Modulo I parte 10 Curso Protección de Datos

MÓDULO I. NORMATIVA GENERAL DE PROTECCIÓN DE DATOS
UNIDAD DIDÁCTICA 1.9.
EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y ACTUALIZACIÓN DE
LOPD. LAS AUTORIDADES DE CONTROL

UNIDAD DIDÁCTICA 1.9. EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
ACTUALIZACIÓN DE LOPD. LAS AUTORIDADES DE CONTROL
ESTRUCTURA DIDÁCTICA
Introducción
1.9.1. Autoridades de Control.
1.9.2. Potestades.
1.9.3. Régimen sancionador.
1.9.4. Comité Europeo de Protección de Datos.
1.9.5. Procedimientos seguidos por la AEPD.
1.9.6. La tutela jurisdiccional.
1.9.7. El derecho de indemnización.

INTRODUCCIÓN
El primer texto internacional que hace referencia a una autoridad independiente que vele por los derechos de
protección de datos personales en cuanto al tratamiento y libre circulación de los mismos, se encuentra en la
Directiva 96/46/CE con relación a la protección de datos personales. (Convenio 98 del Consejo Europeo, de
1981)
Cada Estado miembro tendrá una o varias autoridades de control independientes. Cada país debe escoger
una autoridad de control que represente a todas ellas en el Comité Europeo.
Existe la posibilidad de que exista más de una autoridad de control por Estado miembro, que supervise la
aplicación del Reglamento en la UE.

INTRODUCCIÓN
Las autoridades de cada Estado miembro debe controlar los recursos humanos, técnicos y financieros para
implementar sus funciones y el ejercicio de los poderes establecidos por el RGPD, aspecto que establecía la
Directiva 95/46/CE,
El Proyecto LOPD*31 ha sido aprobado en España, donde se resaltan los siguientes puntos:
● La AEPD es la autoridad administrativa independiente de ámbito estatal y representante de las
autoridades de protección de datos en el Comité (art.44.1).
● Las autoridades autonómicas de protección de datos tendrán funciones y poderes que conciernen a su
ámbito territorial autonómico (art. 57).

El Proyecto LOPD*31 ha sido aprobado en España, donde se resaltan los siguientes puntos:
● La AEPD propondrá al Gobierno la aprobación de su propio Estatuto aprobado por real decreto, y se
regirá por lo establecido en el RGPD.
● El Presidente de la AEPD, será considerado como: representante, o también llamado actualmente
Director; y también Secretario de Estado, frente a la consideración de Subsecretario de la Directora
actual. El Presidente será nombrado por el Gobierno a propuesta del Ministro de Justicia, cuyo cargo
durará 5 años y podrá ser renovado por la misma duración.

INTRODUCCIÓN
El Título VIII del Proyecto de Ley Orgánica de Protección de Datos *31 regula el “Procedimientos en caso de
posible vulneración de la normativa de protección de datos”, para impedir estas vulneraciones el Reglamento
(UE) 2016/679 establece un sistema dirigido hacia un mecanismo de “ventanilla única” en el que existe una
autoridad de control principal y otras autoridades interesadas, un sistema innovador y complejo.
El mecanismo de la ventanilla única permite a los RT que estén establecidos en varios Estados miembros, pueda
responder ante la Autoridad de Control del Estado donde se encuentra registrada la entidad o en la sede
principal de la misma, a pesar de que el tratamiento de datos pueda afectar a los ciudadanos de varios Estados
de la UE.

UNIDAD DIDÁCTICA 1.9. EL REGLAMNETO EUROPEO DE PORTECCIÓN DE DATOS Y
INTRODUCCIÓN
Por lo tanto, la Autoridad de Control, deberá llevar a cabo un método de colaboración con las Autoridades
de Control del resto de Estados de interés, en vez de analizar la denuncia a nivel nacional.
Según el Artículo 56 del PLOPD *31. sobre la acción exterior, especifica:
“Corresponde a la AEPD la titularidad y el ejercicio de las funciones relacionadas con la acción
exterior del Estado en materia de protección de datos.”

INTRODUCCIÓN
Por lo tanto, la Autoridad de Control, deberá llevar a cabo un método de colaboración con las Autoridades de
Control del resto de Estados de interés, en vez de analizar la denuncia a nivel nacional.
Artículo 59 del PLOPD *31. “Tratamientos contrarios al Reglamento (UE) 2016/679 y la presente ley orgánica”.
● “El Presidente de la Agencia Española de Protección de Datos compruebe que un tratamiento llevado a
cabo por las comunidades autónomas vulnera el Reglamento (UE) 2016/679 podrá instarlas a que adopten
las medidas necesarias para su cesación. La Autoridad autonómica de protección de datos que no adopte
las medidas en el plazo de un mes, el Presidente de la Agencia podrá requerir directamente a la
Administración.”
● “Si la Administración pública no atendiere el requerimiento, la Agencia podrá ejercer las acciones que
procedan ante la jurisdicción contencioso-administrativa.”

