Sanciones del Canal de Denuncias y RGPD/LOPDGDD

En cuanto a la normativa de la que deriva el canal de denuncias nos encontramos con la Directiva 2019/1937 que obliga a una serie de entidades a contar con dicha herramienta, debiendo de cumplir estas con un plazo de implementación que finaliza en diciembre del 2021.

¿Qué entidades se ven afectadas?

  • Empresas del sector privado con más de 50 trabajadores.

  • Todas las entidades pertenecientes al sector público.

  • Entidades que no cumplan los requisitos anteriores, pero les sean de aplicación leyes específicas como por ejemplo la Ley de Prevención de Blanqueo de Capitales (LPBC).

Características que debe cumplir el Canal de Denuncias

  • Seguridad: La entidad ha de asegurarse de que este cumpla con las certificaciones en la materia y comprobar las posibles vulnerabilidades de forma regular.

  • Facilidad: Ha de ser un mecanismo fácil y rápido de usar, de tal manera se incentivará mucho más su utilización por parte de los interesados.

  • Confianza: Al igual que el punto anterior, el hecho de que se salvaguarde la identidad del “whistleblower” o denunciante ante posibles represalias conseguirá que el canal se utilice por mayor parte de interesados.

  • Legal: Ha de adecuarse a las exigencias normativas tanto de la Directiva 2019/1937 como de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

  • Sanciones: La no implementación del canal de denuncias sería considerada como una infracción leve de la Ley y sancionado con hasta 60.000 €

Canal de denuncias en materia de protección de datos

Conforme al Artículo 24 LOPDGDD sobre los Sistemas de información de denuncias internas:

  1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.

  2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan. Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

  3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.

  4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica. Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.

Las sanciones por no cumplir la ley de protección de datos pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de facturación anual. Las infracciones se dividen en leves, graves y muy graves.

Sanciones para infracciones Leves: multa de hasta 40.000 €

La Ley Orgánica 3/2018 considera como infracciones LOPD leves:

  • Incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información que exigen los artículos 13 y 14 del RGPD.

  • Pedir un pago al interesado para poder acceder a la información que exigen los artículos 13 y 14 del RGPD o para atender las solicitudes de ejercicio de derechos contempladas en los artículos 15 a 22 del citado Reglamento.

  • No atender las solicitudes de los ejercicios de los derechos que se establecen en los artículos 15 a 22 del RGPD.

  • No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.

  • No cumplir con la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento que exige el artículo 19 del RGPD

  • No cumplir con la obligación de informar al afectado de los destinatarios a los que se haya comunicado la rectificación, supresión o limitación del tratamiento.

  • No cumplir con la supresión de datos referidos a una persona fallecida cuando así lo exige el artículo 3 de la LOPDGDD.

  • Incumplimiento de las obligaciones de los responsables y encargados del tratamiento.

  • Que el registro de actividades de tratamiento no contenga toda la información que exige el artículo 30 del RGPD.

  • Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.

  • Dar información inexacta a la AEPD en los supuestos en los que el responsable del tratamiento debe elevar una consulta previa, de acuerdo al artículo 36 del RGPD.

  • No publicar los datos de contacto del delegado de protección de datos o comunicarlos a la AEPD.

  • Incumplimiento de las obligaciones de los organismos de certificación de informar a la AEPD de la expedición, renovación o retirada de una certificación.

  • Incumplimiento de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a la AEPD de las medidas que resulten oportunas en caso de infracción del código.

Sanciones Graves: multa de 40.001 € a 300.000 €

Se pueden considerar como graves:

  • Tratar datos de menores de edad sin recabar su consentimiento, cuando tenga edad para ello, o de sus padres o tutores.

  • No acreditar esfuerzos razonables para verificar la validez del consentimiento del menor o de sus padres o tutores.

