Infracciones graves en materia de protección de datos

AutorAlberto Palomar (Magistrado de lo contencioso-administrativo) y Javier Fuertes (Magistrado)

Las infracciones graves en materia de protección de datos son las acciones y omisiones contrarias a lo establecido en la regulación legal en materia de Protección de Datos de Carácter Personal que se califican como tales (aunque el art. 73 de la LOPD-GDD/2018 califica determinadas infracciones como graves, el Reglamento 2016/679/UE , no contiene una clasificación de las infracciones).

Contenido
  • 1 Determinación de las infracciones graves en materia de protección de datos
  • 2 Consecuencias de las infracciones graves en materia de protección de datos
  • 3 Ver también
  • 4 Recursos adicionales
    • 4.1 En doctrina
    • 4.2 En dosieres legislativos
  • 5 Legislación básica
  • 6 Legislación citada
Determinación de las infracciones graves en materia de protección de datos

El Reglamento 2016/679/UE, de 27 de abril no efectúa una calificación de las conductas proscritas.

El art. 73 de la LOPD-GDD/2018 califica como graves, en relación con lo establecido en el art. 83.4 del Reglamento 2016/679/UE, de 27 de abril , las infracciones que supongan una vulneración sustancial de los mandatos mencionados en aquél.

De esta forma, el art. 73 LOPD-GDD/2018 contiene una relación de las conductas que merecen la calificación de graves, al establecer lo siguiente:

En función de lo que establece el art. 83.4 del Reglamento 2016/679/UE se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los arts. mencionados en aquél, y en particular las siguientes:

a) El tratamiento de datos de carácter personal de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al art. 8 del Reglamento 2016/679/UE .

b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el art. 8.2 del Reglamento 2016/679/UE .

c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.

d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño y por defecto e integrar las garantías necesarias en el tratamiento, en los términos exigidos por el art. 25 del Reglamento 2016/679/UE .

e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el art. 25.2 del Reglamento 2016/679/UE .

f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el art. 32.1 del Reglamento 2016/679/UE .

g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el art. 32.1 del Reglamento 2016/679/UE .

h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el art. 27 del Reglamento 2016/679/UE .

i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.

j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento 2016/679/UE .

k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el art. 28.3 del Reglamento 2016/679/UE .

l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.

m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento 2016/679/UE y la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el art. 28.10 del citado reglamento.

n) No disponer del registro de actividades de tratamiento establecido en el art. 30 del Reglamento 2016/679/UE .

ñ) No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, conforme al apartado 4 del art. 30 del Reglamento 2016/679/UE .

o) No...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR