Noticias y Novedades

NUEVO REGIMEN SANCIONADOR DE PROTECCIÓN DE DATOS

¿Cómo es el nuevo régimen sancionador en protección de datos?.

De acuerdo con el apartado g) del vigente artículo 37 de la Ley Orgánica 15/1.999, de Protección de Datos de Carácter Personal, constituye una función del director de la Agencia Española de Protección de Datos el ejercer la potestad sancionadora en los términos previstos por el Título VII de dicha Ley Orgánica.

En dicha normativa se contemplan básicamente la responsabilidad de los responsables de los ficheros y los encargados de tratamiento, incluso aunque se trate de ficheros de titularidad pública, se regulan los tipos de infracciones, los tipos de sanciones, las infracciones que pueden ser cometidas por parte de las Administraciones Públicas, la prescripción de dichas infracciones, el procedimiento sancionador y la potestad de inmovilización de ficheros.

Debe destacarse que en el artículo 48 se determina expresamente que por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones, y la imposición de las sanciones a que hace referencia el Título VII de la Ley Orgánica, y que las resoluciones de la Agencia de Protección de Datos u órganos correspondientes de las comunidades autónomas agotan la vía administrativa.

Y que finalmente, en dicho precepto se señala, que los procedimientos sancionadores tramitados por la Agencia Española de Protección de Datos, en el ejercicio de las potestades que a la misma atribuyan esta Ley Orgánica u otras leyes, salvo los referidos en fracciones de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tendrán una duración máxima de seis meses.sanciones1

Complementariamente a todo ello, en el Reglamento de la Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos, aprobado mediante Real Decreto 1720/2.207, de 31 de diciembre, en su Capítulo III, dentro del Título IX, se regulan los procedimientos relativos al ejercicio de la potestad sancionadora, donde se contemplan, asimismo cuestiones, tales con: su ámbito de aplicación, la inmovilización de ficheros, las actuaciones previas, el propio procedimiento sancionador, Procedimiento de declaración de infracción de la Ley Orgánica 15/1999, de 13 de diciembre, por las Administraciones Públicas.

Si ese es el régimen jurídico actualmente vigente derivado de la Directiva 95/46/CE, se debe hacer un breve repaso al régimen sancionador establecido en el nuevo Reglamento General de Protección de Datos de la Unión Europea, donde debemos partir del Expositivo número 148, en el que se señala, que a fin de reforzar la aplicación de las normas de dicho Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del indicado Reglamento, o en sustitución de estas.

En caso de infracción leve, o si la multa que probablemente se impusiera constituye una carga desproporcionada para una persona física, en lugar de sanción mediante multa, puede imponérsele un apercibimiento.

ATENCIÓN A LA NATURALEZA, GRAVEDAD Y DURACIÓN DE LA INFRACCIÓN

sancioneslopdDebe no obstante, prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas control responsable encargado, a la adhesión a códigos de conducta, y a cualquier otra circunstancia agravante o atenuante.

La imposición de sanciones, incluidas las multas administrativas, deben estar sujetas garantías procesales suficientes conforme a los principios generales del Derecho de la Unión, y de la Carta, entre ellas, el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.

Asimismo, se determina, que los Estados miembros de la Unión, deben tener la posibilidad de establecer normas en materia de sanciones penales por infracciones del Reglamento General de Protección de Datos, incluidas las infracciones de normas nacionales adoptadas con arreglo a él dentro de sus límites.

Dichas sanciones penales, pueden, asimismo, autorizar la privación de los beneficios obtenidos en infracción de las normas contenidas en dicho Reglamento. No obstante, la imposición de sanciones penales por infracciones de dichas normas nacionales, y de sanciones administrativas, no debe entrañar la vulneración del principio non bis in idem, según la interpretación efectuada del mismo por parte del Tribunal de Justicia de la Unión Europea.

Por todo ello, en el Expositivo 150 se afirma que a fin de reforzar y organizar la sanciones administrativas por infracción del citado Reglamento, cada autoridad de control debe estar facultada para imponer multas administrativas.

En este sentido, el Reglamento debe indicar las infracciones que son susceptibles de ser cometidas, así como el límite máximo y los criterios para fijar las correspondientes multas administrativas, correspondiendo a cada autoridad de control competente la responsabilidad de determinar en cada caso, y de manera individual su cuantía, teniendo en cuenta todas las circunstancias concurrentes en dicho supuesto, y ponderando en particular la naturaleza, la gravedad y la duración de la infracción, y sus consecuencias, y las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el Reglamento, o para impedir o mitigar las consecuencias de la infracción.

Si las multas administrativas se imponen a una empresa, por tal debe interpretarse e entenderse una entidad con arreglo a lo dispuesto en los artículos 101 y 102 del Texto Fundacional de la Unión Europea (TFUE).

SI LAS MULTAS NO SON A UNA EMPRESA

Si las multas administrativas se imponen a personas que no son una empresa, la autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la multa, elementos tales, como el nivel general de ingresos prevaleciente en el Estado miembro, así como la situación económica de la persona el mecanismo de coherencia, también puede emplearse para fomentar una aplicación coherente de las multas administrativas.

Debe corresponder a los Estados miembros determinar si, y en qué medida, se deben imponer multas administrativas a las autoridades públicas. La imposición de una multa administrativa de una advertencia no afecta al ejercicio de otras competencias de las autoridades de control, ni a la aplicación de otras sanciones al amparo del citado Reglamento.

En el apartado segundo del artículo 57 del nuevo Reglamento General se reconocen los poderes de los cuales dispone cada autoridad de control. En la materia que nos ocupa cada autoridad de control dispondrá de todos los siguientes poderes correctivos que se indican a continuación:

“a). Sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infligir lo dispuesto en el presente Reglamento.

b). sancionar a todo responsable encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el mismo.

[… ]

i). imponer una multa administrativa con arreglo al artículo 83, además o el lugar de las medidas mencionadas el presente apartado, según las circunstancias de cada caso particular”.

En el citado artículo 83 de nuevo Reglamento General, se establece las condiciones generales para la imposición de multas administrativas, afirmándose que cada autoridad de control garantizará que la imposición de multas administrativas con arreglo al presente artículo por las infracciones del Reglamento lo tienen que ser siempre a título individual, y de una manera donde se garantice su efectividad, su proporcionalidad, y su carácter eminentemente disuasorio.

Se adicionan, en consonancia con ello, una serie de criterios deben ser tenidos en cuenta a los efectos de ponderar la imposición de cualquier multa o sanción administrativa. Éstos criterios son los que se indican a continuación:

a). La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados, y el nivel de los daños y perjuicios que ha sufrido.

b). La intencionalidad o negligencia la infracción.

c). Cualquier medida tomada por el responsable encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.

d). El grado de responsabilidad del responsable del encargado de tratamiento, habida cuenta de las medidas técnicas u organizativas que haya aplicado en sus tratamientos.

e). Toda infracción anterior cometida por el responsable encargado del tratamiento.

f). El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción, y mitigar simples efectos adversos de la misma

g). Las categorías de los datos de carácter personal afectados por refracción.

h). La forma en que la autoridad de control tuvo conocimiento de la infracción en particular, si el responsable un encargado notificó la infracción, y, en tal caso, en qué medida lo hizo.

i). Cuando las medidas correctivas previstas en el apartado 2º del artículo 58, a las que se ha hecho anterior referencia, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate, en relación con el mismo asunto, el cubrimiento que se haya producido dichas medidas.

j). La adhesión a códigos de conducta en virtud de lo dispuesto en el artículo 40 del Reglamento General o a mecanismos de certificación aprobados con arreglo al artículo 42 del mismo cuerpo reglamentario.

k). Cualquier otro factor agravante o atenuante aplicar las circunstancias del caso, como los beneficios financieros obtenidos, o las pérdidas editadas, directa o indirectamente a través de la infracción.

Como norma procedimental importante, debe indicarse que el apartado 3º de este artículo 83, se señala que, si un responsable o un encargado del tratamiento incumple de forma intencionada o negligente, para las mismas operaciones de tratamiento u operaciones vinculadas, diversas disposiciones del presente Reglamento, la cuantía total de una multa administrativa no será superior a la cuantía prevista para las infracciones más graves.

MULTAS

Debe señalarse que las sanciones previstas en concepto de multas administrativas en el Reglamento General, se concretan de la siguiente manera:

a). Multas hasta 10.000.000 €, como máximo, o, tratándose de una empresa de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose siempre por la multa de mayor cuantía.

