15 de julio de 2011

Por: Ana Iparraguirre

La Ley 2/2011, de 4 de marzo de Economía Sostenible, también conocida como Ley “Sinde”, entre otras cosas, en su Disposición final quincuagésima sexta, modifica la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, afectando de lleno al Régimen Sancionador, dotando de una nueva redacción a los artículos 43, 44, 45, 46 y 49 de dicha Ley. 

Como cuestiones más novedosas destacan las graduaciones de las sanciones y la figura del apercibimiento. 

Se trata de una que reforma obliga a las organizaciones a revisar sus riesgos en materia de protección de datos y sin duda, a redefinir sus estrategias proactivas y reactivas frente a los procedimientos sancionadores.

La presente reforma podría desglosarse en los siguientes puntos:

1.- Existen infracciones con una nueva redacción, infracciones que han sido aglutinadas, e infracciones que han aumentado o disminuido de grado. A lo largo del presente punto sólo se destacarán aquellas más significativas y novedosas.

En relación con la figura del acceso a datos por cuenta de terceros, el nuevo art. 44.2 d) considera como infracción leve “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el art. 12 de esta Ley”. Con la anterior redacción, el hecho de no formalizar por escrito un contrato de encargo de tratamiento se consideraba una infracción grave. Se podían dar situaciones en las que era sumamente difícil cubrir esta obligación, por ejemplo, en el caso de empresas dedicadas a prestar servicios a la Administración Pública y que tienen en vigor cientos (y hasta miles) de contratos a lo largo de la geografía española, no obstante, siempre estas entidades tuvieron la posibilidad de presentarlos en el Registro Público de la Administración. Eso sí, si un contrato quedaba sin presentar ante dicho Registro estábamos ante una infracción grave. Tras esta reforma cabe preguntarse ¿minorar la sanción será bueno para el perfecto desarrollo y cumplimiento de la LOPD, en lo relativo al acceso a datos por cuenta de terceros?

También se lleva a cabo la nueva redacción del art. 42.2 c) que se relaciona con los art. 5 LOPD y art. 14 RLOPD y que considera una falta leve, el incumplimiento del deber de información al afectado, acerca del tratamiento de sus datos personales.

Por otro lado, se tipifica como infracción grave la vulneración del deber de secreto de los datos de carácter personal al que se refiere el artículo 10 de la LOPD, de esta manera se unifican los arts. 44.2 e), 44.3 g) y 44.4 g), es decir, ya no se modula la gravedad en función del nivel del dato revelado o comunicado (básico, medio o alto) sino que se sanciona el mero hecho de comunicarlo. A título de reflexión ¿no resulta excesivo que se califique como infracción grave la revelación de un dato de nivel básico, como puede ser la matrícula de un vehículo? Habrá que esperar para que aplicación se le da a las atenuantes.

Por su parte, el apartado k) del art. 44.3 considera infracción grave la comunicación o cesión de los datos de carácter personal sin contar con legitimación, salvo que la misma sea constitutiva de infracción muy grave. Con esta modificación la comunicación de datos básicos y medios deja de ser muy grave, manteniéndose este grado para la comunicación de datos de nivel alto.

2.- Se ha modificado la cuantía de las sanciones.

Según el art. 45 de la LOPD las infracciones serán sancionadas las leves de 900 € a 40.000 €, las graves de 40.001 € a 300.000 € y las muy graves de 300.001 € a 600.000 €, viéndose incrementado el tramo inicial de las leves (antes eran 600 €) y rebajado el grado máximo (antes era 60.000 €).

3.- Se han creado criterios de graduación de las sanciones, los cuales se venían aplicando por la AEPD.

El art. 45.4 establece que las sanciones podrán ser graduadas, la nueva redacción incorpora a este precepto como algo nuevo:

-      El carácter continuado de la infracción (que no debe confundirse con la reincidencia).

-      El volumen de negocio o actividad del infractor.

-      La acreditación de haber implantado procedimientos y políticas adecuados.

La AEPD ya venía aplicando estos criterios de graduación, entre otras la resolución R/01366/2010 relativa al volumen de negocio o actividad del infractor estableció que “… por la actividad profesional desarrollada, viene obligada a tratar un gran volumen de datos personales, estimamos que no resulta procedente imponer la sanción, en el presente asunto en su cuantía mínima”, R/0277/2009 en la que se gradúa la sanción por la implantación de procedimientos “En el presente caso, y a efectos de la aplicación del artículo 45.5 de la LOPD, se debe tener en cuenta que (…) tenía implantados algunas medidas de seguridad, se actuó con diligencia antes de recibir la inspección de la Agencia implantando medidas de seguridad, exigidas reglamentariamente (…) siendo apreciable las causas para la aplicación del art. 45.5 de la LOPD…”

Asimismo existen atenuantes de nueva tipificación como:

-      Cuando la entidad infractora haya regulado la situación irregular de forma diligente.

-      Cuando la conducta del afectado haya podido inducir a la comisión de la infracción.

-      Cuando el infractor haya reconocido espontáneamente su culpabilidad.

-      Cuando se haya producido un proceso de fusión y la infracción fuese anterior a dicho proceso.

Estos atenuantes se venían aplicando por la AEPD, así se refleja en la Resolución R/00995/2008 “En virtud de los criterios de graduación de las sanciones, y teniendo en cuenta que durante la tramitación del presente procedimiento se había corregido la infracción imputada y a la falta de beneficios obtenidos, procede proponer la sanción en su cuantía mínima”.

Nuevamente sorprende que si el propio afectado es quien induce a la comisión de la infracción, ésta siga existiendo, y que esta circunstancia sólo sirva como atenuante

 4.- Se ha creado la figura del apercibimiento.

Según el art. 45.6 de la LOPD, el apercibimiento es una figura novedosa, una alternativa a la multa que tiene carácter de excepcional ante hechos que fuesen constitutivos de infracción leve o grave y siempre que el infractor no haya sido sancionado o apercibido con anterioridad. Si no se atendiera al apercibimiento, se procedería a la apertura del expediente sancionador que corresponda.

En la actualidad la AEPD ya ha iniciado procedimientos de apercibimiento, tómese como ejemplo el R/00788/2011 “En el presente supuesto se cumplen los requisitos recogidos en los apartados a) y b) del citado apartado 45.6. Junto a ello se constata una cualificada disminución de la culpabilidad del imputado (…), no consta vinculación relevante de la actividad del denunciado con la relación de tratamiento de datos de carácter personal, su volumen de negocio o actividad…”

Encontramos cuestiones que están sin resolver de esta nueva figura, las cuales se irán aclarando según vaya actuando la AEPD:

-      ¿Qué significa no haber sido sancionado o apercibido con anterioridad: No haberlo sido en general ó no haberlo sido por una misma causa?

-      ¿Cuándo desaparecen esos “antecedentes” en la AEPD?

-      ¿Cuáles son las formalidades de la audiencia previa?

-      ¿Qué plazo fijará la AEPD para el cumplimiento de las medidas correctoras?

5.- Potestad de inmovilización de ficheros.

En la nueva redacción de este precepto, se amplía la potestad de inmovilización ante infracciones graves y no sólo ante infracciones muy graves, si bien es cierto que esta medida ha sido aplicada en raras ocasiones.