligence exigé du contrevenant.
  10. Toute autre circonstance pertinente pour déterminer le degré d’antijudiciaire et de culpabilité présent dans l’action en contrefaçon spécifique.

Une fois que l’infraction a été classée comme mineure, grave ou très grave; l’Agence espagnole de protection des données modère les sanctions de la LOPD de 2017 selon une série de critères.

Certaines violations ont à voir avec l’ampleur de l’entreprise. Les plus éventuels sont généralement pour la violation de la LOPD ou le temps pendant lequel ladite infraction a été prolongée.

INFRACTIONS MINEURES

Parmi les infractions mineures sont considérées les actions suivantes:

  • N’enregistrez pas de données personnelles dans le registre général de la protection des données, enplus de ne pas envoyer à l’Agence espagnole de protection des données (AEPD)les notifications auxquelles la loi oblige.
  • Le non-respect des obligations formelles dans la communication des données peut également entraîner ce type de sanction. Si le client n’est pas informé à l’avance de la manière dont ses données seront traitées, il existe également un risque d’être légèrement condamné à une amende.
  • Défaut de répondre aux demandes de rectification ou d’annulation de leurs données personnelles par les clients.
  • Défaut de répondre aux demandes de renseignements de l’Agence de protection des données.

 

La LOPD établit une longue liste de comportements constituant une infraction grave dans son article 44.3.

Certaines infractions sont liées à l’utilisation de fichiers avec des données personnelles sans obtenir d’autorisation,soit des personnes concernées, lorsque la loi l’exige, soit de l’Administration.

INFRACTIONS GRAVES

Dans le cas d’infractions jugées graves, nous pourrions préciser les hypothèses suivantes :

  • La violation du devoir de secret dans le traitement des données personnelles.
  • L’empêchement ou l’entrave à l’exercice des droits de rectification, d’annulation et d’opposition.
  • Le défaut de mettre en œuvre les mesures de sécurité appropriées pour protéger les données est considéré comme une violation grave de la LOPD.
  • L’entrave aux tâches d’enquête des inspecteursest également considérée comme une infraction grave.
  • Ne pas collaborer avec l’Agence espagnole de protection des données, lorsqu’elle demande des documents.
  • Transférer des données personnelles à des tiers non autorisés ou utiliser les fichiers à des fins autres que celles pour lesquelles ils ont été créés.
  • Et de ne pas suivre les principes et les garanties de la LOPD.

 

INFRACTIONS TRÈS GRAVES

En ce qui concerne les sanctions très graves, les cas suivants constituent ce type d’infraction :

  • Collecte de données de manière trompeuse ou frauduleuse.
  • Ne pas corriger l’illégalité dans le traitement de certaines données même lorsqu’une demande a été reçue du directeur de l’AEPD.
  • Le transfert de données temporairement ou définitivement, vers des pays qui n’ont pas un niveau de protection des données comparable à celui de l’Espagne. Il est toutefois autorisé à le faire avec l’autorisation expresse de l’AEPD.
  • Le transfert à des tiers des données personnelles que la loi, dans son article 7, considère qu’ils doivent être spécialement protégés (ceux liés à l’idéologie, la religion, l’appartenance syndicale, la santé, le casier judiciaire,… etc.)
  • Ne pas assister ou entraver de manière répétitive et systématique les demandes d’annulation ou de rectification de données personnelles.
  • Traiter les données de manière illégitime ou avec mépris pour les principes et garanties applicables dans la LOPD.

Conclusion

Le bénéfice tiré de l’infraction ou les dommages causés à des tiers seront également pris en compte, ainsi que le degré d’intentionnalité de l’infraction commise.

Les sanctions en cas de non-respect de la LOPD peuvent constituer un véritable obstacle au développement de l’activité commerciale.

Par conséquent, en cas de doute juridique, il est fortement recommandé de demander l’avis approprié.

Une bonne politique de protection des données d’entreprise évite non seulement les pénalités, mais offre toujours plus de sécurité et de confiance à nos clients.