Sanciones

El RGPD recoge una serie de conductas en el art. 83, susceptibles de ser sancionadas administrativamente, pero no están categorizadas, si bien se pueden extraer algunos ejemplos:

10,000,000 € o 2% del volumen de negocio global del último año 8, 11, 25 a 39, 42 y 43
  • Vulneración de las obligaciones del responsable y del encargado
  • Vulneración de obligaciones de certificación
  • Vulneración obligaciones de control
  • Falta de obtención del consentimiento paterno en servicios de la sociedad de la información a menores sin capacidad de consentir
  • Falta de medidas de seguridad apropiadas
  • No realización de Evaluación de Impacto en datos que entrañen elevado riesgo o, en su caso, no realizar la consulta previa a la Autoridad de Control
  • No designar un Delegado de Protección de Datos cuando se requiera
  • Falta de cooperación con la Autoridad de Control
  • Incumplimiento de las obligaciones como encargado de tratamiento o como corresponsable
  • No notificar en el plazo de 72 h a la Autoridad de Control y/o a los titulares, las violaciones de seguridad que:
    • supongan un riesgo;
    • ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos transmitidos, conservados o tratados de otra forma;
    • comunicación o acceso no autorizados
      (ej. pérdida de ordenador portátil, borrado accidental de registros, acceso no autorizado a bases de datos…)
20,000,000 € o 4% del volumen de negocio global del último año 5, 6, 7, 9, 12 a 22, 44 a 49, 58
  • Vulneración de los principios básicos de tratamiento
  • Vulneración de los derechos de los interesados
  • Transferencia a terceros países
  • Incumplimiento de una resolución
  • Falta de cumplimiento de principios de licitud, fines explícitos y legítimos, adecuados y pertinentes, etc.
  • No atender o no facilitar el ejercicio de los derechos a los interesados
  • Incumplimiento de las normas del Estado miembro
  • No permitir el acceso a la Autoridad de Control a datos personales y/o locales para el ejercicio de sus poderes de investigación
  • No cumplir una orden de la Autoridad de Control en ejercicio de sus poderes correctivos
  • Incumplimiento de los requisitos para transferencias internacionales
  • No informar a los interesados en el momento que se obtengan sus datos
  • No contar con el consentimiento explícito del interesado
  • Incumplimiento del deber de secreto
  • Transferencia internacional a un país u organización que no ofrezca garantías adecuadas