  • No atender de forma reiterada u obstaculizar la solicitud de los derechos de acceso, rectificación, supresión, limitación del tratamiento o portabilidad de los datos en los tratamientos en los que no se requiere la identificación del afectado.

  • No adoptar las medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño.

  • No adoptar las medidas técnicas y organizativas que garanticen el tratamiento de los datos personales necesarios para cada uno de los fines específicos del tratamiento.

  • No adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.

  • Brechas de seguridad ocurridas por no haber adoptado las medidas adecuadas de seguridad.

  • No designar un representante del responsable o encargado del tratamiento no establecido en territorio de la UE, de acuerdo al artículo 27 del RGPD.

  • No atender las solicitudes de las agencias de protección de datos.

  • Contratar un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas necesarias, de acuerdo al Capítulo IV del RGPD.

  • Encargar el tratamiento de datos a un tercero sin el debido contrato.

  • Contratación por parte del encargado del tratamiento de otros encargados sin contar con la autorización del responsable.

  • Infracción de lo dispuesto en el artículo 28.10 del RGPD respeto a la determinación de los fines y los medios de tratamiento por parte del encargado.

  • No disponer del registro de actividades.

  • No cooperar con la AEPD u otras autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de la LOPDGDD.

  • El tratamiento de datos personales sin cumplir con lo recogido en el artículo 28 de la LOPDGDD.

  • Incumplir el deber de informar de las violaciones de seguridad por parte del encargado del tratamiento al responsable.

  • No informar de las violaciones de seguridad a la AEPD, según el artículo 33 del RGPD.

  • No informar al afectado de una violación de seguridad de datos personales.

  • Llevar a cabo el tratamiento de datos sin realizar una evaluación de impacto cuando esta es exigible.

  • Tratar datos personales sin haber realizado consulta previa a la AEPD cuando esta sea obligatoria.

  • No designar a un delegado de protección de datos cuando sea obligatorio.

  • No permitir que el delegado de protección de datos pueda cumplir con sus funciones.

  • Utilizar sellos o certificaciones en materia de protección de datos que no hayan sido otorgados por una entidad de certificación acreditada o estén expirados.

  • Incumplimientos de los organismos de certificación recogidos en el artículo 73, letras z, aa, ab y ac de la LOPDGDD.

Sanciones Muy Graves: multa entre 300.001 € a 20.000.000 € o el 4% de la facturación

Dentro de las infracciones muy graves están:

  • Tratamiento de datos personales que vulneren las garantías y principios establecidos en el artículo 5 del RGPD.

  • Trata datos personales sin la legitimación establecida en el artículo 6 del RGPD.

  • No cumplir con los requisitos exigidos en el artículo 7 del RGPD para la validez del consentimiento.

  • Utilizar los datos personales recogidos con una finalidad diferente para la que se dio el consentimiento.

  • Trata datos personales de las categorías recogidas en el artículo 9 del RGPD sin que concurra alguna de las circunstancias previstas de dicho artículo y del artículo 9 de la LOPDGDD.

  • Tratar datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos del artículo 10 del RGPD y el artículo 10 de la LOPDGDD.

  • Tratar datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos establecidos en el artículo 27 de la LOPDGDD.

  • La omisión del deber de informar al afectado sobre el tratamiento de sus datos personales.

  • Vulnerar el deber de confidencialidad.

  • Exigir el pago de un canon para facilitar la información al afectado a la que se refieren los artículos 13 y 14 del RGPD.

  • No atender u obstaculizar la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.

  • Transferencias internacionales de datos personales sin las debidas garantías.

  • Incumplir las resoluciones dictadas por la AEPD.

  • Incumplir con la obligación del bloqueo de datos.

  • No facilitar el acceso a la AEPD a los datos personales, información, locales, equipos y medios de tratamiento cuando así sea requerido durante una investigación.

  • Obstruir una inspección de la AEPD.

  • Reversión deliberada de un procedimiento de anonimización para que se pueda reindentificar a los afectados.