1.9.1. AUTORIDADES DE CONTROL.
La autoridad independiente, controla que se cumpla con la normativa vigente en protección de datos ,
establecido en el nuevo modelo europeo ; y que España ya adoptó en los criterios organizativos y
funcionales, tras el Convenio 98 donde se adoptaron los criterios organizativos y funcionales. Está función
independiente es llevada a cabo en España por la AEPD creada en 1992 y activa desde 1994.
Un miembro de todos los que forman el Consejo Consultivo de la AEPD, es elegido como Director para
representar la AEPD y nombrado mediante Real Decreto a propuesta del Ministerio de Justicia,
Al ser una autoridad independiente la agencia cuenta con un presupuesto integrado en los Presupuestos
Generales del Estado que se rige por los preceptos establecidos en la Ley 47/2003 General Presupuestaria

La AEPD es controlada por el Tribunal Cuentas como agente externo y por la Intervención General del Estado
(IGAE) como agente interno.
Tres agencias autonómicas se fundaron : en Madrid en el 2001, en Cataluña en el año 2003 y en País Vasco en
el 2004.
La Agencia Autonómica creada en Madrid traspasó sus funciones a la AEPD, al retirarse el 1 de enero de 2013,
pero aún siguen en activo las agencias de Cataluña y País Vasco , cuya función es controlar los ficheros de datos
personales de su ámbito territorial gestionados por las Comunidades Autónomas y por la Administración local ,
y que pertenecen a la AEPD

Agencia Vasca de Protección de Datos (AVPD/DBEB)
Las operaciones de tratamiento realizadas por los tribunales en el ejercicio de su función judicial, no podrán
ser controladas por las autoridades de control al no presentar las competencias para ello.
Las autoridades públicas u organismos privados deben efectuar el reglamento mediante el principio de
legitimación para:
● Cumplir con la obligación legal aplicable al RT (RGPD 6.c. )
● Cumplir con una misión realizada en interés público o en el ejercicio de poderes público transmitidos al
RT (RGPD.6.c.)

Para más información pueden consultar las páginas web de:
● La Autoridad de Control para Cataluña [APDCAT]:
http://www.apd.cat
● La Autoridad de Control para el País Vasco.
http://www.apd.cat

1.9.2. POTESTADES
Las potestades están reguladas por los artículos 56 y 57 del RGPD. Donde se especifican las funciones de la
Autoridad de Control Principal y de la Autoridad de Control.
Autoridad de Control Principal :
● Deberá controlar el tratamiento transfronterizo llevado a cabo por el responsable o encargado, para
ello debe ser competente en la materia.
● Informará con un plazo máximo de 3 semanas, si llevará el caso o no de una reclamación o
incumplimiento del RGPD, cuya información le ha sido transmitida por la Autoridad de Control.
● Puede no aceptar el caso, y ocuparse de ello la Autoridad de control

1.9.2. POTESTADES
Autoridad de Control :
● Debe de informar a la Autoridad de Control Principal
cualquier reclamación o infracción del RGPD
● Puede elaborar y presentar un proyecto de decisión
A tener en cuenta:
Las funciones de la Autoridad de Control y la Autoridad de Control
Principal son gratuitas para los interesados y DPD, Si las solicitudes
se extienden en gran medida o se repiten, las autoridades podrán
establecer un coste administrativo o anular la solicitud.

UNIDAD DIDÁCTICA 1.9EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
1.9.2. POTESTADES
Funciones de las Autoridades de Control y Autoridad de Control Principal
● Las funciones de las Autoridades de Control son las siguientes:
a) Aplicar el Reglamento y verificar que se cumpla el reglamento
b) Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos; y
prestar atención a las actividades dirigidas a menores
c) Asesorar al Parlamento nacional, al Gobierno y a instituciones y organismos, en el tratamiento de los datos
d) Promover la sensibilización de los RT y ET acerca de las obligaciones especificadas en el Reglamento.
e) Facilitar información a los interesado atendiendo al ejercicio de sus derechos, con previa solicitud ; y
cooperar con las autoridad de control de los Estados miembros.

1.9.2. POTESTADES
Funciones de las Autoridades de Control y Autoridad de Control Principal
● Las funciones de las Autoridades de Control son las siguientes:
a) Tratar las reclamaciones presentadas por un interesado o por un organismo.
b) Cooperar, en particular compartiendo información, con otras autoridades de control.

1.9.2. POTESTADES
En la Ley Orgánica 3/2018 *31 Art. 56, denomina “acción exterior” en su apartado c) que la AEPD deberá colaborar
con autoridades, instituciones, organismos y Administraciones de otros Estados… en:
● Investigar sobre la aplicación del nuevo Reglamento;
● Hacer un seguimiento de cambios que afecten en la protección de datos personales, sobre todo en el desarrollo
de las tecnologías de la información y la comunicación y las prácticas comerciales;
● Adoptar las cláusulas contractuales;
● Elaborar y mantener una lista sobre el requisito de la evaluación de impacto relativa a la protección de datos;

1.9.2. POTESTADES
En la Ley Orgáncia 3/2018 *31 Art. 56, denomina “acción exterior” en su apartado c) que la AEPD deberá
colaborar con autoridades, instituciones, organismos y Administraciones de otros Estados… en:
● Ofrecer asesoramiento sobre las operaciones de tratamiento cuando el responsable no haya identificado o
mitigado suficientemente el riesgo;
● Informar de la elaboración de códigos de conducta y dictaminar y aprobar los códigos de conducta que den
suficientes garantías;
● Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de
protección de datos, y aprobar los criterios de certificación de conformidad;
● Realizar una revisión periódica de las certificaciones expedidas, si es necesario;

UNIDAD DIDÁCTICA 1.9EL REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS Y
1.9.2. POTESTADES
En La ley Orgáncia 3/2018 *31 Art. 56, denomina “acción exterior” en su apartado c) que la AEPD deberá
colaborar con autoridades, instituciones, organismos y Administraciones de otros Estados… en:
● Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de
conducta y de organismos de certificación;
● Realizar la acreditación de organismos de supervisión de los códigos de conducta y de organismos de
certificación,
● Autorizar las cláusulas contractuales y disposiciones sobre transferencias internacionales de datos.

