Nueva LOPD – Art 72 y ss – Infracciones
En lo relativo a las sanciones y partiendo de lo dispuesto por el RGPD en su artículo 83, la nueva LOPD a través de sus artículos 72 y siguientes, introduce además, una relación exhaustiva de infracciones que serán consideradas como muy graves, graves y leves.
Veamos a continuación cuáles son algunos de estos casos:
1. Serán consideradas infracciones muy graves y prescribirán a los 3 años, entre otras, las siguientes:
- El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.
- El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
- La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
2. Serán consideradas infracciones graves y prescribirán a los dos años, entre otras, las siguientes:
- El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.
- No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad.
- La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.
3. Serán consideradas infracciones leves y prescribirán al año, entre otras, las siguientes:
- El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.
- El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.
- Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679.
Si le interesa, puede consultar contenido completo de los artículos 72 y ss.