Última revisión
datos
920 - ¿Qué tipo de infracciones se consideran como leves en el tratamiento de los datos personales?
Relacionados:
Vademecum: datos
Fecha última revisión: 30/09/2024
El tratamiento de datos personales está regulado por la LOPDGDD y el RGPD, los cuales establecen una serie de infracciones consideradas leves, entre ellas el incumplimiento del principio de transparencia de la información o el derecho de información del afectado, la exigencia del pago de un canon para facilitar al afectado la información, no atender las solicitudes de ejercicio de los derechos de los afectados entre otras. Estas infracciones prescriben al año.
En el artículo 74 de la LOPDGDD, se establece lo siguiente:
1. Se regulan las infracciones consideradas leves.
2. Estas infracciones prescriben al año.
3. Se encajan como leves las infracciones de carácter meramente formal de:
- El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 RGPD relativa a datos personales y su obtención.
- La exigencia del pago de un canon para facilitar al afectado la información citada en el párrafo anterior o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del RGPD (derecho de acceso del interesado, rectificación y supresión, limitación, portabilidad y derecho de oposición y decisiones individuales automatizas), cuando así lo permita su artículo 12, apartado 5, del RGPD, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.
- No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, salvo que resultase de aplicación lo dispuesto en el artículo 72, apartado 1, letra k), de la LOPDGDD (para su calificación como infracción muy grave).
- No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73, letra c), de la LOPDGDD (que lo califica como infracción grave).
- El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo 19 del RGPD.
- El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
- El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de la LOPDGDD (con la excepción de que fuese prohibido por el causante).
- La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del RGPD o la inexactitud en la determinación de las mismas.
- No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26, apartado 2, del RGPD.
- La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones del RGPD o de la LOPDGDD, conforme a lo exigido por el artículo 28, apartado 3, letra a), del RGPD.
- El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme al RGPD y a la LOPDGDD, o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.
- Disponer de un registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del RGPD.
- La notificación incompleta, tardía o defectuosa, por parte del responsable del tratamiento, a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del RGPD (que establece que se hará sin dilación indebida, a más tardar 72 horas después de tener constancia de la violación de seguridad).
- El incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33, apartado 5, del RGPD.
- El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del RGPD, salvo que resulte de aplicación lo previsto en el artículo 73, letra s), de la LOPDGDD (que puede calificarlo como infracción grave).
- Facilitar información inexacta a la autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artículo 36 del RGPD.
- No publicar los datos de contacto del DPD, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD.
- El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación, conforme a lo exigido por los apartados 1 y 5 del artículo 43 del RGPD.
- El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código, conforme exige el artículo 41, apartado 4, del RGPD.
CUESTIÓN
¿Es posible que la AEPD inadmita una reclamación a pesar de que tuviera conocimiento de la comisión de una infracción leve?
En la valoración de las infracciones leves, el artículo 65, apartado 3, de la LOPDGDD dispone que la AEPD puede inadmitir una reclamación que le sea planteada cuando el responsable o encargado del tratamiento, previa advertencia formulada por tal autoridad, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:
- Que no se haya causado perjuicio al afectado en el caso de las infracciones previstas en el artículo 74 de la LOPDGDD.
- Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
A TENER EN CUENTA. La LOPDGDD dispone en su artículo 77, apartado 2, que cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del RGPD. (Este apartado se ha visto modificado por la publicación de la