El artículo 131.3 Ley 30/92, de junio, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, señala que “en la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones Públicas se deberá guardar la debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada”, esto es, proclama el principio de proporcionalidad a la hora de la aplicación de sanciones por parte de las Administraciones Públicas.
La AEPD, ente de derecho público con personalidad jurídica propia, tiene entre sus funciones la del ejercicio de la potestad sancionadora, y el ejercicio de esta actividad de policía es el punto más controvertido de la regulación española en materia de protección de datos, pues impone sanciones en muchos casos desproporcionadas a la gravedad de los hechos, o la actuación de los sujetos infractores, dando lugar a situaciones de flagrante desequilibrio, sobre todo si ponemos la lupa en el derecho comparado, tanto internacional (es la legislación más restrictiva de la Unión Europea) como interno.
Así, Samuel Parra señala en su blog que la amputación del dedo de un menor que trabajaba ilegalmente, manipulando maquinaria peligrosa sin las medidas de seguridad legalmente establecidas, dio lugar a una sanción para la empresa responsable de 30.000 €, según la normativa de Prevención de Riesgos Laborales, mientras que el envío de cartas a domicilios de antiguos compañeros de colegio por parte de un particular, incumpliendo las exigencias legales de protección de datos, tuvo como consecuencia una multa de 60.000 €.
Tampoco ayuda demasiado para empatizar con la actitud de la AEPD el hecho de que la misma se autofinancie con el importe de las sanciones aplicadas. Si bien es verdad que son los Presupuestos Generales del Estado los que financian al ente público, y la cuantía recaudada en concepto de multas va ha parar a una cuenta no dedicada a gastos corrientes de la misma, la percepción general es que es el afán recaudatorio, por encima del ánimo educador, lo que prima en la actuación de la AEPD.
En cualquier caso, no dudamos que la imposición de multas no consiga el efecto deseado en muchos casos, pero la impresión es que más que concienciación lo que genera es pánico en las empresas, que muchas veces no saben como actuar, y que en no pocos casos se ven incapaces de llevar a cabo todas las medidas de seguridad que exige la normativa, debido a la imposibilidad material o económica de su puesta en práctica. La situación se agrava con la aplicación por parte de la AEPD del art. 130 de la Ley 30/92, que admite que “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”. Por tanto, la mera falta del deber de cuidado puede dar lugar a sanción, sin entrar a valorar la culpabilidad del infractor, al que se le impone una obligación de resultado tal y como ha señalado la Audiencia Nacional en Sentencia de 6 de febrero de 2008.
La reforma del régimen sancionador de la LOPD, operada recientemente con la aprobación de la Ley de Economía Sostenible, ha paliado en parte esta situación, y purga algunos de los excesos de la normativa anterior, situando más el enfoque en el fomento del respeto a la protección de datos, incentivando los mecanismos de advertencia y seguimiento a través de la figura del apercibimiento (en caso de infracciones leves o graves por parte de infractores “primerizos”), que requiere la adopción de las correspondientes medidas, y permitiendo la graduación de la imposición de multas en función de las circunstancias concurrentes en la infracción.
Es éste, bajo nuestro punto de vista, el enfoque necesario que debe adoptar la legislación española, que en momentos tan críticos como los que vivimos actualmente no puede permitirse un régimen sancionador tan gravoso, sobre todo si lo comparamos con el de otros países cuya situación económica y tejido empresarial goza de una situación bastante más saludable que la nuestra.
Debemos aprovechar las sinergias positivas que ha dejado a su paso la aplicación de un régimen sancionado tan duro, para abrir el camino a una nueva etapa en la que la educación y la concienciación, acompañadas como no de una proporcionada aplicación de medidas punitivas siempre aparejadas de instrumentos correctores y aseguradores, sean los que guíen la senda del objetivo marcado: el respeto al derecho fundamental consagrado en el artículo 18 de la Constitución Española.
Áudea Seguridad de la Información
Javier Villegas
Consultor Legal
www.audea.com