10. Infracciones y sanciones 1. Introducción En relación a la derogada LORTAD, la nueva Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), no ha incorporado importantes novedades, ya que se continúa manteniendo el doble régimen sancionador en atención a si el ente infractor es una entidad pública o una entidad privada. En particular, el régimen sancionador que se establece para las entidades públicas se basa en el establecimiento del régimen disciplinario de las Administraciones Públicas, lo cual se traduce, en la práctica, en la iniciación de actuaciones disciplinarias por parte del Director de la AEPD o, en su caso, en la emisión de resoluciones sobre las medidas que deben adoptarse. Por tanto, se puede concluir que se trata de un régimen sancionador aminorado en relación al aplicado a los entes privados. En aras a la seguridad jurídica predicada en la Constitución Española, se establecen una serie de responsabilidades en materia de protección de datos, las cuales se tipifican en la LOPD como infracciones: Leves, graves y muy graves, en atención de la gravedad de las responsabilidades administrativas en que se hubiera incurrido. A este respecto, es necesario indicar que en algunos casos la Ley incurre en imprecisiones a la hora de determinar los supuestos concretos en que una misma actuación puede ser calificada como leve o grave, o como grave o muy grave. Es el caso, por ejemplo, de la siguiente infracción tipificada, con carácter general, como grave: "Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la LOPD o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituyan infracción muy grave". En el caso citado, se observa pues la conveniencia de que la LOPD indicara los supuestos concretos en que dicha infracción grave pasaría a considerarse como muy grave. En lo relativo a las sanciones impuestas, estas se materializan en una multa de carácter económico cuya cuantía sigue siendo tan elevada como en la derogada LORTAD, aspecto que ha dado lugar a numerosos debates parlamentarios, no alcanzándose, por el momento, acuerdo al respecto. Incluso, se contempla en la LOPD la posibilidad de que
CURSO LOPD
1
el Gobierno actualice periódicamente la cuantía de estas multas de acuerdo con las variaciones experimentadas en los índices de precios. Como importante novedad, la LOPD ha incorporado una serie de "circunstancias" en base a las que puede ser graduada la cuantía de las sanciones a imponer. Entre otras, la cuantía se podrá valorar atendiendo a la naturaleza de los derechos personales afectados, a los beneficios obtenidos, al volumen de tratamientos efectuados, al grado de intencionalidad, etc., de tal modo que la sanción impuesta en base a esta graduación no será la misma para una pequeña y mediana empresa que para una gran multinacional. Este aspecto no era considerado en la antigua LORTAD, la cual imponía la misma multa, independientemente de los beneficios obtenidos y al volumen de los tratamientos realizados, de tal forma que una empresa familiar podía ver peligrar gravemente su estabilidad económica, mientras que para una empresa multinacional no suponía mayor problema. Así, desde el momento en que las consecuencias del incumplimiento normativo en la materia han conllevado grandes responsabilidades tanto para la Organización como para el personal que trata o accede a los datos de carácter personal, la incorporación a la dinámica de la empresa de los principios rectores de la Protección de Datos de Carácter Personal, ha adquirido una gran relevancia, pues las sanciones impuestas ya no solo son de naturaleza administrativa y dirigidas a la Organización en sí, sino que además de su incumplimiento se pueden derivar responsabilidades civiles, penales y laborales. En base a lo comentado, parece claro que lo más conveniente para evitar las duras sanciones impuestas por la LOPD es el cumplimiento de todas las obligaciones impuestas por la normativa, indicando, a su vez, las grandes yentajas competitivas que conlleva su cumplimiento.
2. Tipos de infracciones administrativas Antes de citar dichas infracciones, conviene determinar quién es el responsable de las mismas, para ello recurriremos al artículo 43 de la LOPD en el que se establecen como personas o entes sujetos al régimen sancionador establecido en la LOPD a los responsables de los ficheros y los encargados de los tratamientos. A su vez en el apartado 2 del citado artículo se indica que en el caso de que sean responsables las
CURSO LOPD
2
Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el artículo 46, apartado 2. En el Título VII de la LOPD, se recogen los diversos tipos de infracciones a lo establecido en la normativa sobre protección de datos, en concreto según el artículo 44.1 de la LOPD se distinguen: Infracciones leves, graves y muy graves. A continuación, se detallan las mismas.
2.1 Infracciones leves Según el artículo 44.2 son infracciones leves: a) "No atender, por motivos formales, la solicitud de/interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda". b) "No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos". c) "No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave". d) "Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la LOPD". e) “Incumplir el deber de secreto establecido en el artículo 10 de la LOPD, salvo que éste constituya infracción grave".
2.2 Infracciones graves En el artículo 44.3 se citan como infracciones graves: a) "Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente".
CURSO LOPD
3
b) "Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad". c) "Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que este sea exigible". d) "Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la LOPD o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave". e) "El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada". f) "Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la LOPD ampara". g) "La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo". h) "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". i) "No remitir a la AEPD las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquel a tales efectos". j) "La obstrucción al ejercicio de la función inspectora". k) "No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la AEPD".
