UT04 Legislació i jurisprudència en matèria de protecció de dades.¶
Objectius de l'unitat formativa.
Al llarg d'aquesta unitat desenvoluparan competències sobre la protecció de dades i la regulació existent en aquesta matèria, principalment seran:
Identificar regulació existent.
Aplicació dels principis relacionats amb protecció de dades.
Requisits per a l'aplicació de la privacitat en el disseny.
Eines de compliment normatiu.
Anàlisi de riscos de les activitats de processament de les organitzacions.
Implantació de mesures per a la reducció de riscos identificats en la protecció de dades.
Coneixement el rol de delegat de protecció de dades en una organització.
En aquesta unitat es desenvoluparan els continguts següents:
Principis de protecció de dades.
Novetats del RGPD de la Unió Europea.
Privacitat per Disseny i per Defecte.
Anàlisi d'Impacte en Privacitat (PIA), i mesures de seguretat.
Multa històrica per incompliment de protecció de dades
Aquí teniu un enllaç a una notícia que comenta la multa a una gran empresa de telecomunicacions a Espanya, la qual ha rebut la major multa de la història en matèria de protecció de dades.
El Reglament General de Protecció de Dades (RGPD) és el reglament europeu relatiu a la protecció de les persones físiques pel que fa al tractament de les seves dades personals i a la lliure circulació d'aquestes dades. Va entrar en vigor el 24 de maig de 2016 i va ser d'aplicació el 25 de maig de 2018.
La Llei Orgànica de Protecció de Dades és l'adaptació espanyola del reglament europeu. Va ser aprovada el 5 de desembre de 2018 com a Llei Orgànica 3/2018, de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD). Tot i que en essència és molt similar al RGPD Europeu, inclou articles addicionals dins dels epígrafs de Garantia dels Drets Digitals, com ara el dret de Desconnexió Digital.
La protecció de dades es basa principis rectors definits a l'article 5 de la RGPD, són els següents:
Exactitud
Les dades tractades han de ser exactes, i en cas de no ser-ho, aquestes han de ser actualitzades. Aquest principi tracta d' establir les directrius per mantenir les dades actualitzades i correctes, o se suprimeixin o modifiquin en cas que no ho siguin.
Confidencialitat
Els responsables i encarregats de tractament i en general, qualsevol persona que intervingui en el procés de gestió de dades, ha de mantenir el deure de confidencialitat.
Consentiment
El tractament de la informació personal s'ha de basar en el consentiment del seu propietari i limitat al marc d'una finalitat o finalitats comunicades.
Licitud, transparència i lleialtat
S'han d'utilitzar les dades de manera legal i lícita, informant el propietari del motiu pel qual es tractaran les dades i utilitzant-les únicament per a les finalitats comunicades i consentides pel propietari.
Finalitat
Les dades han de ser tractades per dur a terme finalitats específiques i no per a qualsevol. En línia amb els principis anteriors, aquestes finalitats han de ser identificades, comunicades i aprovades pel propietari de les dades en cas necessari.
Minimització de dades
Utilitzar la quantitat de dades mínima possible per complir amb una finalitat.
Limitació del termini de conservació
Les dades han de ser tractades i/o emmagatzemades només durant el temps pel temps necessari per garantir la finalitat del tractament consentida.
Seguretat
Establir les mesures tècniques i organitzatives que permetin mantenir la seva confidencialitat, integritat i disponibilitat.
Responsabilitat activa
Demostrar diligència deguda en el tractament de dades personals, per protegir i garantir drets i llibertats de les persones físiques en base a una anàlisi de riscos.
1.1.- Regulació General de Protecció de Dades de la Unió Europea.¶
Disposicions Generals de la Regulació General de Protecció de Dades.¶
L'objectiu de la Regulació General de Protecció de Dades (RGPD) és la protecció de les persones físiques respecte a les seves dades personals i a la lliure circulació d'aquestes.
El RGPD aplica a tot tractament de dades personals ja siguin automatitzats o no, al territori europeu o bé en altres territoris si és que s'estan tractant dades de ciutadans europeus.
El tractament de dades consisteix en l'execució de qualsevol operació sobre dades, de manera manual o automatitzada, com la recollida, registre, modificació, consulta, ús, comunicació o difusió,
conservació, supressió o destrucció.
