GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

ARTÍCULO 58 DEL RGPD

​​Consecuencias de la violación del RGPD

Si una empresa infringe el Reglamento general de protección de datos de la UE, también denominado RGPD, corre el riesgo de sufrir graves consecuencias financieras. No solo por las posibles multas impuestas por la autoridad de control o los daños y perjuicios que deben pagarse a los interesados perjudicados por la violación. 

Principio de rendición de cuentas

Las empresas tienen la obligación de demostrar que cumplen las normas del RGPD, de conformidad con el principio de rendición de cuentas. Este principio está regulado en el artículo 5, apartado 2, del RGPD. El principio de rendición de cuentas es uno de los siete (7) principios básicos de protección de datos del RGPD. En otras palabras, no es un sujeto de datos o una autoridad de protección de datos la que necesita demostrar que la empresa está incumpliendo el RGPD. Por el contrario, es la empresa la que debe demostrar que la empresa cumple con RGPD. 

Efecto en la marca

Las infracciones del RGPD también pueden afectar negativamente a la marca de la empresa si resulta que esta no ha seguido las normas. Esto, a su vez, puede llevar a consecuencias financieras, como la pérdida de ingresos y relaciones comerciales.

What breaches of the GDPR can lead to an administrative fine?

Sanción de varios cientos de millones

Una empresa tuvo que pagar más de 300 millones de euros en sanciones por sus infracciones del RGPD. Así lo decidió la Autoridad Irlandesa de Protección de Datos, a raíz de la decisión del Comité Europeo de Protección de Datos (CEPD). Por ejemplo, la información relativa al tratamiento no era lo suficientemente clara. Tenga en cuenta que los requisitos de claridad son mayores cuando los interesados son niños. 

Ejemplos de diferentes pasos que las empresas pueden tomar para demostrar el cumplimiento de RGPD

La compañía necesita tomar varias medidas diferentes, para poder demostrar que la compañía cumple con las reglas de RGPD. Por ejemplo, esto se puede hacer mediante:

A

Adoptar las medidas de seguridad organizativas y técnicas adecuadas para proteger los datos personales tratados. Las medidas adoptadas deben documentarse por escrito y actualizarse cuando sea necesario.

B

Establecer e implementar procedimientos internos escritos para cumplir con los derechos de los interesados.

C

Establecer y mantener actualizados sus Registros de Actividades de Tratamiento (ROPA) de conformidad con el artículo 30 del RGPD.

Además de estos ejemplos, hay muchas más medidas que las empresas pueden y deben implementar para cumplir con sus responsabilidades bajo el principio de responsabilidad, así como para demostrar el cumplimiento de otras partes del RGPD. 

A continuación puede leer sobre ejemplos de consecuencias en caso de violación del RGPD

Measures that companies need to take to comply with GDPR

Reprimenda

Si una autoridad de control considera que la infracción es menos grave, puede emitir una amonestación. Es un tipo de advertencia o comentario por escrito, y es una pena más leve que una multa. Por otro lado, se publican las reprimendas emitidas. Por lo tanto, puede tener un impacto negativo en la marca de la empresa.

Sensitive personal data according to GDPR

Multa administrativa

Una multa administrativa es una multa que las autoridades de control pueden imponer a las empresas en caso de incumplimiento del RGPD. En caso de infracción grave del RGPD, la multa administrativa podrá ascender a un máximo de 20 millones EUR. Alternativamente, el 4% de la facturación anual total de las empresas en todo el mundo (la más alta de las opciones) del ejercicio financiero anterior. Tenga en cuenta que esta no es una cantidad disponible para los interesados, ya que la empresa debe pagar esta multa al estado.

Subjektivt integritetskänsliga personuppgifter

Daños y perjuicios

Los interesados pueden reclamar daños y perjuicios en caso de violación de datos personales. Sin embargo, el interesado debe reclamar los daños y perjuicios por separado de la supervisión llevada a cabo por una autoridad de control. Por ejemplo, interponiendo una demanda por daños y perjuicios contra la empresa ante un tribunal general. Además, puede ser posible obtener daños y perjuicios por un temor justificado si existe el riesgo de que los datos personales puedan utilizarse indebidamente en el futuro. Así lo declaró el Tribunal de Justicia de la Unión Europea (TJUE). Fue el Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria el que solicitó una resolución.

What is the definition of anonymised data?

Sanciones

También es común que los acuerdos contengan cláusulas de penalización. A menudo significan que la parte que rompe el acuerdo debe pagar una cantidad predeterminada de multa a la otra parte en caso de incumplimiento del acuerdo. Este tipo de condición comercial a menudo ocurre en acuerdos entre empresas. Por ejemplo, un acuerdo de procesamiento de datos celebrado entre un controlador de datos y un procesador de datos puede contener una cláusula penal que se aplica en caso de incumplimiento del contrato por una de las partes.

Restringir o prohibir el procesamiento

Una autoridad de control tiene derecho a imponer una limitación temporal o definitiva a un tratamiento específico de datos personales. Incluida la prohibición del tratamiento.

Measures that companies need to take to comply with GDPR

Ordenar a la empresa que cumpla con RGPD dentro de un cierto período de tiempo

Si una empresa viola el RGPD, la autoridad de control puede ordenar a la empresa que se asegure de que el tratamiento se lleva a cabo de conformidad con las disposiciones del RGPD, y si es necesario de una manera específica y dentro de un período de tiempo específico.

What is the definition of anonymised data?

Retirar la certificación

En caso de incumplimiento del RGPD, la autoridad de control podrá, en su caso, retirar una certificación u ordenar al organismo de certificación que revoque una certificación expedida a una empresa si no se cumplen o han dejado de cumplirse los requisitos de certificación.

Los niños son especialmente dignos de protección

Los niños merecen protección adicional, tanto bajo RGPD como bajo varias otras leyes. En virtud del RGPD, está permitido tratar los datos personales de los niños en determinados casos cuando dan su consentimiento. Por ejemplo, las redes sociales. El límite de edad para que los niños den su consentimiento a los servicios de la sociedad de la información, como las redes sociales, es de 16 años. Por otra parte, cada Estado miembro tiene derecho a reducir la edad a través de su legislación nacional. Por ejemplo, Suecia ha optado por reducir la edad a 13 años. 

MÁS INFORMACIÓN SOBRE RGPD

Categorías y tipos de datos personales según RGPD

Cuando es posible vincular información a una persona física, esa información se considera datos personales de acuerdo con RGPD. Por ejemplo, nombres, números de seguro social e imágenes de una persona. Estos son ejemplos de datos personales de carácter objetivo. Además, los datos personales pueden tener un carácter subjetivo. Por ejemplo, un diagnóstico de un médico. En el RGPD, hay cuatro grupos de datos personales sensibles a la privacidad que deben procesarse con mayor seguridad. Categorías especiales de datos personales enumeradas en el artículo 9 del RGPD (también conocidos como «datos personales sensibles»). Como los datos relativos a la salud, las opiniones políticas, las creencias religiosas o filosóficas y la orientación sexual de una persona, constituyen uno de estos grupos.

¿Quieres saber más?

Leer más
Scroll al inicio