1.9.2. POTESTADES
En el Proyecto de LOPD *31 Art. 56, denomina “acción exterior” en su apartado c) que la AEPD deberá colaborar
con autoridades, instituciones, organismos y Administraciones de otros Estados… en:
● Aprobar normas corporativas vinculantes de conformidad;
● Formar parte de las actividades del Comité.
● Llevar registros internos de las infracciones establecidas en el Reglamento y las medidas utilizadas.
● Realizar cualquier función relacionada con la protección de los datos personales

1.9.2. POTESTADES
Los poderes de investigación de las Autoridad de Control y Autoridad de Control Principal se establecen en el
articulo 58 del RGP, que tratan de:
a) Ordenar al RT y ET y, al representante del responsable o del encargado, facilitar información necesario para
desempeñar sus funciones.
b) Investigar en forma de auditorías de protección de datos.
c) Revisar las certificaciones expedidas (artículo 42.7).
d) Notificar al RT o ET las presuntas infracciones acometidas sobre el Reglamento.
e) Obtener del RT y ET el acceso a todos los datos personales y a toda la información necesaria para realizar
sus funciones.
f) Obtener el acceso de conformidad a todos los locales, recursos, equipos y medios de tratamiento de datos
del RT y ET , siendo un Derecho procesal de los Estados miembros.

1.9.2. POTESTADES
En la Ley Orgáncia 3/2018, en la segunda sección del Título VI
● “El Art. 51.2, indica que corresponde a los funcionaros de la AEPD o funcionarios ajenos a ella, pero
habilitados por el Presidente, llevar a cabo la actividad de investigación.”
● “El Art. 52, indica que las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los
particulares estarán obligadas a proporcionar a la AEPD los datos, informes, antecedentes y justificantes
necesarios para llevar a cabo su actividad de investigación. Y la cesión de estos datos sería lícita amparada
en el cumplimiento de una obligación legal (art.6.1c).”
.

1.9.2. POTESTADES
En la Ley Orgáncia 3/2018, en la segunda sección del Título VI
● “El Art. 53, indica que habilita a recabar todas las informaciones necesarias, realizar inspecciones, requerir
exhibición, envío y obtención de copia, de los documentos y datos necesarios, incluso podrán exigir la
ejecución de tratamientos y programas, y los soportes sujetos a investigación.”
● “El Art. 54, indica que el Presidente de la AEPD podrá acordar la realización de planes de auditoría
preventiva, referidos a los tratamientos de un sector concreto de actividad y, como resultado de la
auditoría el Presidente podrá dictar la directrices que serán de obligado cumplimiento).”
.

1.9.2. POTESTADES
Los poderes correctivos de las Autoridades de Control y Autoridad de Control Principal están establecidos en el
articulo 58 del RGPD:
a) Sancionar y advertir a todo RT o ET cuando las operaciones de tratamiento previstas incumplan el Reglamento.
b) Ordenar al RT o ET a atender las solicitudes del interesado de acuerdo a sus derechos y con el presente
Reglamento.
c) Ordenar al RT y ET a realizar las operaciones de tratamiento de una manera y tiempo determinada cuando lo
establezcan las disposiciones del presente Reglamento.
d) Ordenar al RT comunicar al interesado las infracciones o violaciones de la seguridad de los datos personales.
e Imponer y prohibir una limitación temporal o definitiva del tratamiento,
.

1.9.2. POTESTADES
Los poderes correctivos de las Autoridades de Control y Autoridad de Control Principal están establecidos en
el articulo 58 del RGPD:
f) Ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los
artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado
datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19.
g) Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con
arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no
cumple con los requisitos para la certificación.
.

1.9.2. POTESTADES
Los poderes correctivos de las Autoridades de Control y Autoridad de Control Principal están establecidos en el
articulo 58 del RGPD:
h) Imponer una multa administrativa de acuerdo al artículo 83, además o en lugar de las medidas mencionadas
en el apartado, según las particularidades de cada caso,
i) Ordenar la suspensión de los flujos de datos hacia un destinatario que se localiza en un tercer país u
organización internacional

1.9.2. POTESTADES
Los Poderes de autorización y consultivos de las Autoridad de Control y Autoridad de Control Principal están
regulados por el Art. 58 del RGPD.
a) Asesorar al RT sobre el procedimiento de consulta previa establecido en el artículo 36.
b) Emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del
Estado miembro o, a otras instituciones y organismos y público ( de acuerdo con el Derecho de los Estados
miembros), relacionados con la protección de los datos personales.
c) Autorizar el tratamiento a que se refiere el artículo 36. 5, si el Derecho del Estado miembro requiere tal
autorización previa.
d) Emitir un dictamen y aprobar proyectos de códigos de conducta de conformidad según el artículo 40.5.
e) Acreditar los organismos de certificación en base al artículo 43.
.

UNIDAD DIDÁCTICA 1.9. EL REGLAMNETO EUROPEO DE PORTECCIÓN DE DATOS Y
1.9.2. POTESTADES
Los Poderes de autorización y consultivos de las Autoridad de Control y Autoridad de Control Principal están
regulados por el Art. 58 del RGPD.
f) Expedir certificaciones y aprobar criterios de certificación con arreglo al artículo 42.5 .
g) Adoptar las cláusulas tipo de protección de datos existentes en el artículo 28, apartado 8, y el artículo 46,
apartado 2, letra d).
h) Autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a).
i) Autorizar los acuerdos administrativos encontradas en el artículo 46, apartado 3, letra b).
j) Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47.
Por ley la autoridad de control debe estar instruida para poner en conocimiento de las autoridades judiciales las
infracciones del presente Reglamento y , si fuese necesario, llevar a cabo acciones judiciales.