CURSO LOPD
4
l) "Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de la LOPD (relativos al derecho de información en la recogida de los datos, a los datos incluidos en las fuentes de acceso público y a la prestación de servicios de información sobre solvencia patrimonial y crédito, respectivamente), cuando los datos hayan sido recabados de persona distinta del afectado".
2.3 Infracciones muy graves Según el artículo 44.4 son infracciones muy graves: a) "La recogida de datos de forma engañosa y fraudulenta". b) "La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas". c) "Recabar y tratar los datos de carácter personal a los que se refiere el artículo 7.2 (ideología, afiliación sindical, religión y creencias) cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el 7.3 (sobre origen racial, salud o vida sexual) cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el artículo 7.4". d) "No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso”. e) "La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos”. f) “Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales”.
CURSO LOPD
5
g) "La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7 (sobre ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas". h) “No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición”. i) "No atender de forma sistemática a la obligación legal de notificación de la inclusión de
2.4 Infracciones de las Administraciones Públicas En concreto, las infracciones de las Administraciones Públicas se recopilan en el artículo 46 de la LOPD, según la cual: 1. Cuando las infracciones anteriormente citadas (es decir, las leves, graves y muy graves comentadas para las entidades privadas) fuesen cometidas en ficheros de los que sean responsables las Administraciones Públicas, el Director de la Agencia Española de Protección de Datos dictara una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificare al responsable del fichero, al Órgano del que depende jerárquicamente y a los afectados si los hubiera. 2. El Director de la Agencia podre proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas (en concreto en el Real Decreto 33/1986 por el que se aprueba el Régimen Disciplinario de los Funcionarios de la Administración del Estado, modificado por el Real Decreto 1085/1990, de 31 de agosto). 3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones referidas en los anteriores apartados. 4. El Director de la Agencia comunicare al Defensor del Pueblo las actuaciones que efecto y las resoluciones que dicte al amparo de lo anteriormente comentado.
CURSO LOPD
6
3. Tipos de sanciones. Procedimiento sancionador 3.1 Tipos de sanciones Una de las funciones que tiene reconocida la Agencia Española de Protección de Datos es la potestad sancionadora (al igual que el órgano correspondiente de la Comunidad Autónoma, excepto en lo referente a las transferencias internacionales), potestad que se puede definir como la facultad que tiene la Agencia de imponer sanciones a los responsables de los ficheros (o encargados, si fuera el caso) por incumplimiento de las obligaciones que establece la normativa de protección de datos. Por lo tanto, el método coercitivo de que dispone la AEPD para evitar que se incumpla la normativa en la materia es la imposición de sanciones, en forma de multas económicas. Como se verá a continuación, estas sanciones tienen una cuantía bastante importante (de las mayores de Europa), ya que de forma aproximada van desde los 600 hasta los 600.000 euros, dependiendo de la gravedad de la infracción cometida. De este modo, las infracciones enumeradas en el anterior apartado serán sancionadas, según se dispone en el artículo 45 de la LOPD, como se recoge en la siguiente tabla: Infracciones
Sanciones
Leve
Serán sancionadas con un multa de 601,01 a 60.101,01 euros
Grave
Serán sancionadas con un multa de 60.101,01 a 300.506,05 euros
Muy grave
Serán sancionadas con un multa de 300.506,05 a 601.012,10 euros
A su vez, en el apartado 4 del citado artículo, se establece que la cuantía de las sanciones se graduará atendiendo a los siguientes aspectos: - La naturaleza de los derechos personales afectados. - Al volumen de los tratamientos efectuados. - A los beneficios obtenidos. - Al grado de intencionalidad.
CURSO LOPD
7
- A la reincidencia. - A los daños y perjuicios causados. - A las personas interesadas y a terceras personas. A cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. Por otro lado, en el artículo 45.5 de la LOPD se indica que de apreciarse una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, en razón de las circunstancias concurrentes, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. Además, en base al apartado 6 del artículo 45, en ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar. La actualización periódica de la cuantía de las sanciones será llevada a cabo por el Gobierno de acuerdo con las variaciones que experimenten los índices de precios (según el artículo 45.7).
3.2 Procedimiento sancionador En lo relativo al procedimiento sancionador para la determinación de las infracciones y la imposición de las correspondientes sanciones, en el artículo 48 de la LOPD se determina que este se establecerá por vía reglamentaria (en concreto a través del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el ejercicio de la potestad sancionadora, el cual se aprueba en aplicación de la disposición final, disposición adicional tercera y desarrollo del Titulo IX de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común).
