LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO IX Régimen sancionador

Detalles

Categoría de nivel principal o raíz: LOPD y GDD ( LOPDGDD ) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Categoría: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO IX Régimen sancionador

LOPD  y GDD ( LOPDGDD ) 3/2018

Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.

1. El régimen establecido en este artículo será de aplicación a los tratamientos de los
que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las
comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades
autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes
de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se
relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas
autonómicas, así como los grupos políticos de las Corporaciones Locales.

2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen
alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la
autoridad de protección de datos que resulte competente dictará resolución sancionando a
las mismas con apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se
hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que
dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de
interesado, en su caso.

3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de
datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de
aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se
acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no
hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se
incluirá una amonestación con denominación del cargo responsable y se ordenará la
publicación en el Boletín Oficial del Estado o autonómico que corresponda.

4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.

5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de
las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al
amparo de este artículo.

6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos,
esta publicará en su página web con la debida separación las resoluciones referidas a las
entidades del apartado 1 de este artículo, con expresa indicación de la identidad del
responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos
se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa
específica.

Detalles

Categoría de nivel principal o raíz: LOPD y GDD ( LOPDGDD ) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Categoría: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO IX Régimen sancionador

LOPD  y GDD ( LOPDGDD ) 3/2018

Artículo 75. Interrupción de la prescripción de la infracción.

Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del
procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente
sancionador estuviere paralizado durante más de seis meses por causas no imputables al
presunto infractor.
Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad
de control principal y deba seguirse el procedimiento previsto en el artículo 60 del
Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el
interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control
interesadas.

Detalles

Categoría de nivel principal o raíz: LOPD y GDD ( LOPDGDD ) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Categoría: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO IX Régimen sancionador

LOPD  y GDD ( LOPDGDD ) 3/2018

Artículo 76. Sanciones y medidas correctivas.

1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE)
2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el
apartado 2 del citado artículo.

2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también
podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de
la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.

3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las
restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE)
2016/679.

4. Será objeto de publicación en el Boletín Oficial del Estado la información que
identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la
autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese
superior a un millón de euros y el infractor sea una persona jurídica.
Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica
de protección de datos, se estará a su normativa de aplicación.

Detalles

Categoría de nivel principal o raíz: LOPD y GDD ( LOPDGDD ) Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Categoría: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO IX Régimen sancionador

LOPD  y GDD ( LOPDGDD ) 3/2018

Artículo 74. Infracciones consideradas leves.

Se consideran leves y prescribirán al año las restantes infracciones de carácter
meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del
Reglamento (UE) 2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho de
información del afectado por no facilitar toda la información exigida por los artículos 13 y 14
del Reglamento (UE) 2016/679.
b) La exigencia del pago de un canon para facilitar al afectado la información exigida por
los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio
de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE)

2016/679, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los
costes afrontados para facilitar la información o realizar la actuación solicitada.
c) No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15
a 22 del Reglamento (UE) 2016/679, salvo que resultase de aplicación lo dispuesto en el
artículo 72.1.k) de esta ley orgánica.
d) No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento
o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del
afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información
adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el
artículo 73 c) de esta ley orgánica.
e) El incumplimiento de la obligación de notificación relativa a la rectificación o supresión
de datos personales o la limitación del tratamiento exigida por el artículo 19 del Reglamento
(UE) 2016/679.
f) El incumplimiento de la obligación de informar al afectado, cuando así lo haya
solicitado, de los destinatarios a los que se hayan comunicado los datos personales
rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
g) El incumplimiento de la obligación de suprimir los datos referidos a una persona
fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.
h) La falta de formalización por los corresponsables del tratamiento del acuerdo que
determine las obligaciones, funciones y responsabilidades respectivas con respecto al
tratamiento de datos personales y sus relaciones con los afectados al que se refiere el
artículo 26 del Reglamento (UE) 2016/679 o la inexactitud en la determinación de las
mismas.
i) No poner a disposición de los afectados los aspectos esenciales del acuerdo
formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26.2 del
Reglamento (UE) 2016/679.
j) La falta del cumplimiento de la obligación del encargado del tratamiento de informar al
responsable del tratamiento acerca de la posible infracción por una instrucción recibida de
este de las disposiciones del Reglamento (UE) 2016/679 o de esta ley orgánica, conforme a
lo exigido por el artículo 28.3 del citado reglamento.
k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o
acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento,
salvo que esté legalmente obligado a ello conforme al Reglamento (UE) 2016/679 y a la
presente ley orgánica o en los supuestos en que fuese necesario para evitar la infracción de
la legislación en materia de protección de datos y se hubiese advertido de ello al
responsable o al encargado del tratamiento.
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la
información exigida por el artículo 30 del Reglamento (UE) 2016/679.
m) La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos
de la información relacionada con una violación de seguridad de los datos personales de
conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679.
n) El incumplimiento de la obligación de documentar cualquier violación de seguridad,
exigida por el artículo 33.5 del Reglamento (UE) 2016/679.
ñ) El incumplimiento del deber de comunicación al afectado de una violación de la
seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los
afectados, conforme a lo exigido por el artículo 34 del Reglamento (UE) 2016/679, salvo que
resulte de aplicación lo previsto en el artículo 73 s) de esta ley orgánica.
o) Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos
en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al
artículo 36 del Reglamento (UE) 2016/679.
p) No publicar los datos de contacto del delegado de protección de datos, o no
comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible
de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley
orgánica.
q) El incumplimiento por los organismos de certificación de la obligación de informar a la
autoridad de protección de datos de la expedición, renovación o retirada de una certificación,
conforme a lo exigido por los apartados 1 y 5 del artículo 43 del Reglamento (UE) 2016/679.

r) El incumplimiento por parte de los organismos acreditados de supervisión de un código
de conducta de la obligación de informar a las autoridades de protección de datos acerca de
las medidas que resulten oportunas en caso de infracción del código, conforme exige el
artículo 41.4 del Reglamento (UE) 2016/679.