RGPD, PROTECCION DE DATOS… ¿QUÉ PASA SI NO LO TENGO?
¿Qué pasa si no tengo mi empresa adaptada al RGPD? ¿Qué pasa si no lo tengo? ¿Protección de datos?… ¿Eso qué es? Con frecuencia escuchamos estas preguntas ante el desconocimiento general que existe a día de hoy con la nueva normativa. Si aún no estás informado de lo que se nos viene encima aquí os traemos un pequeño resumen que esperamos os sirva de ayuda.
SANCIONES GRAVES
Con el nuevo Reglamento General de Protección de Datos, las sanciones han cambiado de forma muy considerable. En la LOPD las sanciones se consideraban Leves, Grave o Muy Grave, con importes entre los 900€ a 600.000€. Con la nueva reglamentación, solo se admiten dos consideraciones Grave o Muy Graves y los importes pueden ser:
La sanción administrativa se eleva hasta 10.000.000€. Por otro lado, en el caso de empresas, la cuantía sancionadora grave es equivalente al 2%, como máximo, del volumen de negocio total anual global. Este porcentaje se basa en su ejercicio financiero anterior. La sanción grave a abonar, se decide en base a la mayor en cuantía.
Los motivos de la sanción grave, son:
- No obtener el consentimiento de menores.
- Incumplir con las medidas técnicas y organizativas por defecto.
- No disponer del registro de actividades de tratamiento.
- Pasar de notificar las brechas de seguridad dentro del plazo de 72 horas.
- No aplicar la evaluación de Impacto correspondiente.
- No designar DPO (en los supuestos requeridos)
SANCIONES MUY GRAVES
La sanción administrativa se eleva hasta 20.000.000€. Por otro lado, en el caso de empresas, la cuantía sancionadora grave es equivalente al 4%, como máximo, del volumen de negocio total anual global. Este porcentaje se basa en su ejercicio financiero anterior. La sanción grave a abonar, se decide en base a la mayor en cuantía.
Los motivos de la sanción grave, son:
- Incumplir con los principios de la RGPD.
- No tener en cuenta los derechos de los interesados.
- Incumplir con los requisitos para transferencia internacional de datos.
- Vulnerar la resolución de la Autoridad de Control.
¿QUÉ TIENE EN CUENTA LA ADMINISTRACIÓN PARA ESTABLECER MULTAS DENTRO DEL RGPD?
Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual. Para decidir la imposición de una multa administrativa y su cuantía se tendrán en cuenta los siguientes parámetros:
- La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
- La intencionalidad o negligencia en la infracción.
- cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
- El grado de responsabilidad del encargado del tratamiento. En este supuesto se tendrán en cuenta las medidas técnicas u organizativas aplicadas aplicado en virtud de los artículos 25 y 32, RGPD.
- toda infracción anterior cometida por el responsable o el encargado del tratamiento.
- El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
- Las categorías de los datos de carácter personal afectados por la infracción.
- La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
- En el momento en el que las medidas indicadas por cada autoridad de control -siguiendo el art. 58.2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con el mismo asunto, el cumplimiento de dichas medidas.
- La adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación.
- Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción
- Incumplimiento de forma intencionada o negligente por parte del responsable o encargado del tratamiento de datos
Fuente: https://normativasobligatorias.es