BMD Blog
16 de abril de 2011

Infracciones y sanciones en materia de protección de datos, tras la reforma introducida por la Ley 2/2011, de 4 de marzo, de Economía Sostenible.
Share on Twitter

El legislador español, consciente de los problemas prácticos que por entonces presentaba, en materia sancionadora, la aplicación de la hoy derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, tuvo la intención, durante la tramitación parlamentaria de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD), de profundizar en la materia desde una doble perspectiva: la seguridad jurídica consagrada en el artículo 25.1 de la Constitución Española y la ponderación de los elementos que concurren en las infracciones de ley, intentando ajustar la descripción de los derechos y deberes nacidos del tratamiento de datos a los tipos de infracciones. No obstante, la pretendida concreción y delimitación de conductas tipificadas no siempre se consiguió, dando lugar, en ocasiones, a la existencia de conceptos jurídicos indeterminados o a tipos infractores que exigían una interpretación extensiva de éstos para su aplicación. Con estas disfunciones pretende acabar la reforma del régimen sancionador, producido por la Disposición final quincuagésima sexta de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, que introduce modificaciones a los artículos 43, 44, 45, 46 y 49 de la LOPD. Se pretende que ésta reforma aporte mayor seguridad jurídica y mayor precisión en la aplicación de la norma, además de permitir ampliar los criterios de modulación y adecuación de las sanciones.
Las infracciones y sanciones se regulan en el Título VII de la LOPD y se establecen tres modalidades de infracciones, en función de su gravedad, dividiéndolas en leves, graves y muy graves. Las infracciones leves se sancionan ahora con multa de 900 a 40.000 euros; las graves con multa de 40.001 a 300.000 €; y las muy graves, con multa de 300.001 a 600.000 €. Se contemplan en la LOPD, después la modificación introducida por la meritada Ley de Economía Sostenible, las siguientes infracciones leves:
a) No remitir a la AEPD las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo;
b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos (RGPD);
c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado. El artículo 5 de la LOPD establece, entre otras cosas, que a los interesados a los que se soliciten datos personales se les debe informar en el momento de la recogida y de modo expreso, preciso e inequívoco de la existencia del fichero o del tratamiento, de la finalidad de la recogida, los destinatarios de esa información, del carácter obligatorio o facultativo de la respuesta a las preguntas planteadas, de las consecuencias de la obtención de los datos o la negativa a suministrarlos, la identidad y dirección del responsable del tratamiento o su representante, y de la posibilidad del ejercicio de derechos. El artículo 18 establece una regulación complementaria al señalar la necesidad de acreditar el cumplimiento del deber de información debiendo conservarse el soporte. No cumplir con esta obligación se califica como infracción leve. No obstante, cuando los datos hayan sido recabados de persona distinta del afectado y no se dé cumplimiento al principio de información, estaríamos ante una infracción calificada como grave por el artículo 44.3.f);
d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de la LOPD. El deber formal al que debe entenderse que se refiere esta tipificación es la suscripción de un contrato por escrito, o por cualquier medio que permita acreditar su celebración, en el que se regulen las condiciones del acceso a datos por cuenta de terceros, en el marco de una prestación de servicios. El contenido de dicho contrato se determina en los artículos 12 de la LOPD y 20 y siguientes del RLOPD.
Por otro lado, son infracciones graves: a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente. Aunque la gravedad de la conducta es la misma, ya se trate de ficheros de titularidad pública o privada, las consecuencias son sustancialmente distintas. Ya que, mientras que en el caso de ficheros privados la sanción es pecuniaria, en el supuesto de la Administración Pública no cabe imponer una sanción económica, sino que se limita a la presentación de una proposición, por parte del Director de la AEPD, del inicio de actuaciones disciplinarias contra el funcionario infractor;
b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la LOPD y sus disposiciones de desarrollo. El consentimiento es uno de los principios cardinales en materia de protección de datos. Su regulación se encuentra en el artículo 6, exigiéndose como regla general el consentimiento del afectado para tratar sus datos. No obstante, el apartado segundo del artículo 6 recoge las excepciones a la necesidad de obtener este consentimiento;
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la LOPD y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave. Si se tratara de datos especialmente protegidos, el artículo 44.4.b agrava la sanción, considerándose como una infracción muy grave;
