El incumplimiento de estas leyes es un tema muy serio. Si una empresa recibe la sanción máxima por incumplimiento de ambas leyes, de manera simultanea, debería afrontar una multa de un millón doscientos mil euros. Esta sanción es de una envergadura suficiente para que, en caso de recibirla, muchas PYMEs se puedan ver obligadas a cerrar o que un autónomo tenga que responder con todo su patrimonio para poder hacerla frente.

Pero no sólo en el peor de los casos las sanción puede suponer un desembolso notable para las arcas del infractor.

A continuación se dan más detalles de la cuantía de las sanciones en caso de incumplimiento de ambas leyes, LOPD y LSSI.

Sanciones de la LOPD

[important]Esta información recoge las modificaciones introducidas en la Disposición final quincuagésima sexta de la Ley 2/2011 de 4 de marzo de Economía Sostenible: Modificación de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal[/important]

El incumplimiento de la LOPD puede acarrear una sanción de la Agencia Española de Protección de Datos (AEPD) que varía entre 900€ y 600.000€, dependiendo de la gravedad del motivo por el que se incumpla.

Según se indica en el artículo 45 de la LOPD, las sanciones se dividen en tres tipos, según la gravedad de la infracción:

1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

El importe exacto en el que consistirá la sanción, teniendo en cuenta la amplitud de cada una de las franjas indicadas, depende de la naturaleza de los derechos personales afectados, del volumen del tratamiento realizado, de los beneficios obtenidos cometiendo esta infracción, del grado de intencionalidad del infractor, de si es reincidente y del daño causado a los propietarios de los datos o a terceras personas.

¿Qué infracciones a la LOPD son leves?

• No proporcionar la información que solicite la AEPD en el ejercicio de las competencias que tiene legalmente atribuidas.
• No inscribir el fichero que contiene datos de carácter personal en el Registro General de Protección de Datos.
• Recoger datos de carácter personal de los propios afectados sin proporcionarles la información a la que tienen derecho (existencia del fichero, destinatario de la información, derechos de acceso, rectificación, cancelación y oposición, identificación del responsable del tratamiento, etc.) que se indica en el artículo 5 de la LOPD.
• Transmitir los datos a un encargado del tratamiento sin cumplir el artículo 12 de la LOPD.

Más detalles en el artículo 44 de la LOPD.

¿Qué infracciones a la LOPD son graves?

• Crear ficheros de titularidad pública o  iniciar la recogida de datos de carácter personal sin tener autorización publicada en el boletín oficial que corresponda.
• Crear ficheros, o recoger datos, con una finalidad distinta a la de la actividad de la empresa o que no sean necesarios.
• Recoger datos de carácter personal sin conseguir el consentimiento expreso de las personas afectadas.
• La obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
• Mantener datos de carácter personal inexactos.
• Ficheros no protegidos por un nivel de seguridad suficiente.
• La obstrucción al ejercicio de la función inspectora de la AEPD.
• No guardar secreto sobre los datos recogidos.

Más detalles en el artículo 44 de la LOPD.

¿Qué infracciones a la LOPD son muy graves?

• Recoger datos en forma engañosa y fraudulenta.
• Continuar haciendo uso ilegítimo de los tratamientos de datos de carácter personal después de ser amonestado  por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
• Transferir datos de carácter personal a países que no proporcionen un nivel de protección equiparable al de España sin autorización del Director de la AEPD.
• Vulnerar el deber de secreto sobre los datos de carácter personal especialmente protegidos, así como los recabados para fines policiales, sin consentimiento de las personas afectadas.

La tipología completa de infracciones se puede consultar en el artículo 44 de la LOPD.

Y esto es sólo lo que nos puede pasar por el incumplimiento de la LOPD, pero ¿y si además incumplimos la LSSI?

Sanciones de la LSSI

[important]Incluye las modificaciones introducidas por la Corrección de error en BOE num. 187, de 6 de agosto de 2002; la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones; la Ley 59/2003, de 19 de diciembre, de firma electrónica; la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones; la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información; la Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual; la Ley 2/2011, de 4 de marzo, de Economía Sostenible y la Ley 26/2011, de 1 de agosto, de adaptación normativa a la Convención Internacional sobre los Derechos de las personas con Discapacidad.[/important]

El incumplimiento de la LSSI puede acarrear una sanción que ascienda a 600.000€.

En este caso las sanciones también se dividen en tres tipos, según la gravedad de la infracción:

1. Las infracciones leves serán sancionadas con multa de hasta 30.000 euros.
2. Las infracciones graves serán sancionadas con multa de 30.001 a 150.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 150.001 a 600.000 euros.

Además,  La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años.

Para la imposición de esta sanción, se considerará la repercusión social de la infracción cometida, por el número de usuarios o de contratos afectados, y la gravedad del incumplimiento. Además se graduará dependiendo de la intencionalidad, el plazo de tiempo durante el cual se haya producido la infracción, la reincidencia, la naturaleza de los perjuicios ocasionados, los beneficios obtenidos por la infracción, etc.

¿Qué infracciones a la LSSI son leves?

• El incumplimiento de las obligaciones de información a sus usuarios por parte de los proveedores de servicios de intermediación, de acceso a internet o correo electrónico.
• No informar de la inscripción en el Registro Mercantil del proveedor del servicio, de la autorización administrativa (si la actividad está sujeta a la misma), de los datos relativos a la profesión regulada (en caso de ejercerse en la prestación del servicio), del N.I.F., de los código de conducta a los que esté adherido el prestador del servicio, de no dar información clara de los precios de las mercancías o servicios ofrecidos por el prestador, o de no informar sobre los daos identificativos y de contacto del prestador.
• El incumplimiento de proporcionar una identificación clara para las comunicaciones comerciales, ofertas promocionales y concursos.
• El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no autorizados por el receptor.
• No facilitar la información relativa a los trámites para celebrar el contrato, al archivado del documento del contrato, de los medios puestos a disposición del interesado para identificar y corregir errores en los datos, de las lenguas en las que se podrá formalizar el contrato, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.
• El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.
• El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos.
• El incumplimiento de la obligación del prestador de servicios en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.
• No disponer de consentimiento previo del interesado para utilizar el marcado telefónico desde programas o aplicaciones facilitadas al interesado.

¿Qué infracciones a la LSSI son graves?

• El incumplimiento significativo de facilitar datos identificativos de la empresa o ocultar precios de los productos ofertados.
• El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cuente con la autorización del usuario.
• El incumplimiento significativo de la obligación del prestador de servicios de proporcionar los procedimientos para revocar el consentimiento prestado por los destinatarios.
• No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato.
• El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor.
• La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta ley.
• El incumplimiento significativo la obligación de informar de las funciones de programas informáticos proporcionados que hagan llamadas a número de tarificación adicional.
• El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos.

¿Qué infracciones a la LSSI son muy graves?

• El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene.