Además de la famosa “Ley Sinde”, la Ley de Economía Sostenible trajo consigo una esperada reforma del régimen sancionador de la Ley Orgánica de Protección de Datos.
A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:
¿Quiénes pueden ser multados?
Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:
Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.
Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.
¿Y qué sucede con las administraciones públicas? (empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.
¿Y se puede multar a un ciudadano? Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.
Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).
¿Qué actividades pueden ser multadas?
El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.
Son infracciones leves:
No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.
No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.
No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.
Son infracciones graves:
Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.
Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)
Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.
Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).
No implantar correctamente las medidas de seguridad
No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora
Finalmente, son infracciones muy graves:
Tratar datos de forma engañosa o fraudulenta.
Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.
No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.
Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.
Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar? Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.
Y ¿a cuánto pueden ascender las multas?
En principio, el importe de las multas debe seguir el siguiente baremo:
Infracciones leves: 900 euros – 40.000 euros
Infracciones graves: 40.000 euros – 300.000 euros
Infracciones muy graves: 300.000 euros – 600.000 euros
Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros? La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:
El carácter continuado de la infracción.
El volumen de los tratamientos efectuados.
La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
El volumen de negocio o actividad del infractor.
Los beneficios obtenidos como consecuencia de la comisión de la infracción.
El grado de intencionalidad.
La reincidencia por comisión de infracciones de la misma naturaleza.
La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
Pero los 40.000 como mínimo, no me los quita nadie, ¿no? La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:
Cuando concurran varias circunstancias atenuantes de las expuestas.
Cuando se haya corregido el defecto que dio origen a la infracción.
Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.
Cuando el infractor reconozca espontáneamente su culpabilidad.
Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).
Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.
Para ello, tienen que concurrir las siguientes circunstancias:
Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).
Que la empresa no haya sido multada previamente en materia de Protección de Datos.
Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.
Áudea Seguridad de la Información
José Carlos Moratilla
Consultor Legal
www.audea.com