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la LOPD;
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. No es necesaria una conducta activa de obstaculización, por parte del responsable del fichero, sino que basta, como así lo ha dicho la Audiencia Nacional, la simple desatención al ejercicio de los derechos;
f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado. La peculiaridad de la agravación de la sanción se refiere a cuando los datos fueron recabados por persona distinta del afectado;
g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por la LOPD y sus disposiciones de desarrollo. El artículo 44.2.a de la LOPD contiene el tipo atenuado de este precepto, que peca, en nuestra opinión, de ser poco específico en su definición, cuando señala “incumplimiento de los restantes deberes”;
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. La infracción que se describe en este artículo, se limita a sancionar la omisión y no las consecuencias que pudieran derivarse de la falta de adopción de medidas de seguridad. Los requisitos y directrices a cumplir en materia de seguridad están previstos en los artículos 79 y siguientes del RLOPD;
i) No atender los requerimientos o apercibimientos de la AEPD o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma. Es un tipo relacionado con la obstrucción a la actividad inspectora, aunque de distinta naturaleza.
j) La obstrucción al ejercicio de la función inspectora. Bastará con dificultar, poner obstáculos o no colaborar para que pueda estimarse esta conducta, sin perjuicio, de que se llegue, o no, al conocimiento de los datos o de la actividad investigada, pues lo que se sanciona no es un resultado sino una conducta que obstruye la tarea inspectora. Las sanciones más frecuentes por esta infracción alcanzan los 60.000 euros, si bien, ésta cantidad era la mínima que se preveía antes de la reforma introducida por la Ley 2/2011, de 4 de marzo, de Economía Sostenible;
k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en la LOPD y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave. Si se tratara de comunicaciones de datos especialmente protegidos, el artículo 44.4.b agrava la sanción, considerándose como una infracción muy grave.
Son infracciones muy graves:
a) La recogida de datos en forma engañosa o fraudulenta. Debido a la generalidad del precepto, la existencia de engaño o fraude debe acreditarse atendiendo a las circunstancias concurrentes a cada caso, tal y como se hizo en la Sentencia de la Audiencia Nacional, de 8 de junio de 2006;
b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de la LOPD, salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7. El Tratamiento o la cesión de datos, solo se considera infracción muy grave si afecta a datos especialmente protegidos. Si no fuera así, se tipifica como infracción 44.3.k.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la AEPD para ello. Lo que caracteriza a este tipo infractor es la desatención al requerimiento que haya podido realizar el Director de la AEPD al responsable del fichero o encargado del tratamiento. En este supuesto, no se exige que haya reiteración.
d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AEPD salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria. Recordamos que la transferencia internacional de datos se regula en los artículos 33 y 34 de la LOPD y 65 y siguientes del RLOPD. Por su parte, el procedimiento se establece en los artículos 137 y siguientes del RLOPD. El artículo 33 de la LOPD establece la regla general de necesidad de autorización previa por parte del Director de la AEPD para cualquier transferencia internacional de datos. El carácter adecuado de esta protección se evalúa atendiendo a las circunstancias que se recogen en el apartado segundo del artículo 33. Por su parte, el artículo 34 indica las excepciones tasadas a la prohibición general del artículo 33. La infracción muy grave que establece este precepto consiste en la realización de una transferencia, sin haber obtenido, previamente, la autorización del Director de la Agencia. Esta conducta es también sancionable en base al artículo 44.4.b) de la LOPD.
Graduación de las sanciones
Los criterios establecidos para la graduación de las sanciones son similares, con carácter general, a los recogidos en el Derecho Administrativo Sancionador y en el Derecho Penal. Según la Sentencia del Tribunal Constitucional 126/2005, entre los principios que tienen un origen penal, pero que son aplicables al procedimiento sancionador cabe incluir el derecho a la defensa, que proscribe cualquier indefensión; el derecho a conocer los cargos que se formulan contra el sometido a procedimiento sancionador, y el derecho a utilizar los medios de prueba adecuados para la defensa. Igualmente el TC considera vigente el principio de contradicción, al igual que sucede con el resto de garantías constitucionales que conforme al artículo 24.2 de la CE ordenan la potestad sancionadora de la Administración. Es el Director de la AEPD el que, de forma discrecional y atendiendo a la gravedad, impone la cuantía de la sanción. De acuerdo con el apartado 4 del artículo 45 de la LOPD, la cuantía de las sanciones se graduará atendiendo a: a) El carácter continuado de la infracción; b) El volumen de los tratamientos efectuados. Es decir, se aplicará un mayor baremo sancionador a aquellos que tengan un volumen de tratamiento de datos más elevado frente a aquellos que su volumen sea menor; c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal; d) El volumen de negocio o actividad del infractor; e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. Para graduar la sanción se considera que dichos beneficios se deben relacionar con la conducta ilícita realizada y no con el volumen de beneficios derivados de la actividad económica de la entidad; f) El grado de intencionalidad. Sostenible cuando se trate de infracciones meramente administrativas, como, por ejemplo, la falta de notificación a la AEPD, pero sería de difícil aplicación cuando dicha intencionalidad afecte a derechos y principios rectores de la protección de datos. No obstante, es frecuente que las entidades sancionadas aleguen el devenir de errores técnicos, organizativos o informáticos; g) La reincidencia por comisión de infracciones de la misma naturaleza. Este criterio que sirve para cuantificar la sanción de la infracción, debe tener en cuenta las infracciones cometidas con anterioridad, sancionadas por una resolución firme y que versen sobre la misma materia; h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas; i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor; j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. Es evidente que cualquier criterio es válido para agravar la sanción en base a esta tipificación, creando, por tanto, una insoportable inseguridad jurídica
La AEPD suele ponderar la profesionalidad o no del sujeto infractor. Es por ello que cuando la actividad es de constante y abundante manejo de datos de carácter personal se insiste en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto.
Atenuación de la sanción
El artículo 45.5 de la LOPD prevé la posibilidad de atenuar la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. Es decir que las infracciones graves sean consideradas leves y las muy graves, graves.
Los supuestos en lo que es posible esta atenuación, son los siguientes:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios de graduación de las sanciones contemplados en el apartado cuarto del artículo 45, como por ejemplo, la naturaleza de los perjuicios causados, la ausencia de reincidencia, la intencionalidad, el volumen de los tratamientos efectuados, etc.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. Es decir, haya tomado medidas para cumplir con la LOPD y el RLOPD, como por ejemplo, elaborar e implantar un documento de seguridad, establecer protocolos en la organización respecto a los derechos ARCO, elaboración de jornadas formativas periódicas del personal con acceso a datos, encargo de auditorías de seguridad externas, etc.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquélla en que se integra la considerada, en el caso de que se trate.
La Audiencia Nacional, de forma reiterada, como, por ejemplo, en sus Sentencias de 24 de mayo de 2002 y 16 de febrero de 2005, señala, en este sentido, que “(…) la presente regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos (…)”.
Finalmente, el apartado 6 del artículo 45 de la LOPD, establece que “en ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar”. Algo que, por otra parte, resulta obvio.
Sanción de apercibimiento como gran novedad de la reforma.
Según establece el artículo 45.6 de la LOPD, de forma excepcional, la AEPD puede, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios relativos a la graduación de las sanciones (del artículo 45.4), no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos: a) Que los hechos fuesen constitutivos de infracción leve o grave; y b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que la AEPD hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
Esta medida preventiva en el cumplimiento de la LOPD, de naturaleza no sancionadora, introducida por ladisposición final quincuagésima sexta de la meritada Ley 2/2011, de 4 de marzo, de Economía Sostenible,resulta muy cuestionable desde el punto de vista del principio de seguridad jurídica, ya que se deja al arbitrio de la Autoridad de Protección de Datos decidir, si bien con condiciones, cuando inicia un procedimiento sancionador o no. Es cuestión de tiempo verificar como ante supuestos similares unos casos terminarán con una sanción y en otros con un mero apercibimiento.

Abril de 2011
Javier Álvarez Hernando.
Publicado en Avance Normativo de Editorial Europea de Derecho de Mayo de 2011

Los comentarios están cerrados.

Aviso legal y Política de Privacidad |  Vocabulario |  Mapa Web  | ¡Síguenos!