1.9.2. POTESTADES
El procedimiento a seguir en caso de una posible vulneración de la normativa se encuentra registrado en el Título
VIII del Ley Orgánica 3/2018 :
Artículo 63. Régimen jurídico
● Cuando un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos, así como en los
que investigue la existencia de una posible infracción.
● Los procedimientos se llevarán a cabo de acuerdo con el RGPD y por las disposiciones reglamentarias dictadas
en la ley orgánica.
● Se asegurarán los derechos de defensa y audiencia de los interesados.

1.9.2. POTESTADES
El procedimiento a seguir en caso de una posible vulneración de la normativa se encuentra registrado en el
Título VIII de la Ley Orgáncia 3/2018 :
Artículo 65. Admisión a trámite de las reclamaciones:
1. Anterior a la iniciación de un procedimiento, se deberá evaluar si es admisible a trámite dicha reclamación.
2. La AEPD inadmitirá las reclamaciones presentadas cuando no se relacionen con cuestiones de protección de
datos de carácter personal, no presenten fundamento, sean abusivas o no se muestren indicios de que se haya
vulnerado los derechos.

1.9.2. POTESTADES
3. Igualmente, la AEPD podrá inadmitir la reclamación cuando el RT o ET, advertido previamente por la Agencia,
hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento de la legislación de
protección de datos y se establezcan las siguientes circunstancias:
a) Si no se ha causado un perjuicio al afectado en el caso de las infracciones leves.
b) Si el derecho del afectado quede plenamente garantizado mediante la medidas aplicadas.

1.9.2. POTESTADES
Título VIII de la Ley Orgánica 3/2018:
4. Si las reclamaciones no se han elaborado con anterioridad ante el DPD designado, la Agencia podrá
remitírselas antes de resolver la admisión a trámite.
5. La decisión sobre la admisión o inadmisión a trámite se notificará en un plazo de 3 meses al afectado. Si, el
plazo sobrepasa el límite y no recibe una notificación por ellos, indica que el procedimiento se ha iniciado
desde que la reclamación entró en AEPD.

1.9.2. POTESTADES
Artículo 66. Determinación del alcance territorial.
Antes de la iniciación del procedimiento, la AEPD examinará su competencia y establecerá el carácter nacional o
transfronterizo, contemplando si asume el procedimiento o lo remite a la Autoridad de Control que considere
competente.
A tener en cuenta:
Las Directrices para determinar la autoridad supervisora principal encargada de un RT o ET , queda
publicado en el Grupo de Trabajo del Artículo 29.

1.9.2. POTESTADES
Título VIII del PLOPD*31 :
Artículo 67. Actuaciones previas de investigación.
1. Antes de comenzar con el procedimiento la AEPD podrá convocar actuaciones de investigación previamente.
2.Dos años será el plazo máximo de tramitación de las actuaciones previas de investigación , dispuesto en el
artículo 69.2:
3. No procederá la apertura de las actuaciones previas de investigación cuando la reclamación verse únicamente
sobre la falta de atención de los derechos.
«Dichos plazos quedarán automáticamente suspendidos cuando deba recabarse información, consulta
o pronunciamiento preceptivo de un órgano de la Unión Europea o de una autoridad de control.»

1.9.2. POTESTADES
Título VIII de la Ley Orgánica 3/2018 :
Artículo 68. Medidas provisionales.
● Convocada unas actuaciones previas de investigación o iniciado un procedimiento, la AEPD podrá acordar
motivadamente las medidas provisionales necesarias para salvaguardar el derecho de la protección de
datos, bloquear de manera cautelar los datos y atender el derecho solicitado de manera obligatoria.

1.9.2. POTESTADES
● Cuando la AEPD considere que la continuación del tratamiento de los datos de carácter personal, su
comunicación o transferencia internacional puede afectar de manera grave al derecho a la protección de
datos de carácter personal, podrá ordenar a los RT o ET el bloqueo de los datos y la finalización de su
tratamiento , o proceder a su inmovilización.

1.9.2. POTESTADES
Título VIII de la Ley Orgánica 3/2018:
● Si la reclamación presentada ante la AEPD se refiriese, a la falta de atención en el plazo de los derechos, la
AEPD podrá acordarse antes de la iniciación del procedimiento, mediante resolución motivada y previa
audiencia del RT, la obligación de atender el derecho solicitado, después se continuará con el
procedimiento que trate el resto de las cuestiones objeto de la reclamación.

1.9.2. POTESTADES
Artículo 69. Plazo de tramitación de los procedimientos.
● Los plazos máximos de tramitación de los procedimientos y notificación de las resoluciones se
establecerán mediante real decreto, no superior a nueve meses.
● Los plazos se suspenderán automáticamente cuando deba adquirir información, consulta o
pronunciamiento preceptivo de un órgano de la Unión Europea autoridad de control.

1.9.3. RÉGIMEN SANCIONADOR
Las sanciones serán individuales, efectivas, proporcionadas y disuasorias establecido en el RGPD artículo 83.1.
La AEPD se encargará de imponerlos (Art.47 de la Ley Orgánica 3/2018 en relación con los Art.57 y Art.58
RGPD). Donde se visualizarán atenuantes y agravantes según: (RGPD 83.2)
● La naturaleza, la gravedad y la duración de la infracción cometida.
● La intencionalidad o negligencia a la hora de cometer la infracción.
● Las medidas tomadas por el responsable para frenar los efectos de la infracción.
● El grado de responsabilidad del RT o ET, sobre las medidas técnicas y organizativas aplicadas a los
tratamientos.

La AEPD se encargará de imponerlos (Art.47 la Ley Orgánica 3/2018 en relación con los Art.57 y Art.58 RGPD).
Donde se visualizarán atenuantes y agravantes según: (RGPD 83.2)
● Las infracciones anteriormente cometidas por el RT o ET.
● El grado de cooperación con la autoridad de control para aplicar medidas y reducir las consecuencias de
sus efectos
● Las categorías de datos afectados con la infracción.