La regulació estableix que les dades de caràcter personal només es podran tractar sota els següents escenaris:
El propietari de la informació dóna el seu consentiment per al tractament de les seves dades amb un o diversos fins específics.
El tractament s'executa en base a una obligació legal.
El tractament és necessari per a l'execució d'un contracte signat entre propietari i responsable de les dades.
El tractament és necessari per protegir la vida de l'interessat o d'una altra persona física.
El tractament és necessari per a alguna activitat d'interès públic.
el tractament és necessari per a la satisfacció d'interessos legítims perseguits pel responsable del tractament o per un tercer.
Obtenció del consentiment per al tractament de dades:
Els responsables de tractament de dades estaran obligades a obtenir el consentiment dels propietaris de la informació per gestionar les seves dades, i han d'informar de quina manera els processen i perquè
finalitat. Els responsables de tractament han de demostrar que han obtingut el consentiment per a la gestió de la informació. La sol·licitud de consentiment es presentarà de tal manera que es distingeixi clarament dels altres assumptes, de forma intel·ligible i de fàcil accés i utilitzant un llenguatge clar i senzill per als propietaris de la informació. Aquests podran retirar el seu consentiment en qualsevol moment, essent la dificultat d'aquest procés similar a la d'atorgar-lo.
Drets de l'interessat en la Regulació General de Protecció de Dades¶
La següent infografia mostra els drets dels propietaris de les dades pel que fa a la seva informació:
A continuació es presenten les diferents figures que intervenen en el procés de tractament de dades:
Propietari de les dades / Interessat: Individu sobre el qual versen les dades que s'estan tractant, impactat per la limitació dels seus drets i llibertats en cas que no sigui respectada la regulació, i les seves dades no siguin tractades de manera diligent o existeixin fuites. Exemple: Juan Flores
Responsable del tractament de dades o controlador: Persona física o Jurídica que maneja la informació de l'interessat a través d'un o diversos mitjans amb un o diversos fins determinats. Exemple: Juan Flores signant una hipoteca amb Caixa Rural de Terol.
Encarregat de tractament o processador: Persona física o Jurídica que tracta les dades personals en nom del responsable de tractament,
sempre sota el marc d'un contracte. Exemple: Gestoria Tecnotramit realitza la gestió del procés de registre de la propietat en nom de Caixa Rural de Terol, sent Juan Flores el que ha contractat aquest servei.
Les associacions sectorials o qualsevol organització que agrupi entitats de sectors homogenis, podran elaborar codis de conducta als quals adscriure's que descriguin la manera com estan complint el present reglament. Aquests codis de conducta inclouran elements com:
El tractament lleial i transparent de la informació.
Els interessos legítims perseguits pels responsables del tractament en contextos específics.
El mode de recollida de dades personals.
La seudonimització de dades personals.
La informació proporcionada al públic i als interessats.
L'exercici dels drets dels interessats.
La informació proporcionada als infants i la protecció d'aquests, així com la manera d'obtenir el consentiment dels titulars de la pàtria potestat o tutela sobre l'infant.
Les mesures i procediments per garantir la seguretat del tractament de la informació.
La notificació de violacions de la seguretat de les dades personals a les autoritats de control i la comunicació d'aquestes violacions als interessats;
La transferència de dades personals a tercers països o organitzacions internacionals.
Els procediments extrajudicials i altres procediments de resolució de conflictes que permetin resoldre les controvèrsies entre els responsables del tractament i els interessats relatives al tractament.
Per saber-ne més
Els codis de conducta són notificats a l'AEPD que els ha de validar i aprovar, essent aquests publicats i consultables al web de l'AEPD.
Un dels requisits del RGPD és el manteniment d'un registre d'activitats de tractament de la informació que emmagatzema l'organització. Aquest registre, ha de ser posat en mans d'un auditor de l'AEPD en cas que així ho requereixi com a informació mínima que evidenciï el compliment del reglament.
El RGPD i la LOPDGDD exigeixen que el registre contingui com a mínim la informació següent:
El nom i les dades de contacte del responsable i, si s'escau, del corresponsable, del representant del responsable, i del delegat de protecció de dades.
Les finalitats de tractament.
Una descripció de les categories d'interessats i de les categories de dades personals.
Les categories de destinataris a qui es van comunicar o comunicaran les dades personals, incloses els destinataris a tercers països o organitzacions internacionals.
