INFRACCIONES MUY GRAVES
El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.
- El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
- El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.
- La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
- El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 10 de esta ley.
- El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 20 de esta ley.
- El tratamiento de datos de carácter personal relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 4.
- La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 21 de esta ley orgánica.
- La vulneración del deber de confidencialidad establecido en el artículo 6.
- La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, fuera de los supuestos establecidos en su artículo 12.5.
- El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
- La transferencia internacional de datos de carácter personal a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del Reglamento (UE) 2016/679.
- El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679.
- El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 29 cuando la misma sea exigible.
- No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.
- La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
- El incumplimiento de las resoluciones de la autoridad de control.