Estás sanciones son de aplicación a vulneraciones de la normativa contenida en el Reglamento General, que afecte alguna de las siguientes cuestiones: condiciones aplicables al consentimiento del niño en relación con los servicios de la Sociedad de la información; tratamientos que no requieren de identificación; protección de datos desde el diseño por defecto; vulneración de la normativa de los corresponsables del tratamiento; infracción de las normas relativas a representantes de responsables encargado del tratamiento no establecidos en el ámbito territorial de la Unión; infracción de la normativa relativa al encargado de tratamiento; tratamientos bajo la autoridad del responsable del encargado de tratamiento; infracción de la normativa relativa al registro de las actividades de tratamiento, infracción de la normativa correspondiente a la cooperación con la autoridad de control; vulneración de las normas sobre seguridad del tratamiento; infracción de la notificación de una violación de la seguridad de los datos personales a la autoridad de control (brecha de seguridad); vulneración de la comunicación de una violación de la seguridad de los datos personales al interesado; infracción de la normativa sobre la evaluación de impacto relativo a la protección de datos; infracción del régimen de consulta previa a la autoridad de control; infracción a la normativa sobre la designación del delegado de protección de datos (DPO); incumplimiento de la posición y de las funciones asignadas al delegado de protección de datos; y, por último, la violación de la normativa en materia de certificación, o del funcionamiento del organismo de certificación.

b). Multas hasta 20.000.000 €, como máximo, o, tratándose de una empresa de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose siempre por la multa de mayor cuantía.

Del mismo modo, estás sanciones son de aplicación a vulneraciones de la normativa contenida en el Reglamento General, que afecte a las materias, que se indican seguidamente: los principios básicos para el tratamiento incluidos las condiciones para la prestación del consentimiento tenor de lo dispuesto en los artículos 5, 6, 7 y 9 del Reglamento General; los derechos de los interesados a tenor de establecido a tenor de los artículos 12 a 22 de dicho Reglamento; la transferencia de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49 del mencionado Reglamento; toda obligación en virtud del derecho de los Estados miembros que salte con arreglo al Capítulo IX; el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento, o la suspensión de los flujos de datos por parte de autoridad de control con arreglo al artículo 58, apartado 2º, o el hecho de no facilitar el acceso en incumplimiento del artículo 58, apartado 1º, todos ellos del Reglamento.

Con independencia de esta capacidad sancionadora establecida en el Reglamento General debe tenerse en cuenta que, innovando la situación hasta ahora existente, que cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida procede hacerlo, con relación a la posible facultad de imponer multas a entidades públicas y administrativas autoridades y, demás organismos públicos establecidos en dicho Estado miembro.

Hasta la promulgación de dicho Reglamento General, los organismos y las autoridades públicas no podían ser objeto de sanción pecuniaria.

La ausencia de una normativa específica dentro del Reglamento General, con relación a normas a seguir en el procedimiento de carácter sancionador, determina necesariamente la necesidad de mantener en vigor, y, en su caso, actualizar la vigente Ley Orgánica 15/1999, de 13 de diciembre, para adecuarla a las exigencias de la nueva normativa.

Finalmente, es necesario hacer referencia al contenido del apartado 9º del artículo 83 del Reglamento General, donde, entre otras cosas, se determina que cuando el ordenamiento jurídico de un Estado miembro no establezca multas administrativas, el presente artículo podrá aplicarse de tal modo que la incoación del expediente sancionador que conlleve la imposición de la sanción de multa corresponda la autoridad de control correspondiente, y su imposición efectiva a los tribunales nacionales competentes, garantizando al mismo tiempo que estas vías de derecho sean efectivas, y tengan un efecto equivalente a las multas administrativas impuestas, por los autoridades de control. En cualquier caso, las multas serán efectivas, proporcionadas y disuasorias.

Esta posibilidad, no seguida hasta el momento por el ordenamiento jurídico español, parece sumamente interesante, en cuanto que, teniendo en cuenta la gravedad y la cuantía de las sanciones económicas, y las muchas circunstancias que es necesario ponderar a los efectos de la imposición de estas multas administrativas, que expresamente se prevén en el nuevo Reglamento General, en cuanto que ello concilia de una manera mucho más eficaz las exigencias de proporcionalidad, de efectividad que son necesarias e imprescindibles en su imposición.

Ello plantea una alternativa muy interesante, en el sentido de que aporta un nuevo modelo jurídico, donde la Administración tendría la posibilidad de incoar el expediente administrativo sancionador, mientras que sería la jurisdicción la que en uso de sus competencias legales impondría finalmente la sanción correspondiente que procediera, de acuerdo con las circunstancias concurrentes.

Es el sistema de distribución de competencias, daría una mayor transparencia, seguridad, y estabilidad al sistema, y garantizaría un mismo criterio jurídico tanto en el seno de la Administración como el de la Jurisdicción con relación a la aplicación e interpretación de las normas contenidas en el régimen jurídico de la protección de datos de carácter personal, garantizando simultáneamente una mayor independencia en el ejercicio de esta potestad sancionadora.

Fuente: Javier Puyol