La LOPD, Ley Orgánica de Protección de Datos, establece como sabemos por artículos anteriores las bases legales que las empresas, organizaciones y administraciones deben seguir en lo que respecta al tratamiento de los datos que manejan como parte de su actividad, sea o no comercial.

En este artículo no queremos volver a repetir algunos conceptos ya muy comentados y analizados, sino que nos disponemos a aportar una información más práctica y que nos ayudará sin duda a concienciarnos sobre la importancia del tema. Por eso, hoy hablamos de los tipos de infracciones en que podemos incurrir, y de paso, sobre las sanciones que acarrean estas infracciones. Estas sanciones son muy específicas y deben ser analizadas por profesionales cualificados, ya que esta especialización es necesaria para diferenciar entre acciones aparentemente similares y para identificar los distintos puntos de la LOPD, por lo que en este texto nos limitaremos a realizar una aproximación resumida de los puntos principales, puntos que, además, pueden variar de categoría según la importancia de los hechos y otros factores relacionados con el contexto.

Infracciones leves. Estas son los errores más habituales en los que podemos caer. Nos encontramos aquí como referencias a evitar: no remitir a la AGPD las notificaciones obligatorias; no informar al afectado respecto al uso que se realiza con su información; no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos; no atender las solicitudes de rectificación o cancelación de datos remitidas por el afectado;  realizar la recogida de datos sin informar al afectado de sus derechos respecto a lo marcado por la ley.

Para estos casos, hablaríamos de sanciones que se situarían entre los 600 y 60.000 euros.

Infracciones graves.  Esta es la segunda categoría de infracciones estipuladas, y en este caso, nos encontramos con los siguientes puntos: crear ficheros de titularidad pública o iniciar la recogida de datos personales para estos ficheros sin la autorización correspondiente; crear ficheros de titularidad privada o recoger datos personales para estos ficheros cuando el objetivo de los mismos no es el mismo que el objetivo legítimo de la empresa u organización; recoger datos personales sin el consentimiento expreso de los afectados; no facilitar e incluso impedir el acceso de los afectados a sus derechos según marca la normativa; tratar o usar los datos de carácter personal recogidos vulnerando en el proceso los principios y garantías establecidas por la Ley; mantener los datos personales o no corregir los mismos cuando estén viéndose afectados los derechos de las personas amparadas por la Ley; almacenar datos personales en espacios o  dispositivos que no cumplan con las directrices de seguridad establecidas; obstruir las inspecciones que pudieran ser solicitadas; no inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos cuando haya sido requerido para ello por el mismo Director de la Agencia Española de Protección de Datos; incumplir el deber de información marcado por la Ley cuando los datos personales hayan sido recabados de personas distintas al afectado; no remitir a la AGPD las notificaciones obligatorias o no proporcionar dentro del plazo marcado los documentos y las informaciones que puedan ser requeridos; romper el secreto obligatorio sobre los datos personales relativos a la comisión de infracciones administrativas o penales u otros ficheros cuya información permita obtener una evaluación de la personalidad del individuo.

En estos casos, las sanciones que nos encontramos partirán de un mínimo de 60.000 euros y podrán alcanzar un máximo de 300.000 euros.

Infracciones muy graves. Última de las 3 posibles categorías de las infracciones de la LOPD, la cual marca las faltas de mayor gravedad posible de la siguiente manera: no atender las notificaciones obligatorias de forma sistemática; vulnerar el deber de guardar el secreto sobre los datos personales que afectan a ciertos puntos especialmente sensibles de la Ley, o cuando estos son recabados por fuentes policiales; no atender e impedir de forma sistemática el ejercicio de los afectados de llevar a cabo lo que les permiten los conocidos como derechos ARCO; recoger datos personales por medio de fraudes y engaños; comunicar o ceder datos personales fuera de lo permitido por la Ley; recoger y tratar datos personales cuando estos afectan a ciertos puntos especialmente sensibles de la Ley; no cesar en el uso ilegítimo de los datos personales incluso habiendo sido advertido previamente; transferir temporal o definitivamente datos de carácter personal a países donde no cuenten con un nivel de protección comparable;  tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías de la Ley.

En estos casos expuestos en el párrafo anterior, las sanciones parten de los 300.000 euros y pueden alcanzar los 600.000.

Ya hemos mencionado al inicio del texto que estos apartados deben ser interpretados con un resumen superficial, por lo que no sirven de guía legal completa para nuestro negocio u organización. En caso de ser eso lo que necesita puesto que quiere evitar el riesgo de cometer algunas infracciones leves o incluso graves, nuestra recomendación es recurrir a una consultoría  con la que identificar los posibles problemas que se desprenden de nuestra actividad y las incompatibilidades de los mismos con la LOPD y otras normativas vigentes.