NOTICIAS

Aplicación del Nuevo Régimen Sancionador de la LOPD

Aplicación del Nuevo Régimen Sancionador de la LOPD

15 de julio de 2011

Por: Ana Iparraguirre

La Ley 2/2011, de 4 de marzo de Economía Sostenible, también conocida como Ley “Sinde”, entre otras cosas, en su Disposición final quincuagésima sexta, modifica la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, afectando de lleno al Régimen Sancionador, dotando de una nueva redacción a los artículos 43, 44, 45, 46 y 49 de dicha Ley. 

Como cuestiones más novedosas destacan las graduaciones de las sanciones y la figura del apercibimiento. 

Se trata de una que reforma obliga a las organizaciones a revisar sus riesgos en materia de protección de datos y sin duda, a redefinir sus estrategias proactivas y reactivas frente a los procedimientos sancionadores.

  Data Privacy Institute

Acerca del autor:
Ana Iparraguirre Jimenez

Licenciada en Derecho y CDPP. Coordinadora LOPD del área de Versia, empresa perteneciente al Grupo FCC

La presente reforma podría desglosarse en los siguientes puntos:

1.- Existen infracciones con una nueva redacción, infracciones que han sido aglutinadas, e infracciones que han aumentado o disminuido de grado. A lo largo del presente punto sólo se destacarán aquellas más significativas y novedosas.

En relación con la figura del acceso a datos por cuenta de terceros, el nuevo art. 44.2 d) considera como infracción leve “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el art. 12 de esta Ley”. Con la anterior redacción, el hecho de no formalizar por escrito un contrato de encargo de tratamiento se consideraba una infracción grave. Se podían dar situaciones en las que era sumamente difícil cubrir esta obligación, por ejemplo, en el caso de empresas dedicadas a prestar servicios a la Administración Pública y que tienen en vigor cientos (y hasta miles) de contratos a lo largo de la geografía española, no obstante, siempre estas entidades tuvieron la posibilidad de presentarlos en el Registro Público de la Administración. Eso sí, si un contrato quedaba sin presentar ante dicho Registro estábamos ante una infracción grave. Tras esta reforma cabe preguntarse ¿minorar la sanción será bueno para el perfecto desarrollo y cumplimiento de la LOPD, en lo relativo al acceso a datos por cuenta de terceros?

También se lleva a cabo la nueva redacción del art. 42.2 c) que se relaciona con los art. 5 LOPD y art. 14 RLOPD y que considera una falta leve, el incumplimiento del deber de información al afectado, acerca del tratamiento de sus datos personales.

Por otro lado, se tipifica como infracción grave la vulneración del deber de secreto de los datos de carácter personal al que se refiere el artículo 10 de la LOPD, de esta manera se unifican los arts. 44.2 e), 44.3 g) y 44.4 g), es decir, ya no se modula la gravedad en función del nivel del dato revelado o comunicado (básico, medio o alto) sino que se sanciona el mero hecho de comunicarlo. A título de reflexión ¿no resulta excesivo que se califique como infracción grave la revelación de un dato de nivel básico, como puede ser la matrícula de un vehículo? Habrá que esperar para que aplicación se le da a las atenuantes.

Por su parte, el apartado k) del art. 44.3 considera infracción grave la comunicación o cesión de los datos de carácter personal sin contar con legitimación, salvo que la misma sea constitutiva de infracción muy grave. Con esta modificación la comunicación de datos básicos y medios deja de ser muy grave, manteniéndose este grado para la comunicación de datos de nivel alto.

2.- Se ha modificado la cuantía de las sanciones.

Según el art. 45 de la LOPD las infracciones serán sancionadas las leves de 900 € a 40.000 €, las graves de 40.001 € a 300.000 € y las muy graves de 300.001 € a 600.000 €, viéndose incrementado el tramo inicial de las leves (antes eran 600 €) y rebajado el grado máximo (antes era 60.000 €).

