Las sanciones de la Agencia Española de Protección de Datos son por todos conocidas por lo elevadas que suelen ser y es que, incumplir con la normativa en materia de protección de datos puede salir muy caro. Recordemos que el derecho a la protección de datos es un derecho fundamental y, por tanto, es un derecho muy protegido.
El importe de la sanción que imponga la Agencia Española de Protección de Datos, vendrá determinado en función del tipo de infracción que se haya cometido. Así, el artículo 44 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, clasifica las infracciones en tres tipos: leves, graves y muy graves.
Son infracciones leves (artículo 44.2):
- No notificar a la Agencia Española de Protección de Datos la recogida de datos de carácter personal.
- No inscribir los ficheros de datos de carácter personal en el Registro General de Protección de Datos.
- No informar al afectado (persona que facilita sus datos) sobre qué se va a hacer con sus datos.
- Traspasar los datos a terceros (encargados del tratamiento) sin que se exista un contrato entre el que recoge los datos y el tercero que regule, entre otros: la finalidad para la que se traspasan, qué ocurre cuando finaliza el contrato, etc.
Son infracciones graves (artículo 44.3):
- Crear un fichero de titularidad pública (administración) o recoger los datos para ese fichero sin que, previamente, se haya autorizado y publicado en el BOE, o diario oficial que corresponda, dicha autorización.
- No solicitar el consentimiento del afectado para recoger sus datos (salvo que la ley diga que no hace falta el consentimiento).
- Utilizar los datos recogidos para finalidades distintas para los que fueron recabados (principio de la protección de datos).
- No cumplir con el deber de secreto respecto al tratamiento de los datos.
- Impedir que el afectado pueda ejercer los derechos ARCO.
- No informar al afectado del tratamiento de sus datos cuando esos datos no se hayan recogido directamente del afectado.
- El incumplimiento de los deberes de notificación o requerimiento al afectado cuando la ley lo establezca.
- No cumplir con las medidas de seguridad sobre los datos.
- No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o, no facilitar a ésta cuanta documentación precise o haya solicitado.
- La obstrucción al ejercicio de la función inspectora.
- La comunicación o cesión de los datos de carácter personal sin autorización del afectado o autorización legal.
Son infracciones muy graves (artículo 44.4):
- La recogida de datos de forma fraudulenta o engañosa.
- Tratar o ceder datos especialmente sensible como son: la ideología, afiliación sindical, religión, creencias, origen racial o étnico y vida sexual, salvo cuando la ley lo autorice.
- No cesar en el tratamiento ilegal de datos de carácter personal cuando ya se haya requerido previamente por el Director de la Agencia Española de Protección de Datos para ello.
- La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos, salvo que la ley establezca que no es necesaria la autorización.
¿Y cuánto nos cuesta cometer una de las anteriores infracciones?
Pues dependerá del tipo de infracción que se cometa. Así lo clasifica el artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal que establece:
- Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
- Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
- Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
Estas cantidades pueden ser moduladas en función de algunos factores como, por ejemplo: si se ha cometido la misma infracción de forma reiterada, el volumen del negocio, el beneficio obtenido como consecuencia de la infracción, etc. (Artículo 45.4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).