Les transferències de dades personals a un tercer país o una organització internacional, inclosa la identificació d'aquest tercer país o organització internacional.
quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades.
quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.
El contingut del Registre d'Activitats de Tractament constitueix una informació mínima exigible, aquest, podria formar part dels catàlegs de processos que ja existissin a l'entitat, incloent-hi tota la informació que el responsable consideri necessària per protegir els drets i llibertats de les persones físiques i poder demostrar compliment atenent la natura, l'àmbit, el context i les finalitats del tractament, així com els possibles orígens dels riscos que aquest tractament pogués suposar per als interessats.
El registre podria incloure aspectes que facilitin l'aplicació efectiva de la responsabilitat proactiva com: anàlisi de riscos per als drets i llibertats realitzats, la descripció sistemàtica del tractament, els sistemes d'informació sobre els quals es recolza, la descripció de la identitat dels encarregats del tractament, les garanties previstes per dur a terme transferències internacionals de dades, informació de contacte de les persones o els departaments de l'organització que es troben implicats en les operacions de tractament, etc.
En el cas de donar accés al contingut del Registre d'Activitats de Tractament, i amb relació a una possible descripció general de les mesures tècniques i organitzatives de seguretat, s'ha d'evitar desvetllar qualsevol informació que pogués ser perjudicial per a l'organització, per als tractaments de dades personals i que comprometés la pròpia seguretat.
L'article 32 del RGPD imposa als responsables d'un tractament l'obligació de definir i implantar les mesures de seguretat adequades per garantir el nivell de seguretat apropiat en funció de l'estat de la tècnica, els costos d'aplicació i, la naturalesa, l'abast, el context i els fins del tractament, així com els riscos associats al mateix.
A diferència de la LOPD existent prèviament a Espanya, en la qual es definien explícitament les mesures de seguretat a implementar, amb el RGPD, el responsable ha d'avaluar els riscos inherents al tractament i aplicar mesures per mitigar-los. En aquesta avaluació del risc s'han de tenir en compte els riscos que atempten contra els drets i les llibertats dels interessats.
Amb l'objectiu de seleccionar les mesures per gestionar el risc per als drets i llibertats, es poden utilitzar estàndards de seguretat
ja existents en el mercat com la norma ISO 27000 o qualsevol altra, com les que es poden consultar en l'apartat de normes nacionals i internacionals en la unitat 5. Per la seva banda, les Administracions Públiques hauran d'utilitzar l'Esquema Nacional de Seguretat per seleccionar les mesures que s'hagin d'implantar per evitar la seva pèrdua, alteració o accés no autoritzat, adaptant els criteris de determinació del risc en el tractament de les dades.
Amb caràcter general l'estàndard utilitzat implicarà:
La realització d'un inventari d'actius partint de la descripció sistemàtica del tractament.
La identificació dels riscos, per als drets i llibertats dels interessats, associats als actius que constin en l'inventari d' actius.
L'avaluació del risc per als drets i llibertats dels interessats.
La gestió de riscos per als drets i llibertats dels interessats al llarg del cicle de vida del tractament.
RGPD ni LOPD-GDD estableixen mesures de seguretat obligatòries, no obstant això, les mesures a adoptar han d'estar basades en una anàlisi de riscos de cada tractament de dades que hàgiu de realitzar, perquè no totes les activitats de tractament impliquen els mateixos riscos i tenen el potencial de causar els mateixos danys i perjudicis als titulars de les dades. A continuació es proposen una sèrie de mesures de seguretat a tall d'exemple, que permeten augmentar el nivell de seguretat en el tractament de la informació:
Mesures de seguretat tècniques proposades:
Instal·lació d'antivirus, sistemes Endpoint Detection and Response (EDR), sistemes Data Rights Management(DRM), sistemes Data Leakage Prevention (DLP).
Sistemes seguretat de xarxa com firewalls.
Protecció del correu electrònic, com a protocols contra el phishing.
Gestió d'actualitzacions per solucionar vulnerabilitats.
Xifrat de fitxers, discos durs i memòries USB.
Sistemes de còpies de seguretat còpies de seguretat.
Sistemes de xifrat, ofuscació, aleatorització de dades.
Programari d'esborrat segur i destrucció d'arxius segura.
Sistemes de gestió centralitzada de controls d'accés i contrasenyes.
