LOPD y GDD ( LOPDGDD ) 3/2018
Artículo 73. Infracciones consideradas graves.
En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales de un menor de edad sin recabar su
consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o
tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.
b) No acreditar la realización de esfuerzos razonables para verificar la validez del
consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela
sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679.
c) El impedimento o la obstaculización o la no atención reiterada de los derechos de
acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en
tratamientos en los que no se requiere la identificación del afectado, cuando este, para el
ejercicio de esos derechos, haya facilitado información adicional que permita su
identificación.
d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para aplicar de forma efectiva los principios de protección de datos desde el
diseño, así como la no integración de las garantías necesarias en el tratamiento, en los
términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.
e) La falta de adopción de las medidas técnicas y organizativas apropiadas para
garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno
de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del
Reglamento (UE) 2016/679.
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten
apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los
términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.
g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las
medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el
artículo 32.1 del Reglamento (UE) 2016/679.
h) El incumplimiento de la obligación de designar un representante del responsable o
encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo
previsto en el artículo 27 del Reglamento (UE) 2016/679.
i) La falta de atención por el representante en la Unión del responsable o del encargado
del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por
los afectados.
j) La contratación por el responsable del tratamiento de un encargado de tratamiento que
no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas
apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679.
k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un
contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del
Reglamento (UE) 2016/679.
l) La contratación por un encargado del tratamiento de otros encargados sin contar con la
autorización previa del responsable, o sin haberle informado sobre los cambios producidos
en la subcontratación cuando fueran legalmente exigibles.
m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE)
2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento,
conforme a lo dispuesto en el artículo 28.10 del citado reglamento.
n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del
Reglamento (UE) 2016/679.
ñ) No poner a disposición de la autoridad de protección de datos que lo haya solicitado,
el registro de actividades de tratamiento, conforme al apartado 4 del artículo 30 del
Reglamento (UE) 2016/679.
o) No cooperar con las autoridades de control en el desempeño de sus funciones en los
supuestos no previstos en el artículo 72 de esta ley orgánica.
p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los
elementos mencionados en el artículo 28 de esta ley orgánica.
q) El incumplimiento del deber del encargado del tratamiento de notificar al responsable
del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
r) El incumplimiento del deber de notificación a la autoridad de protección de datos de
una violación de seguridad de los datos personales de conformidad con lo previsto en el
artículo 33 del Reglamento (UE) 2016/679.
s) El incumplimiento del deber de comunicación al afectado de una violación de la
seguridad de los datos de conformidad con lo previsto en el artículo 34 del Reglamento (UE)
2016/679 si el responsable del tratamiento hubiera sido requerido por la autoridad de
protección de datos para llevar a cabo dicha notificación.
t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto
de las operaciones de tratamiento en la protección de datos personales en los supuestos en
que la misma sea exigible.
u) El tratamiento de datos personales sin haber consultado previamente a la autoridad de
protección de datos en los casos en que dicha consulta resulta preceptiva conforme al
artículo 36 del Reglamento (UE) 2016/679 o cuando la ley establezca la obligación de llevar
a cabo esa consulta.
v) El incumplimiento de la obligación de designar un delegado de protección de datos
cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE)
2016/679 y el artículo 34 de esta ley orgánica.
w) No posibilitar la efectiva participación del delegado de protección de datos en todas
las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el
desempeño de sus funciones.
x) La utilización de un sello o certificación en materia de protección de datos que no haya
sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la
vigencia del mismo hubiera expirado.
y) Obtener la acreditación como organismo de certificación presentando información
inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del Reglamento
(UE) 2016/679.
z) El desempeño de funciones que el Reglamento (UE) 2016/679 reserva a los
organismos de certificación, sin haber sido debidamente acreditado conforme a lo
establecido en el artículo 39 de esta ley orgánica.
aa) El incumplimiento por parte de un organismo de certificación de los principios y
deberes a los que está sometido según lo previsto en los artículos 42 y 43 de Reglamento
(UE) 2016/679.
ab) El desempeño de funciones que el artículo 41 del Reglamento (UE) 2016/679
reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente
acreditado por la autoridad de protección de datos competente.
ac) La falta de adopción por parte de los organismos acreditados de supervisión de un
código de conducta de las medidas que resulten oportunas en caso que se hubiera
producido una infracción del código, conforme exige el artículo 41.4 del Reglamento (UE)
2016/679.