Wikipedia

Diferencia entre revisiones de «Agencia Española de Protección de Datos»

Explorar historial interactivamente
← Ir a diferencia anteriorIr a siguiente diferencia →
Contenido eliminado Contenido añadido
VisualWikitexto
JPRELP (discusión · contribs.)
8 ediciones
He añadido un apartado sobre las sanciones correspondientes a los distintos tipos de infracciones del RGPD
Etiquetas: Revertido Edición visual Enlaces a desambiguaciones
m Revertidos los cambios de JPRELP a la última edición de Barri (WP:NO)
Etiquetas: Reversión manual Revertido
Línea 85:
* Control y observancia de lo dispuesto en la ley reguladora de la [[Función Estadística Pública]].
* [[Elaboración]] de una Memoria Anual, que es remitida por el director de la Agencia al ministro de Justicia para su posterior envío a las Cortes.
 
== Sanciones ==
La AEPD se regula bajo el  Reglamento General de Protección de Datos ([[RGPD]]) establecido el 25 de Mayo de 2018 con el objetivo de proteger a las personas físicas en lo que concierne al tratamiento de sus datos personales y a la libre circulación de estos datos en la [[Unión Europea|UE]] y el [[Espacio Económico Europeo|Espacio Económico Europeo (EEE)]].
 
La adecuación del RGPD a la legislación Española da como resultado la Ley Orgánica 3/2018, del 5 de diciembre de 2018, de Protección de Datos Personales y garantía de los derechos digitales ([[LOPD|LOPD-GDD]]) la cual una ley orgánica aprobada por las [[Cortes Generales|Cortes Generale]]<nowiki/>s de [[España]] que tiene por objetivo adaptar el Derecho interno español al [[Reglamento General de Protección de Datos]].
 
=== ''Categorización de las infracciones'' ===
Ajustándose a los  estándares mencionados anteriormente encontramos distintos niveles de infracciones, que categorizamos de la siguiente manera:
 
'''El RGPD considera infracciones graves el incumplimiento de las siguientes premisas:'''
 
* Incumplimiento de las obligaciones del responsable y del encargado, arts.: 8,11, 25 a 39, 42 y 43.
* Incumplimiento de las obligaciones de los organismos de certificación, arts.: 42 y 43.
* Incumplimiento de las obligaciones de la autoridad de control, arts.: 41.4.
 
'''Por otro lado, El RGPD considera infracciones muy graves las siguientes infracciones:'''
 
* Incumplimiento de los principios básicos  para el tratamiento de los datos, incluidas las condiciones para el consentimiento, arts.; 5, 6, 7 y 9.
* Violación de los derechos de los interesados, arts.: 12 a 22.
* Violación de las transferencias internacionales, arts.; 44 a 49.
* Incumplimiento de toda obligación en virtud del Derecho de los Estados miembros que se adopte de acuerdo al capítulo IX del [[Reglamento General de Protección de Datos|RGPD]].
* Incumplir una resolución de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control de acuerdo al art. 58.2, o no facilitar el acceso en incumplimiento del art. 58.1.
 
'''Mientras que la LOPD considera infracciones leves el incumplimiento de las siguientes premisas:'''
 
* Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información que exigen los artículos 13 y 14 del [[RGPD]].
* Solicitar un pago al interesado para poder acceder a la información que exigen los artículos 13 y 14 del [[RGPD]] o para atender las solicitudes de ejercicio de derechos contempladas en los artículos 15 a 22 del citado Reglamento.
* No atender las solicitudes de los ejercicios de los derechos que se establecen en los artículos 15 a 22 del [[RGPD]].
* No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.
* No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del [[Reglamento General de Protección de Datos|RGPD]].
* No cumplir con la obligación de informar al afectado de los destinatarios a los que se haya comunicado la rectificación, supresión o limitación del tratamiento.
* No cumplir con la supresión de datos referidos a una persona fallecida cuando así lo exige el artículo 3 de la [[LOPD|LOPDGDD]].
* Incumplimiento de las obligaciones de los responsables y encargados del tratamiento.
* Que el registro de actividades de tratamiento no contenga toda la información que exige el artículo 30 del [[Reglamento General de Protección de Datos|RGPD]].
* Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.
* Dar información inexacta a la AEPD en los supuestos en los que el responsable del tratamiento debe elevar una consulta previa, de acuerdo al artículo 36 del [[RGPD]].
* No publicar los datos de contacto del delegado de protección de datos o comunicarlos a la AEPD.
* Incumplimiento de las obligaciones de los organismos de certificación de informar a la AEPD de la expedición, renovación o retirada de una certificación.
* Incumplimiento de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a la AEPD de las medidas que resulten oportunas en caso de infracción del código.
 
'''Por otro lado, la LOPD considera infracciones graves las siguientes infracciones:'''
 
* Tratar datos de menores de edad sin recabar su consentimiento, cuando tenga edad para ello, o de sus padres o tutores.
* No acreditar esfuerzos razonables para verificar la validez del consentimiento del menor o de sus padres o tutores.
* No atender de forma reiterada u obstaculizar la solicitud de los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos en los tratamientos en los que no se requiere la identificación del afectado.
* No adoptar las medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño.
* No adoptar las medidas técnicas y organizativas que garanticen el tratamiento de los datos personales necesarios para cada uno de los fines específicos del tratamiento.
* No adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.
* Brechas de seguridad ocurridas por no haber adoptado las medidas adecuadas de seguridad.
* No designar un representante del responsable o encargado del tratamiento no establecido en territorio de la [[Unión Europea|UE]], de acuerdo al artículo 27 del [[Reglamento General de Protección de Datos|RGPD]].
* No atender las solicitudes de las agencias de protección de datos.
* Contratar un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias, de acuerdo al Capítulo IV del [[Reglamento General de Protección de Datos|RGPD]].
* Encargar el tratamiento de datos a un tercero sin el debido contrato.
* Contratación por parte del encargado del tratamiento de otros encargados sin contar con la autorización del responsable.
* Infracción de lo dispuesto en el artículo 28.10 del [[RGPD]] respeto a la determinación de los fines y los medios de tratamiento por parte del encargado.
* No disponer del registro de actividades.
* No cooperar con la AEPD u otras autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la [[LOPD|LOPDGDD]].
* El tratamiento de datos personales sin cumplir con lo recogido en el artículo 28 de la [[LOPD|LOPDGDD]].
* Incumplir el deber de informar de las violaciones de seguridad por parte del encargado del tratamiento al responsable.
* No informar de las violaciones de seguridad a la AEPD, según el artículo 33 del [[Reglamento General de Protección de Datos|RGPD]].
* No informar al afectado de una violación de seguridad de datos personales.
* Llevar a cabo el tratamiento de datos sin realizar una evaluación de impacto cuando esta es exigible.
* Tratar datos personales sin haber realizado consulta previa a la AEPD cuando esta sea obligatoria.
* No designar a un delegado de protección de datos cuando sea obligatorio.
* No permitir que el delegado de protección de datos pueda cumplir con sus funciones.
* Utilizar sellos o certificaciones en materia de protección de datos que no hayan sido otorgados por una entidad de certificación acreditada o estén expirados.
* Incumplimientos de los organismos de certificación recogidos en el artículo 73, letras z, aa, ab y ac de la [[LOPD|LOPDGDD]].
 