Gestió d'usuaris, rols i privilegis basats en una política de privilegis mínims i zero trust.
Mesures de seguretat organitzatives proposades:
Plans de seguretat de la informació i de tractament de dades.
Definició d'un cos normatiu de seguretat que inclogui polítiques i procediments.
Protocols per al control de documents i registres.
Política per al maneig i tractament d'informació confidencial.
Inclusió de clàusula de seguretat i confidencialitat per a proveïdors.
Política de controls d'accés.
Designació d'un responsable de Seguretat de la Informació.
Designació d'un Delegat de Protecció de Dades.
Realització periòdica d'auditories de seguretat i de protecció de dades.
Una bretxa de seguretat és un incident de seguretat que afecta dades de caràcter personal. Aquest incident pot tenir un origen accidental o intencionat i a més pot afectar dades tractades digitalment o en format paper. En general, es tracta d'un succés que ocasioni destrucció,
pèrdua, alteració, comunicació o accés no autoritzat a dades personals.
Una bretxa de dades personals pot tenir una sèrie d'efectes adversos considerables en les persones, susceptibles d'ocasionar danys i perjudicis físics, materials o immaterials; per la qual cosa cal intentar evitar-les i en cas que succeeixin gestionar-les adequadament,
especialment quan puguin posar en risc els drets i llibertats de les persones físiques.
L'article 33 del RGPD imposa als responsables d'un tractament de dades personals l'obligació de notificar a l'autoritat de control competent les bretxes de dades personals quan sigui probable que constitueixin un risc per als drets i llibertats de les persones.
El responsable de tractament ha de valorar el nivell de risc d'una bretxa de dades personals i notificar-la a l'autoritat de control quan existeixi aquest risc. El termini per notificar a l'autoritat de control és de 72 hores des que l'organització té constància de la bretxa.
Si a més comporta un alt risc s'haurà de comunicar sense dilació indeguda als afectats a través del mitjà que se sol utilitzar per comunicar-se amb ells, amb un llenguatge clar i senzill. Això permetrà que els afectats puguin reaccionar com més aviat millor i prendre les mesures oportunes, perquè en aquesta comunicació se'ls haurà d'explicar clarament el succeït i les mesures recomanades perquè puguin minimitzar o eliminar les conseqüències negatives que pugui tenir la bretxa sobre ells.
En l'àmbit privat, els responsables del tractament afectats per una bretxa de dades personals hauran de notificar a l'AEPD:
Quan el seu únic establiment estigui localitzat a Espanya.
Si tenen diversos establiments a la Unió Europea, únicament quan l' establiment principal estigui localitzat a Espanya.
Si no tenen establiment principal a la Unió Europea, només en el cas que hagin designat un representant a Espanya.
Si no tenen establiment ni representant a la Unió Europea, en el cas que la bretxa de dades personals compti amb afectats a Espanya.
La notificació a l'autoritat de control d'una bretxa que afecta dades personals forma part de la responsabilitat proactiva establerta en el RGPD, i el fet de notificar-la no implica necessàriament l'
obertura d'un procediment administratiu. De fet, notificar en temps i forma és una evidència de la diligència de l'organització, mentre que no complir amb aquesta obligació si està tipificat com a infracció.
No obstant això, en aquells casos en què el responsable consideri que no existissin riscos per als drets i llibertats de les persones físiques el responsable té l'obligació de documentar qualsevol violació de la seguretat de les dades personals, inclosos els fets relacionats amb ella, els seus efectes i les mesures correctives adoptades, aquesta documentació permetrà a l'autoritat de control verificar el compliment del que disposa l'article 33 del RGPD.
Per saber-ne més
L'agència espanyola de protecció de dades ha publicat una guia per a la notificació de bretxes de dades personals.
Una transferència internacional de dades es produeix quan les dades personals que són tractades per un responsable o un encarregat del tractament a l'Espai Econòmic Europeu (països de la Unió Europea,
Islàndia, Liechtenstein i Noruega) són enviades a un tercer país o organització internacional, fora d'aquest territori.
L'objectiu de la regulació és garantir, que un cop les dades surtin del territori europeu, es continuïn donant els elements necessaris per garantir el dret fonamental a la protecció de dades
personals de les persones físiques les dades personals de les quals són objecte de tractament.