La AEPD se encargará de imponerlos (Art.47 de la Ley Orgánica 3/2018 en relación con los Art.57 y Art.58
RGPD). Donde se visualizarán atenuantes y agravantes según: (RGPD 83.2)
● La forma en que la autoridad de control tuvo conocimiento de la infracción.
● El cumplimiento de las medidas establecidas en el artículo 58.2 del RGPD siempre que estas hayan sido
previamente ordenadas contra el responsable o encargado para relacionarse con el asunto.
● La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
● Demás factores atenuantes o agravantes aplicables al caso en concreto.

De acuerdo con el apartado anterior “factores atenuantes o agravantes aplicables a las circunstancias del caso
concreto”, se han incluido por el legislador de España otros factores(RGPD 76.2):
a. La continuidad de la infracción.
b. La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d. La posibilidad de que la conducta del afectado hubiera podido influir a la comisión de la infracción.
e. La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede
imputarse a la entidad absorbente

El Título IX del Proyecto de Ley Orgánica de Protección de Datos *31 describe las conductas típicas dividiendo
las infracciones entre: muy graves, graves y leves. La categorización de las infracciones se introduce para
determinar los plazos de prescripción, siendo la descripción de las conductas típicas una enumeración de
manera ejemplificativa de algunos de los actos sancionables que deben incluirse dentro de los tipos generales
establecidos en la normativa europea.
La ley orgánica aprovecha la cláusula residual del artículo 83.2 de la norma europea, referida a los factores
agravantes o atenuantes, para especificar que los elementos a tener en cuenta ,se incluirán con los existentes
en el artículo 45.4 y 5 de la Ley Orgánica 15/1999.

El RGPD contempla la posibilidad de que las sanciones por infracciones sean de carácter económico, pero
también de carácter penal.
Los interesados que hayan sufrido daños y perjuicios materiales o inmateriales eran indemnizados por el ET o
ET por los daños causados (RGPD 82.1):
«Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como
consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del
responsable o el Encargado del tratamiento una indemnización por los daños y perjuicios
sufridos»

También (Art.82.6 RGPD):
A las sanciones administrativas se les suman los potenciales daños y perjuicios causado a los interesados en vía
judicial ordinaria.
El RGPD permite a los interesados el derecho a conferir mandato a una entidad, organización o asociación sin
ánimo de lucro, que por medio de su nombre presente una reclamación ante la autoridad de control, ejerza el
derecho a la tutela judicial en nombre de los interesados o, si así lo establece el Derecho del Estado miembro,
podrá atenerse al derecho a recibir una indemnización por medio del mandato decidido (considerando 142 RGPD
Art. 80)
«Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los
tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo
79, apartado 2»

También (Art.82.6 RGPD):
El RGPD utiliza como elemento de persuasión las multas administrativas de hasta 20.000.000 €, o
equivalente al 2% o al 4% del volumen de negocio anual global del ejercicio financiero anterior (el mayor
importe) (RGPD 83 Aptdo. 4 y 5).
No existe en el Reglamento una clasificación clara de sobre las infracciones según el nivel : leves, graves y
muy graves, sino que indica un criterio general en su considerando 148:
“con el fin de reforzar la aplicación de las normas, cualquier infracción de este debe ser
castigada con sanciones.”

El artículo 70 de la Ley Orgánica 3/2018, “Sujetos responsables”, establecen:
Los sujetos al régimen sancionador:
● Los encargados de los tratamientos.
● Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio
de la Unión Europea.
● Las entidades de certificación.
● Las entidades acreditadas de supervisión de los códigos de conducta.
● No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este
título.
● Los responsables de los tratamientos.

UNIDAD DIDÁCTICA 1.9. EL REGLAMENTO EUROPEO DE PORTECCIÓN DE DATOS Y
Infracciones
Artículo 72 de la Ley Orgánica 3/2018. Infracciones consideradas muy graves:
1. Multas administrativas de 20 000 000 € como máximo o, de una empresa, una cuantía equivalente al 4 %
como máximo del volumen de negocio total anual global del ejercicio financiero anterior(mayor importe). La
preinscripción para las infracciones será de 3 años. Se consideran infracciones muy grabes:
a) El tratamiento de datos personales vulnerando los principios y garantías.
b) El tratamiento de datos personales sin que se cumplan con alguna de las condiciones de licitud del
tratamiento.
c) El incumplimiento de los requisitos exigidos para la validez del consentimiento.
d) La utilización de los datos para una finalidad distinta a la que se estableció, sin contar con el consentimiento
del afectado o con una base

Infracciones
Artículo 72. Infracciones consideradas muy graves:
1. Se consideran infracciones muy graves:
e) El tratamiento de datos personales de las categorías especiales, sin que concurra alguna de las circunstancias
previstas.
f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad fuera
de los supuestos estipulados.
g) El tratamiento de datos de carácter personal relacionados con infracciones y sanciones administrativas fuera
de los supuestos estipulados.
h) La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.
.

Infracciones
i)La vulneración del deber de confidencialidad.
j) La exigencia del pago de un canon para facilitar al afectado la información, o por atender las solicitudes de
ejercicio de derechos de los afectados.
k) El impedimento, la obstaculización o la no atención reiterada del ejercicio de los derechos.
l) La transferencia internacional de datos de carácter personal a un destinatario que se encuentre en un tercer país
o a una organización internacional, que no presente las garantías, requisitos o excepciones establecidos por
Reglamento.