'''Por último, LOPD considera infracciones muy graves el incumplimento de las siguientes premisas:'''
 
* Tratamiento de datos personales que vulneren las garantías y principios establecidos en el artículo 5 del [[Reglamento General de Protección de Datos|RGPD]].
* Trata datos personales sin la legitimación establecida en el artículo 6 del [[Reglamento General de Protección de Datos|RGPD]].
* No cumplir con los requisitos exigidos en el artículo 7 del [[Reglamento General de Protección de Datos|RGPD]]<nowiki/>para la validez del consentimiento.
* Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.
* Trata datos personales de las categorías recogidas en el artículo 9 del [[Reglamento General de Protección de Datos|RGPD]] sin que concurra alguna de las circunstancias previstas de dicho artículo y del artículo 9 de la [[LOPD|LOPDGDD]].
* Tratar datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos del artículo 10 del [[Reglamento General de Protección de Datos|RGPD]] y el artículo 10 de la [[LOPD|LOPDGDD]].
* Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos establecidos en el artículo 27 de la [[LOPD|LOPDGDD]].
* La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
* Vulnerar el deber de confidencialidad.
* Exigir el pago de un canon para facilitar la información al afectado a la que se refieren los artículos 13 y 14 del .
* No atender u obstaculizar la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 del [[Reglamento General de Protección de Datos|RGPD]].
* Transferencias internacionales de datos personales sin las debidas garantías.
* Incumplir las resoluciones dictadas por la AEPD.
* Incumplir con la obligación del bloqueo de datos.
* No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación.
* Obstruir una inspección de la AEPD.
* Reversión deliberada de un procedimiento de anonimización para que se pueda reindentificar a los afectados.<ref name=":0">{{Cita web|url=https://protecciondatos-lopd.com/empresas/infracciones-sanciones-lopdgdd-rgpd/|título=Infracciones y Sanciones LOPDGDD y RGPD|fechaacceso=2023-05-15|fecha=2022-07-08|sitioweb=Grupo Atico34|idioma=es}}</ref>
 
=== ''Categorización de las sanciones'' ===
De la misma forma se dividen las sanciones establecidas.
 
Para el [[Reglamento General de Protección de Datos|RGPD]] diferenciamos las sanciones a infracciones graves penalizadas con multas de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que resulte más alta) y las sanciones a infracciones muy graves penalizadas con multas de hasta 20 millones de euros (o el 4% de la facturación anual, aplicando la cuantía que resulte más alta).
 
En el caso de sanciones [[LOPD]] diferenciamos las sanciones a infracciones  leves con importes de hasta 40.000 €, las sanciones a infracciones graves con multas de entre 40.001 euros a 300.000 euros y, por último, las sanciones a infracciones muy graves con entre 300.001 euros a 20 millones de euros (o el 4% de la facturación anual, la cuantía que sea mayor).
 
La cuantía de las sanciones por protección de datos se valora según los derechos personales afectados, los beneficios obtenidos, la posible reincidencia, la intencionalidad y cualquier circunstancia que sea relevante para determinar la culpabilidad.<ref name=":0" />
 
Las causas más habituales de sanciones en protección de datos fueron las siguientes:
 
* El incumplimiento del establecimiento de medidas de seguridad adecuadas para el tratamiento de los datos
* La falta de una base de legitimación que habilite al tratamiento de datos personales;
* El incumplimiento de los principios relativos de tratamiento del RGPD
* Las violaciones y brechas de seguridad, y en concreto la falta de notificación de las mismas
* No atender a los derechos de protección de datos ejercidos por los interesados
* La falta de transparencia e incumplimientos derivados del deber de informar
* La inexistencia de un adecuado contrato de encargo de tratamiento que regule la relación entre el responsable y encargado del tratamiento<ref>{{Cita web|url=https://www.tendencias.kpmg.es/2020/02/rgpd-aplicacion-sanciones/|título=RGPD: quién, cuánto, cómo y por qué se sanciona|fechaacceso=2023-05-15|apellido=Melis|nombre=Iván|fecha=2020-02-11|sitioweb=KPMG Tendencias|idioma=es}}</ref>
 
== Presencia internacional ==
Obtenido de «https://es.wikipedia.org/wiki/Agencia_Española_de_Protección_de_Datos»