Una transferència internacional de dades fora de l'Espai Econòmic Europeu (EEE), és a dir, els països de la Unió Europea i Islàndia,
Liechtenstein i Noruega, només es pot dur a terme quan el tercer país o organització internacional té un nivell adequat o es donen altres garanties adequades en matèria de protecció de dades personals.
En general, totes les transferències internacionals, han de ser notificades i aprovades per l'agència espanyola de protecció de dades, no obstant això, els responsables i encarregats del tractament
podran realitzar transferències internacionals de dades sense necessitat d'autorització sempre que el tractament de dades observi el que disposa el RGPD i en els supòsits següents:
Transferències basades en una decisió d'adequació: Quan les entitats receptores de les dades es trobin en un país, un territori o un o diversos sectors específics d'aquest país o organització internacional que hagin estat declarats de nivell de protecció adequat per la Comissió Europea. Fins ara els països i territoris estan declarats com a adequats són: Suïssa, Canadà, Argentina, Guernsey, Illa de Man, Jersey, Illes Feroe, Andorra, Israel, Uruguai, Nova Zelanda, Japó, Regne Unit i República de Corea.
Mitjançant l'aportació de garanties adequades:
A falta de decisió d'adequació si s'ofereixen garanties adequades, que podran ser aportades a través de:
Un instrument jurídicament vinculant i exigible entre les autoritats o organismes públics.
Normes corporatives vinculants.
Clàusules tipus de protecció de dades adoptades per la Comissió.
Clàusules tipus de protecció de dades adoptades per una autoritat de control i aprovades per la Comissió.
Codis de conducta, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloses les relatives als drets de les persones interessades.
Mecanismes de certificació, juntament amb compromisos vinculants i exigibles del responsable o l'encarregat del tractament en el tercer país d'aplicar garanties adequades, incloses les relatives als drets de les persones interessades.
Excepcions per a situacions específiques
A falta de decisió d'adequació i de garanties adequades únicament es podran realitzar si es compleix alguna de les condicions següents:
La persona interessada hagi donat explícitament el seu consentiment, després d'haver estat informada dels possibles riscos.
La transferència sigui necessària per a l'execució d'un contracte entre la persona interessada i el responsable del tractament o per a l'execució de mesures precontractuals adoptades a petició de la persona interessada.
La transferència sigui necessària per a la celebració o execució d'un contracte, en interès de l'interessat, entre el responsable del tractament i una altra persona física o jurídica.
La transferència sigui necessària per raons importants d'interès públic.
La transferència sigui necessària per a la formulació, l'exercici o la defensa de reclamacions.
La transferència sigui necessària per protegir els interessos vitals de l'interessat o d'altres persones, quan la persona interessada estigui físicament o jurídicament incapacitada per donar el seu consentiment.
La transferència es realitzi des d'un registre públic que, d'acord amb el Dret de la Unió o dels Estats membres, tingui per objecte facilitar informació al públic i estigui obert a la consulta del públic en general o de qualsevol persona que pugui acreditar un interès legítim, però només en la mesura que es compleixin, en cada cas particular, les condicions que estableix el Dret de la Unió o dels Estats membres per a la consulta.
Una transferència internacional, necessitarà aprovació explicita de l'Agència Espanyola de Protecció de Dades, quan l'oferiment de garanties adequades es realitzi mitjançant:
Clàusules contractuals entre el responsable o l'encarregat i el responsable, encarregat o sub encarregat, que no hagin estat adoptades per la Comissió Europea o per l'Agència Espanyola de Protecció de Dades i aprovades per la Comissió Europea.
Disposicions que s'incorporin en acords administratius entre les autoritats o organismes públics que incloguin drets efectius i exigibles per a les persones interessades
L'Agència Espanyola de Protecció de Dades (AEPD) està encarregada de vetllar pel compliment de la normativa de protecció de dades i controlar la seva aplicació, a nivell estatal, no obstant això, per als
àmbits geogràfics d'Andalusia, Catalunya i País Basc, existeixen agències autonòmiques de protecció de dades amb potestat d'actuació en
àmbit local i amb funcions similars a les de l'AEPD.
Les funcions principals que duen a terme aquestes agències, són les següents:
Controlar l'aplicació del Reglament General de Protecció de Dades i la resta de la normativa de protecció de dades, així com procedir a que s'apliqui.
Promoure la sensibilització del públic i la seva comprensió dels riscos, normes, garanties i drets en relació amb el tractament.
Assessorar el Parlament nacional, el Govern i altres institucions i organismes sobre les mesures legislatives i administratives relatives a la protecció dels interessos i llibertats de les persones físiques pel que fa al tractament.
Promoure la sensibilització de les persones responsables i encarregades del tractament sobre les obligacions que els incumbeixen en virtut del present Reglament.
Facilitar informació a qualsevol interessat en relació amb l' exercici dels seus drets.
Tractar les reclamacions presentades per un interessat o per un organisme, organització o associació, i investigar, en la mesura oportuna, el motiu de la reclamació.
Cooperar, en particular compartint informació, amb altres autoritats de control i prestar assistència mútua per tal de garantir la coherència en l'aplicació i execució del present Reglament.
Enllestir l'elaboració de codis de conducta, dictaminar i aprovar els codis de conducta presentats, que donin prou garanties d'acord amb el compliment del RGPD.
Fomentar la creació de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades.
Portar registres interns de les infraccions del present Reglament.
Dur a terme investigacions en forma d'auditories de protecció de dades.
Sancionar tota persona responsable o encarregat del tractament amb un advertiment quan les operacions de tractament previstes puguin infringir o hagin infringit el que disposa la normativa de protecció de dades.
Tutelar els drets i garanties de les persones abonades i usuàries en l'àmbit de les comunicacions electròniques, incloent l'enviament de comunicacions comercials no sol·licitades realitzades a través de correu electrònic o mitjans de comunicació electrònica equivalent (spam).
Rebre les notificacions de les eventuals fallides de seguretat que es produeixin en els sistemes dels proveïdors de serveis de comunicacions electròniques i que puguin afectar dades personals.
Cooperació amb diversos organismes internacionals i amb els òrgans de la Unió Europea en matèria de protecció de dades.
Sancions per incompliment de la legislació en protecció de dades.¶
En aquest epígraf es detallarà el règim sancionador per incompliment de protecció de dades.
En aquest sentit, s'ha de diferenciar la quantia de les multes segons el definit en el RGPD que les que estan especificades en la nova LOPD-GDD. El reglament europeu és més abstracte quant a l'
especificitat dels incompliments i la graduació de la seva quantia,
mentre que la LOPD-GDD ho especifica de manera més detallada.
La quantia de les sancions per protecció de dades que tant el RGPD com la LOPDGDD imposen, es valora segons els drets personals afectats, els beneficis obtinguts, la possible reincidència, la intencionalitat i qualsevol circumstància que sigui rellevant per determinar la culpabilitat.
Així, les sancions que estableix el RGPD són:
Per a infraccions greus: multa de fins a 10 milions d'euros (o el 2% de la facturació anual, aplicant la quantia que resulti més alta).
Per a infraccions molt greus: multa de fins a 20 milions d'euros (o el 4% de la facturació anual, aplicant la quantia que resulti més alta).
En cas de la LOPD-GDD espanyola, les infraccions per protecció de dades es divideixen en lleus, greus i molt greus.
Les sancions per a infraccions lleus suposen una multa de fins a 40.000 €. Són considerades infraccions lleus:
Incompliment del principi de transparència de la informació o el dret d'informació de l'afectat per no facilitar tota la informació que exigeixen els articles 13 i 14 del RGPD.
Demanar un pagament a l'interessat per poder accedir a la informació que exigeixen els articles 13 i 14 del RGPD o per atendre les sol.licituds d'exercici de drets contemplades als articles 15 a 22 de l'esmentat Reglament.
No atendre les sol·licituds dels exercicis dels drets que s'estableixen als articles 15 a 22 del RGPD.
No atendre els drets d'accés, rectificació, supressió, limitació del tractament o portabilitat de les dades quan no es requereixi la identificació de l'afectat.
No complir amb l'obligació de notificació relativa a la rectificació o supressió de dades personals o la limitació del tractament que exigeix l'article 19 del RGPD.
No complir amb l'obligació d'informar l'afectat dels destinataris als quals s'hagi comunicat la rectificació, supressió o limitació del tractament.
No complir amb la supressió de dades referides a una persona morta quan així ho exigeix l'article 3 de la LOPDGDD.
Incompliment de les obligacions dels responsables i encarregats del tractament.
Que el registre d'activitats de tractament no contingui tota la informació que exigeix l'article 30 del RGPD.
