Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Las infracciones que establece el artículo 83 del RGPD se distribuyen en dos grandes grupos:

A) Infracciones con sanciones de hasta 20 millones o el 4% del volumen de negocio, cuyo contenido es exclusivamente jurídico, ya que se refieren a:

1. Los principios básicos del tratamiento (Artículos 5, 6, 7 y 9)
2. Los derechos de los interesados (Artículos 12 a 22)
3. Las transferencias de datos personales a un tercer país (Artículos 44 a 49)
4. El incumplimiento de obligaciones en virtud del Derecho de los Estados miembros (Artículos 85 a 91)
5. El incumplimiento de resoluciones de la autoridad de control (Artículo 58)

B) Infracciones con sanciones de hasta 10 millones o el 2% del volumen de negocio, cuyo contenido es predominantemente jurídico, ya que se refieren a:

1. Las obligaciones del responsable y del encargado del tratamiento
2. Las obligaciones de los organismos de certificación
3. Las obligaciones de las autoridades de control

Las infracciones en materia de seguridad están incluidas en el punto 1, relativo a las obligaciones del responsable y del encargado del tratamiento, que están descritas en los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 y 43.

Por lo tanto, una infracción de las obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio y afectaría a 3 de los 19 artículos del RGPD cuya infracción comportaría este tipo de sanciones.

En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:

• Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
• Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
• Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.

Cabe añadir que dos de los tres artículos relativos a medidas de seguridad se refieren a la obligación de notificar y comunicar las violaciones de datos.

Acceso a las conclusiones del análisis