CURSO LOPD
8
En cuanto a las resoluciones de la Agencia Española de Protección de Datos u Órgano correspondiente de la Comunidad Autónoma, indicar que éstas agotan la vía administrativa. Los procedimientos sancionadores tramitados por la AEPD, en ejercicio de las potestades que a la misma atribuyan esta u otras leyes, salvo los referidos a infracciones de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tendrán una duración máxima de seis meses. (Este apartado ha sido adicionado at artículo 48 por la ya citada Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y de orden social). A su vez, el procedimiento sancionador es tratado en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD (vigente en todo lo que no se oponga a la LOPD), en concreto, en su capítulo V, dónde se determina que el citado procedimiento constara de las siguientes fases:
Iniciación Instrucción Resolución
4. Prescripción y potestad de inmovilización de los ficheros 4.1 Prescripción de las infracciones y de las sanciones En primer lugar se va a tratar el plazo de prescripción de las infracciones, que como ya se citó se clasifican en: Leves, graves y muy graves. De este modo, en el artículo 47.1 de la LOPD se dispone que las infracciones:
CURSO LOPD
9
Muy graves prescribirán a los tres años Graves a los dos años Leves al año Comenzará a contarse el plazo de prescripción desde el día en que la infracción hubiese sido cometida. La iniciación del procedimiento sancionador, con conocimiento del interesado, interrumpirá la prescripción, reanudándose el plazo de prescripción si el expediente sancionador estuviere paralizado por un periodo de tiempo superior a los seis meses por causas no imputables al presunto infractor. En cuanto a la prescripción de las sanciones, se establece en el artículo 47.4 que las sanciones impuestas por faltas:
Muy graves prescribirán a los tres años Graves a los dos años Leves al año
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción. La prescripción de las sanciones se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, reanudándose dicho plazo de prescripción si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
CURSO LOPD
10
4.2 Potestad de inmovilización de ficheros Esta potestad de inmovilización de ficheros se contempla en el artículo 49 de la LOPD. Según este articulo, en aquellos casos en los que exista una utilización o cesión ilícita de los datos de carácter personal, constitutiva de infracción muy grave, en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la AEPD podrá además de ejercer la potestad sancionadora, efectuar un requerimiento a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, para que cesen en la utilización o cesión ilícita de los datos.
Inmovilización de ficheros En el supuesto de que el requerimiento no fuese contemplado, la Agencia Española de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.
5. Infracciones por incumplimiento de responsabilidades de naturaleza civil, penal y laboral Para el desarrollo de este apartado es importante tener claro el concepto de "responsabilidad", que según la Real Academia de la Lengua Española es: "deuda, obligación de reparar y satisfacer, por si o por otro, a consecuencia de delito, de una culpa, o de otra causa legal". Del incumplimiento de las obligaciones impuestas por la normativa en materia de protección de datos se derivan grandes responsabilidades, tanto para la organización como para el personal que trata o accede a los datos de carácter personal, es decir, las sanciones ya no solo son administrativas y dirigidas al responsable del tratamiento (o encargado, si fuera el caso), sino que edemas de ellas se pueden conllevar responsabilidades de tipo civil, penal y laboral.
CURSO LOPD
11
A continuación, se comentarán los aspectos más relevantes relacionados con dichas responsabilidades.
5.1 Responsabilidades civiles En lo relativo a este tipo de responsabilidad, mencionar los artículos del Código Civil relativos a la Responsabilidad Contractual y Extracontractual (artículos 1902 y 1903). Así, cuando determinado servicio es contratado a un tercero ajeno a la propia organización e implique un acceso a los ficheros de datos de carácter personal, deberá estar precedido del correspondiente contrato de acceso a datos en el que se limiten las facultades del tercero en cuanto al tratamiento de los datos de carácter personal, se especifiquen las medidas de seguridad que deberán ser implantadas o cumplidas por el tercero para la protección del fichero, y se determinen las responsabilidades derivadas del incumplimiento de la LOPD o de lo establecido en el contrato.
5.2 Responsabilidades penales El Código Penal tipifica los delitos contra la intimidad y, concretamente el descubrimiento y revelación de secretos en los artículos 197 y siguientes. Como ya fueron comentados en el apartado 3.1 del Módulo 7 titulado "Los derechos de las personas", no se volverán a repetir.
5.3 Responsabilidades laborales El Derecho del Trabajo ha tenido que arbitrar diversas normas de protección para las partes intervinientes en los contratos de trabajo, cuyo incumplimiento da lugar a una serie de consecuencias jurídicas que pueden denominarse responsabilidades laborales.
CURSO LOPD
12
De este modo, cuando una sucesión de incumplimientos deriva en la imposición de una sanción a la Organización, es frecuente que además se deriven responsabilidades laborales. Así, pueden darse en cualquier puesto laboral dentro del seno de la Organización: La fuga de datos, el tratamiento inadecuado de los ficheros de datos de carácter personal, el acceso no autorizado a los datos del fichero, la protección inadecuada de los ficheros, etc. En resumen, se pueden esquematizar las responsabilidades por incumplimientos en materia de protección de datos como sigue a continuación:
RESPONSABILIDADES
ADMINISTRATIVAS PENALES CIVILES
LABORALES
¡¡¡¡¡¡¡FIN DEL TEMARIO!!!!!
CURSO LOPD
13
CURSO LOPD
14