3.- Se han creado criterios de graduación de las sanciones, los cuales se venían aplicando por la AEPD.

El art. 45.4 establece que las sanciones podrán ser graduadas, la nueva redacción incorpora a este precepto como algo nuevo:

–      El carácter continuado de la infracción (que no debe confundirse con la reincidencia).

–      El volumen de negocio o actividad del infractor.

–      La acreditación de haber implantado procedimientos y políticas adecuados.

La AEPD ya venía aplicando estos criterios de graduación, entre otras la resolución R/01366/2010 relativa al volumen de negocio o actividad del infractor estableció que “… por la actividad profesional desarrollada, viene obligada a tratar un gran volumen de datos personales, estimamos que no resulta procedente imponer la sanción, en el presente asunto en su cuantía mínima”, R/0277/2009 en la que se gradúa la sanción por la implantación de procedimientos “En el presente caso, y a efectos de la aplicación del artículo 45.5 de la LOPD, se debe tener en cuenta que (…) tenía implantados algunas medidas de seguridad, se actuó con diligencia antes de recibir la inspección de la Agencia implantando medidas de seguridad, exigidas reglamentariamente (…) siendo apreciable las causas para la aplicación del art. 45.5 de la LOPD…”

Asimismo existen atenuantes de nueva tipificación como:

–      Cuando la entidad infractora haya regulado la situación irregular de forma diligente.

–      Cuando la conducta del afectado haya podido inducir a la comisión de la infracción.

–      Cuando el infractor haya reconocido espontáneamente su culpabilidad.

–      Cuando se haya producido un proceso de fusión y la infracción fuese anterior a dicho proceso.

Estos atenuantes se venían aplicando por la AEPD, así se refleja en la Resolución R/00995/2008 “En virtud de los criterios de graduación de las sanciones, y teniendo en cuenta que durante la tramitación del presente procedimiento se había corregido la infracción imputada y a la falta de beneficios obtenidos, procede proponer la sanción en su cuantía mínima”.

Nuevamente sorprende que si el propio afectado es quien induce a la comisión de la infracción, ésta siga existiendo, y que esta circunstancia sólo sirva como atenuante

 4.- Se ha creado la figura del apercibimiento.

Según el art. 45.6 de la LOPD, el apercibimiento es una figura novedosa, una alternativa a la multa que tiene carácter de excepcional ante hechos que fuesen constitutivos de infracción leve o grave y siempre que el infractor no haya sido sancionado o apercibido con anterioridad. Si no se atendiera al apercibimiento, se procedería a la apertura del expediente sancionador que corresponda.

En la actualidad la AEPD ya ha iniciado procedimientos de apercibimiento, tómese como ejemplo el R/00788/2011 “En el presente supuesto se cumplen los requisitos recogidos en los apartados a) y b) del citado apartado 45.6. Junto a ello se constata una cualificada disminución de la culpabilidad del imputado (…), no consta vinculación relevante de la actividad del denunciado con la relación de tratamiento de datos de carácter personal, su volumen de negocio o actividad…”

Encontramos cuestiones que están sin resolver de esta nueva figura, las cuales se irán aclarando según vaya actuando la AEPD:

–      ¿Qué significa no haber sido sancionado o apercibido con anterioridad: No haberlo sido en general ó no haberlo sido por una misma causa?

–      ¿Cuándo desaparecen esos “antecedentes” en la AEPD?

–      ¿Cuáles son las formalidades de la audiencia previa?

–      ¿Qué plazo fijará la AEPD para el cumplimiento de las medidas correctoras?

5.- Potestad de inmovilización de ficheros.

En la nueva redacción de este precepto, se amplía la potestad de inmovilización ante infracciones graves y no sólo ante infracciones muy graves, si bien es cierto que esta medida ha sido aplicada en raras ocasiones.

 

Global Gold Sponsor

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Sobre ISMS Forum
Vídeo corporativo