La peor consecuencia para las entidades que no cumplan o infrinjan la normativa son las graves sanciones a las que se enfrentan, inclusive la clausura de las mismas.
Las infracciones actuales, al igual que la anterior LOPD, se categorizan en leves, graves y muy graves, estableciéndose una prescripción de las mismas de 1, 2 y 3 años respectivamente. A modo de ejemplo, se puede cometer alguna de las siguientes infracciones:
- Infracciones muy graves: incumplimiento del deber de información o incumplimiento del bloqueo de datos.
- Infracciones graves: subcontratación de un encargado de tratamiento por otro sin consentimiento del responsable o no atención reiterada de los derechos de los interesados.
- Infracciones leves: no publicación de datos de contacto del DPO o Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del RGPD.
Por otro lado, la atribución de importes para las sanciones, en función de lo establecido en la LOPD-GDD, y en base a su categorización será:
- Para las infracciones muy graves, un importe superior a 300.000 euros.
- Para las infracciones graves, un importe entre 40.001 y 300.000 euros.
- Para las infracciones leves, un importe igual o inferior a 40.000 euro
Se debe tener en cuenta, asimismo, que las empresas de mayor facturación podrían recibir una sanción de hasta el 4 % de su volumen de negocio anual en todo el mundo o de 20 millones de euros.
En cuanto a la prescripción de sanciones, su plazo comienza al día siguiente al que sea ejecutable la resolución que la impone, siendo dichos plazos iguales en tiempo que los plazos de prescripción de las infracciones.