Infracciones
m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente.
n) El incumplimiento de la obligación de bloqueo de los datos.
ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales,
información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de
datos para el ejercicio de sus poderes de investigación.
o) La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos
competente

Infracciones
Artículo 73. Infracciones consideradas graves:
Se sancionarán con multas administrativas de 9 000 000 € como máximo , en caso de una empresa, equivalente
al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, (mayor
importe), cuyo periodo de prescripción será de 2 años. Las infracciones graves son:
a) El tratamiento de datos de carácter personal de un menor de edad sin su consentimiento, cuando tenga
capacidad para ello, o el del titular de su patria potestad o tutela.
b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por
un menor de edad o por el titular de su patria potestad o tutela sobre el mismo.

Infracciones
Artículo 73. Ley Orgánica 3/2018 Infracciones consideradas graves:
c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación,
supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se necesita
la identificación del afectado y pueda ejercerlo, haya facilitado información adicional que permita su
identificación.
d) La falta de adopción de medidas técnicas y organizativas apropiadas para aplicar de forma los principios de
protección de datos desde el diseño y por defecto.
e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, sólo se hará uso
de los datos personales necesarios para cada uno de los fines específicos del tratamiento.

Infracciones
f) La falta de adopción de aquellas medidas técnicas y organizativas apropiadas para garantizar un nivel de
seguridad adecuado al riesgo del tratamiento.
g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y
organizativas que se hubiesen implantado.
h) El incumplimiento de elegir obligatoriamente un RT o ET no localizado en el territorio de la Unión Europea.
i) La falta de atención por el representante en la Unión del RT o ET de las solicitudes efectuadas por la autoridad
de protección de datos o por los afectados.

Infracciones
j) La contratación por el RT de un ET que no garantice las medidas técnicas y organizativas apropiadas.
k) Encargar el tratamiento de datos a un tercero sin realizar anteriormente un contrato u otro acto jurídico
escrito con el contenido exigido.
l) La contratación por un ET de otros encargados sin contar con la autorización previa del responsable, o sin
haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
m) La infracción por un ET de lo dispuesto en el Reglamento (UE) 2016/679 y la ley orgánica, al determinar los
fines y los medios del tratamiento.

Infracciones
n) No disponer del registro de actividades de tratamiento.
ñ) No poner a disposición de la autoridad de protección de datos solicitado, el registro de actividades de
tratamiento.
o) No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos
en el artículo 72 (faltas muy graves).
p) El tratamiento de datos de carácter personal sin llevar a cabo una previa valoración de los elementos.
q) El incumplimiento del deber del ET de notificar al RT las violaciones de seguridad de las que tuviera
conocimiento.

Infracciones
r) El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de
seguridad de los datos personales.
s) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos, si el
RT hubiera sido requerido por la autoridad de protección de datos para llevar a cabo la notificación.
t) El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las
operaciones de tratamiento en la protección de datos personales en los supuestos exigidos.
v) No cumplir con la obligación de designar un DPD cuando sea exigible su nombramiento

Infracciones
w) No posibilitar la efectiva participación del DPD en todas las cuestiones relativas a la protección de datos
personales, no respaldarlo o interferir en el desempeño de sus funciones.
x) La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una
entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera finalizado.
y) Obtener la acreditación como organismo de certificación presentando información inexacta sobre el
cumplimiento de los requisitos exigidos.
z) El desempeño de funciones reserva a los organismos de certificación, sin haber sido debidamente acreditado.
aa) El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está
sometido.

Infracciones
ab) El desempeño de funciones que el artículo 41 del Reglamento (UE) 2016/679 reserva a los organismos de
supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de
datos competente.
ac) La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de
las medidas que resulten oportunas en caso que se hubiera producido una infracción del código.

Infracciones
Artículo 74. Infracciones consideradas leves.
● No se ha establecido un importe de referencia de las infracciones leves , el RGPD en su artículo
83.9) como se muestra a continuación:

Infracciones
● No se ha establecido un importe de referencia de las infracciones leves , el RGPD en su artículo 83.9, como
se muestra a continuación:
Prescribirán al año las infracciones de carácter formal
“Cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el
presente artículo podrá aplicarse de tal modo que la incoación de la multa corresponda a la autoridad de
control competente y su imposición a los tribunales nacionales competentes”.

Infracciones
a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado
por no facilitar toda la información exigida.
b) La exigencia del pago de un canon para facilitar al afectado la información exigida, o por atender las
solicitudes de ejercicio de derechos de los afectados, cuando así lo permita su artículo 12.5, si su cuantía
excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.
c) No atender las solicitudes de ejercicio de los derechos, salvo que resultase de aplicación lo dispuesto en el
artículo 73.1 k) de esta ley orgánica.

Infracciones
d) No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de
los datos en tratamientos en los que no se requiere la identificación del afectado, cuando éste, para el ejercicio
de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de
aplicación lo dispuesto en el artículo 73 c) de esta ley orgánica.
e) El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o
la limitación del tratamiento.
f) El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios
a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha
limitado el tratamiento.

Infracciones
g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera
exigible conforme al artículo 3 de esta ley orgánica.
h) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones,
funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con
inexactitud en su determinación.
i)No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables
del tratamiento.
j) La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del
tratamiento acerca de la posible infracción por una instrucción recibida de éste.

Infracciones
k) El incumplimiento por encargado o subencargado de las estipulaciones impuestas en el contrato o acto
jurídico que regula el tratamiento o las instrucciones del RT, salvo que esté legalmente obligado a ello según el
Reglamento (UE) 2016/679 y la ley orgánica o en los supuestos en que fuese necesario para evitar la infracción
de la legislación en materia de protección de datos y se hubiese advertido de ello al RT o ET.
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida.
m) La notificación incompleta o defectuosa a la autoridad de protección de datos de la información relacionada
con una violación de seguridad de los datos personales.

Infracciones
n) El incumplimiento de la obligación de documentación de cualquier violación de seguridad.
ñ) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que
entrañe un alto riesgo para los derechos y libertades de los afectados, salvo que resulte de aplicación lo previsto
en el artículo 73 s) de la ley orgánica.
o) Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el
responsable del tratamiento deba elevarle una consulta previa.
p) No publicar los datos de contacto del DPD, o no comunicarlos a la autoridad de protección de datos.

Infracciones
q) El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de
protección de datos de la expedición, renovación o retirada de una certificación.
r) El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la
obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas
en caso de infracción del código.

Infracciones
El Artículo 75 del Proyecto de Ley de Protección de Datos *31 de España. Interrupción de la prescripción.
“Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento
sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado
durante más de seis meses por causas no imputables al presunto infractor.”

Infracciones
Artículo 78. Prescripción de las sanciones.
Los plazos establecidos por el Reglamento (UE) 2016/679 son;
● Las sanciones por importe inferior a 40.000 € ,un año.
● Las sanciones por importe comprendido entre 40.000 y 300.000€,dos años.
● Las sanciones por un importe superior a 300.000 €,tres años.
La prescripción puede interrumpirse por: la iniciación, conocimiento del interesado, el procedimiento de
ejecución, y si está detenido el proceso durante más de 6 meses por causa no imputable volverá a transcurrir
el plazo.

Infracciones
Disposición adicional tercera del PLOPD *31se regirá por el computo de plazos de las siguientes reglas:
a) Cuando los plazos se señalen por días hábiles, excluyéndose los sábados, domingos y festivos.
b) Si el plazo se fija en semanas, finalizará el mismo día de la semana en que se produjo el hecho de su iniciación
en la semana de vencimiento.
c) Si el plazo se fija en meses o años, finalizará el mismo día en que se produjo el hecho de su iniciación en el mes
o el año de vencimiento. Si en el mes de vencimiento no hubiera día equivalente a aquel en que comienza el
cómputo, el plazo expira el último día del mes.
d) Cuando el último día del plazo sea inhábil, será prorrogado al primer día siguiente hábil.

1.9.4. COMITÉ EUROPEO DE PROTECCIÓN DE DATOS
El comité Europeo de Protección de Datos fue creado por el RGPS regulado en el Articulo 68 del RGPD.
En el artículo 68.1 se especifica:
El Comité Europeo de Protección de Datos está formado por los representantes de cada una de las Autoridades
de Control de cada estado miembro y por el Supervisor Europeo de Protección de Datos; y deberá sustituir al
Grupo de protección de las personas en cuanto al tratamiento de datos personales creado por la Directiva
95/46/CE, (GT29) como aparece en el considerando 139 del RGPD :
"se crea el Comité Europeo de Protección de Datos (Comité), como organismos de la Unión, que
gozará de personalidad jurídica”

Características del Comité Europeo de Protección de Datos se dividirán en 4 y son las siguientes:
1.Gozará personalidad jurídica propia.
2.Estará compuesto por:
● Un presidente como representante principal, designado de entre los miembros de la Comisión y dos
vicepresidentes más . La duración del mandato del presidente y vicepresidentes será de 5 años , al
igual que una única renovación

Características DEL Comité Europeo de Protección de Datos:
2.Estará compuesto por:
● Entre las Funciones del presidente ( RGPD 64) se encuentran: establecer reuniones del Comité, notificar
las decisiones adoptadas por el Comité a la autoridad de control principal o autoridades interesadas y
verificar que se llevarán acabo las funciones asignadas por el RGPD
● El director de una autoridad de control de cada Estado miembro,
● El Supervisor Europeo de Protección de Datos, responsable de la Secretaría del Comité.

Características DEL Comité Europeo de Protección de Datos:
3.Indendencia total, solo atiende instrucción de acuerdo a las funciones y el ejercicio de sus competencias.
4. Contará con una secretaría que ejercerá sus funciones bajo las instrucciones del presidente del Comité, cuyas
funciones esenciales serán proporcionar apoyo analítico, administrativo y logístico al Comité, y será responsable
de:
● La comunicación entre los miembros del Comité, su presidente y la Comisión; y con otras instituciones y con
el público.
● La utilización de medios electrónicos para la comunicación interna y externa.
● La traducción de la información necesaria.

Características DEL Comité Europeo de Protección de
Datos:
4. La secretaria de:
● Preparar y seguir las reuniones del Comité.
● Preparar, redactar y publicar por medio de
dictámenes, las decisiones establecidas para
solucionar las diferencias entre autoridades.

Características del Comité Europeo de Protección de Datos:
4. La secretaria será responsable de:
● Preparar y seguir las reuniones del Comité.
● Preparar, redactar y publicar por medio de dictámenes, las decisiones establecidas para solucionar las
diferencias entre autoridades.
En el artículo 70.1 del RGPD especifica las funciones del comité, de donde se destaca:
● La preparación y el seguimiento de las reuniones del Comité.
● La preparación, redacción y publicación de dictámenes, decisiones relativas a solución de diferencias entre
autoridades.

1.9.5. PROCEDIMIENTOS SEGUIDOS POR LA AEPD
Los procedimientos se inician por reclamación o, por el carácter nacional o transfronterizo de la reclamación
donde la AEPD puede iniciar el procedimiento en base a su competencia.
Estas reclamaciones únicamente se realizarán en relación a la materia de protección de datos personales, y no
se aceptarán si no se relaciona con dicho tema, ni están fundamentadas ni son concretas , es decir que sean
abusivas.
Si el RT o el ET ha adoptado las medidas correctivas para poner fin al posible incumplimiento, no se llevará a
cabo el procedimiento, sino ha causado prejuicio al afectado y este último garantiza de su derecho.
La AEPD antes de indicar el procedimiento, puede investigar cuáles son las bases que justifican su
procedimiento.

