El Reglamento 2016/679/UE, de 27 de abril no efectúa una calificación de las conductas proscritas como Infracciones muy graves en protección de datos
El art. 72 de la LOPD-GDD/2018 califica como infracciones graves en protección de datos , mucho más pormenorizadamente que el RGPD, en relación con lo establecido en el art. 83.5 del Reglamento 2016/679/UE, de 27 de abril , las infracciones que supongan una vulneración sustancial de los mandatos mencionados en aquél.
De esta forma, el art. 72 de la LOPD-GDD/2018 contiene una relación de las conductas que merecen la consideración de infracciones muy graves al establecer :
En función de lo que establece el art. 83.5 del Reglamento 2016/679/UE se consideran infracciones muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los arts. mencionados en aquél, y en particular las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el art. 5 del Reglamento 2016/679/UE se consideran infracciones muy graves en protección de datos.
El incumplimiento de la exigible base legal para el procesamiento de datos de carácter personal, se encuentra lamentablemente muy extendido. Es más la AEPD ha sancionado en numerosas ocasiones y en reiterados empresas por la misma infracción muy grave en protección de datos. Este es un ejemplo.
Organización multada la empresa :Vodafone España
Fuente: Enlace
Tipo: incumplimiento de la base legal para el procesamiento de datos y básicamente los principios ( la mayor parte de ellos )
Resumen:
La compañía no pudo probar que una persona les había dado su consentimiento para acceder y procesar sus datos personales con el objetivo de abrir un contrato telefónico. La AEPD explicó además que la compañía divulgó ilegalmente los datos personales de la persona afectada a agencias de crédito de terceros.
Y como hemos advertido, el artículo violado fue : art. 5 GDPR, 1) que entre otras cosas indica que los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales etc. («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
…
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).
Y continua de esta forma, el art. 72 de la LOPD-GDD/2018
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el art. 6 del Reglamento 2016/679/UE .
Otro ilícito que también se observa redundante y que suele ser la base de la infracción muy grave en protección de datos, por ejemplo la cometida por Vodafone.
Fuente: Enlace
Resumen: Un antiguo cliente de la compañía continuó recibiendo avisos de factura incluso después de que la obligación contractual entre las dos partes haya finalizado. La compañía indicó un error técnico para la emisión de avisos no solicitados . Artículo violado: art. 5 GDPR, art. 6 GDPR Multa: € 75.000
c) El incumplimiento de los requisitos exigidos por el art. 7 del Reglamento 2016/679/UE para la validez del consentimiento.
d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
e) El tratamiento de datos personales de las categorías a las que se refiere el art. 9 del Reglamento 2016/679/UE , sin que concurra alguna de las circunstancias previstas en dicho precepto y en el art. 9 de esta ley orgánica.
f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad fuera de los supuestos permitidos por el art. 10 del Reglamento 2016/679/UE y en el art. 10 de esta ley orgánica.
g) El tratamiento de datos de carácter personal relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el art. 27 de esta ley orgánica.
h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en los arts. 13 y 14 del Reglamento 2016/679/UE y art. 12 de esta ley…
Y para finalizar en ese punto y en este ámbito, hay numerosos casos sancionados en el procesamiento de datos incumpliendo la base legal para ello, y en estos ejemplos que son evidentes, también abundan; he aquí uno muy sonado; la multa a la Liga Nacional de Fútbol. Este ilícito es considerado una infracción muy grave en protección de datos de carácter personal; Y como consecuencia:
Se emitió una multa a la Liga Nacional de Fútbol (La Liga) porque no había informado a los usuarios de las implicaciones contenidas en la aplicación que ofrecía. Esta aplicación accedía de forma remota a los micrófonos de los usuarios una vez por minuto para revisar los lugares( pubs, cafeterías, etc.) que proyectan partidos de fútbol. La AEPD cree que los usuarios no estaban suficientemente informados de esto. Además, los usuarios no tenían la posibilidad adecuada de retirar su consentimiento, una vez dado.
Multa: € 250.000 Fuente: Enlace