Informar tard o de forma incompleta a l'AEPD d'una bretxa de seguretat.
Donar informació inexacta a l'AEPD en els supòsits en què el responsable del tractament ha d'elevar una consulta prèvia, d'acord amb l'article 36 del RGPD.
No publicar les dades de contacte del delegat de protecció de dades o comunicar-les a l'AEPD.
Incompliment de les obligacions dels organismes de certificació d'informar l'AEPD de l'expedició, renovació o retirada d' una certificació.
Incompliment dels organismes acreditats de supervisió d'un codi de conducta de l'obligació d'informar l'AEPD de les mesures que resultin oportunes en cas d'infracció del codi.
Les sancions per a incompliments Greus suposen una multa de 40.001 € a 300.000 €. Es poden considerar com a greus:
Tractar dades de menors d'edat sense recaptar el seu consentiment, quan tingui edat per a això, o dels seus pares o tutors.
No acreditar esforços raonables per verificar la validesa del consentiment del menor o dels seus pares o tutors.
No atendre de forma reiterada o obstaculitzar la sol·licitud dels drets d'accés, rectificació, supressió, limitació del tractament o portabilitat de les dades en els tractaments en els quals no es requereix la identificació de l'afectat.
No adoptar les mesures tècniques i organitzatives apropiades per aplicar la protecció de dades des del disseny.
No adoptar les mesures tècniques i organitzatives que garanteixin el tractament de les dades personals necessàries per a cadascun dels fins específics del tractament.
No adoptar les mesures tècniques i organitzatives necessàries per garantir la seguretat de les dades.
Bretxes de seguretat ocorregudes per no haver adoptat les mesures adequades de seguretat.
No designar un representant del responsable o encarregat del tractament no establert en territori de la UE, d'acord amb l' article 27 del RGPD.
No atendre les sol·licituds de les agències de protecció de dades.
Contractar un encarregat del tractament que no ofereixi les garanties suficients per aplicar les mesures tècniques i organitzatives necessàries, d'acord al Capítol IV del RGPD.
Encarregar el tractament de dades a un tercer sense el degut contracte.
Contractació per part de l'encarregat del tractament d' altres encarregats sense comptar amb l'autorització del responsable.
Infracció del que disposa l'article 28.10 del RGPD respecte a la determinació dels fins i els mitjans de tractament per part de l'encarregat.
No disposar del registre d'activitats.
No cooperar amb l'AEPD o altres autoritats de control en l' acompliment de les seves funcions en els supòsits no previstos a l'article 72 de la LOPDGDD.
El tractament de dades personals sense complir amb el que recull l'article 28 de la LOPDGDD.
Incomplir el deure d'informar de les violacions de seguretat per part de l'encarregat del tractament al responsable.
No informar de les violacions de seguretat a l'AEPD, segons l'article 33 del RGPD.
No informar l'afectat d'una violació de seguretat de dades personals.
Dur a terme el tractament de dades sense realitzar una avaluació d'impacte quan aquesta és exigible.
Tractar dades personals sense haver realitzat consulta prèvia a l'AEPD quan aquesta sigui obligatòria.
No designar un delegat de protecció de dades quan sigui obligatori.
No permetre que el delegat de protecció de dades pugui complir amb les seves funcions.
Utilitzar segells o certificacions en matèria de protecció de dades que no hagin estat atorgades per una entitat de certificació acreditada o estiguin expirats.
Incompliments dels organismes de certificació.
Les sancions molt greus impliquen una multa d'entre 300.001 € a 20.000.000 €, són considerades infraccions molt greus, les següents:
Tractament de dades personals que vulnerin les garanties i principis establerts a l'article 5 del RGPD.
Tracta dades personals sense la legitimació establerta a l' article 6 del RGPD.
No complir amb els requisits exigits a l'article 7 del RGPD per a la validesa del consentiment.
Utilitzar les dades personals recollides amb una finalitat diferent per a la qual es va donar el consentiment.
Tracta dades personals de les categories recollides a l' article 9 del RGPD sense que concorri alguna de les circumstàncies previstes d'aquest article i de l'article 9 de la LOPDGDD.
Tractar dades personals relatives a condemnes i infraccions penals o mesures de seguretat connexes fora dels supòsits de l' article 10 del RGPD i l'article 10 de la LOPDGDD.