1.9.5. PROCEDIMIENTOS SEGUIDOS POR LA AEPD
AEPD, puede establecer unas medidas provisionales previamente justificadas, al comienzo del procedimiento,
para preservar y salvaguardad los derechos y libertades de los afectados. Las medidas provisionales tendrán un
plazo no superior a tres meses (considerando 137 RGPD 66)
El bloqueo cautelar de los datos es una medida provisional que obliga a atender el derecho solicitado , y finalizar
o inmovilizar el tratamiento.

1.9.6. TUTELA JURISDICCIONAL
La tutela jurisdiccional se encuentra en el articulo 77 del RGPD.
Cualquier persona jurídica o física tiene el derecho de llevar a cabo una reclamación ante la Autoridad de
Control , que preferentemente debe corresponder al Estado miembro donde resida o trabaje habitualmente; o
en el lugar donde se produjo la infracción.
La persona física o jurídica tiene el Derecho a la tutela judicial efectiva contra la autoridad de control (Art. 78
del RGPD).
Si la autoridad de control no lleva a cabo la reclamación o no informa al interesado en el plazo estipulado de 3
meses desde su presentación, el interesado tendrá derecho a la tutela judicial.

El derecho a la tutela judicial efectiva contra un RT o ET se hará referencia al 79 del RGPD:
● El interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos han sido
transgredidos como consecuencia de un tratamiento de sus datos personales, según lo establecido en el
Reglamento. Sin prejuicio de los recursos administrativos o extrajudiciales disponibles, incluido el ejercicio
de su derecho a presentar una reclamación ante una autoridad de control
● Las acciones deberán realizarse ante los tribunales del Estado miembro en el que el responsable o
encargado tenga un establecimiento. Alternativamente, tales acciones podrán ejercitarse ante los
tribunales del Estado miembro donde el interesado tenga su residencia habitual.
● Si el responsable o el encargado es una autoridad pública de un Estado miembro actuará en ejercicio de
sus poderes públicos.

Los representación de los interesados se regulan mediante el artículo 80 del RGPD.
Un interesado podrá ejercer su derecho de ser representado por una organización, entidad o asociación sin
ánimo de lucro para presentar y ejercer en nombre del interesado una reclamación ante una autoridad de
control, tutela judicial efectiva contra una autoridad control o tutela judicial efectiva contra un RT o ET
Aspectos a tener en cuenta:
El derecho a la tutela judicial efectiva contra un RT o ET, según el RGPD, no permite ejercitar la
acción en el lugar de trabajo , pero si, puede ejercitar la acción en su lugar de trabajo en la
reclamación ante la Autoridad de Control

1.9.7. DERECHO DE INDEMNIZACIÓN
El derecho de indemnización está regulado por los articulo 80, 82 y considerando 142 del RGPD
El derecho de indemnización y responsabilidad (RGPD 82) establece:
● Los afectados tendrán derecho a recibir una indemnización del RT o ET, por los daños y prejuicios
materiales o inmateriales sufridos como consecuencia de un incumplimiento o infracción del Reglamento.
● Si el responsable participa en la operación de tratamiento deberá responder de los daños y perjuicios
originados.
 Recuerda que:
Solamente responderá de los daños y perjuicios causados, un encargado, cuando no cumpla con las
obligaciones del presente Reglamento o haya actuado al margen o en contra de las instrucciones
legales del responsable.

El derecho de indemnización está regulado por los articulo 80, 82 y considerando 142 del RGPD
El derecho de indemnización y responsabilidad (RGPD 82) establece:
● Si han participado en la misma operación de tratamiento más de un RT o ET; o un responsable y un
encargado, han sido responsables del daño o prejuicio originado, cada responsable o encargado será el
responsable de los daños y prejuicios, de tal manera que quedaría garantizada una indemnización
efectiva del afectado.
 Recuerda que:
Las sanciones administrativas sumaran los potenciales daños y perjuicios reclamados por los
interesados en vía judicial ordinaria.

EL derecho de indemnización está regulado por los articulo 80, 82 y considerando 142 del RGPD
El derecho de indemnización y responsabilidad (RGPD 82) establece respecto al ámbito jurisdiccional:
«Las acciones contra un responsable o Encargado del tratamiento deberán ejercitarse ante los
tribunales del Estado miembro en el que el responsable o encargado tenga un establecimiento.
Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que
el interesado tenga su residencia habitual»

La representación de los interesados queda referido en el artículo 80 y considerando 142 RGPD:
«1. El interesado que considere vulnerados los derechos reconocidos por el presente Reglamento debe tener
derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro…
para que presente en su nombre la reclamación, y ejerza en su nombre…
el derecho a ser indemnizado …
2. Cualquier entidad, organización o asociación mencionada en el apartado 1 tenga, con independencia del
mandato del interesado, derecho a presentar en ese Estado miembro una reclamación ante la autoridad de
control que sea competente.»

Modulo I parte 10 Curso Protección de Datos

Recomendados

Recomendados

Más contenido relacionado

Similar a Modulo I parte 10 Curso Protección de Datos

Similar a Modulo I parte 10 Curso Protección de Datos (20)

Más de ANTONIO GARCÍA HERRÁIZ

Más de ANTONIO GARCÍA HERRÁIZ (20)

Último

Último (20)

Modulo I parte 10 Curso Protección de Datos