Modificació Llei Orgànica Protecció de Dades

Amb la recent aprovació i entrada en vigor de la Llei d'economia sostenible s'ha modificat la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de caràcter personal. En particular, les modificacions afecten el règim sancionador previst en aquesta última, entre les quals destaca la consideració com a sanció lleu de l'absència del contracte que l'encarregat del fitxer de formalitzar amb aquelles terceres persones que accedeixen a la informació, tal com assenyala el article 12 de la LOPD, així com el no fer les notificacions preceptives a l'afectat passen a ser considerades com a sanció de tipus greu.



També es modifica la quantia de les multes aplicables en supòsits de sanció, passant la sanció per infracció lleu a una quantitat mínima de 900 euros.


Excepcionalment podrà no iniciar procediment sancionador si concorren determinades circumstàncies i, a més, la infracció està tipificada com a lleu o greu.


Així mateix s'introdueixen noves causes per les quals pot minorar el grau de sanció del subjecte infractor.


En concret, el nou redactat de l'article 44 i següents queda així:


"2. Són infraccions lleus:

a) No remetre a l'Agència Espanyola de Protecció de Dades les notificacions previstes en aquesta Llei o les seves disposicions de desenvolupament.

b) No sol.licitar la inscripció del fitxer de dades de caràcter personal al Registre General de Protecció de Dades.

c) L'incompliment del deure d'informació a l'afectat sobre el tractament de les seves dades de caràcter personal quan les dades siguin recollides del propi interessat.

d) La transmissió de les dades a un encarregat del tractament sense complir els deures formals que estableix l'article 12 d'aquesta Llei.

3. Són infraccions greus:

a) Procedir a la creació de fitxers de titularitat pública o iniciar la recollida de dades de caràcter personal per als mateixos, sense autorització de disposició general, publicada en el Butlletí Oficial de l'Estat o diari oficial corresponent.

b) Tractar dades de caràcter personal sense obtenir el consentiment de les persones afectades, quan aquest sigui necessari d'acord amb el que disposa aquesta Llei i les seves disposicions de desenvolupament.

c) Tractar dades de caràcter personal o utilitzar posteriorment amb conculcació dels principis i garanties que estableix l'article 4 d'aquesta Llei i les disposicions que el desenvolupen, excepte quan sigui constitutiu d'infracció molt greu.

d) La vulneració del deure de guardar secret sobre el tractament de les dades de caràcter personal a què es refereix l'article 10 d'aquesta Llei

e) L'impediment o l'obstaculització de l'exercici dels drets d'accés, rectificació, cancelació i oposició.

f) L'incompliment del deure d'informació a l'afectat sobre el tractament de les seves dades de caràcter personal quan les dades no hagin estat recollides del propi interessat.

g) L'incompliment de la resta de deures de notificació o requeriment a l'afectat imposats per aquesta Llei i les seves disposicions de desplegament.

h) Mantenir els fitxers, locals, programes o equips que continguin dades de caràcter personal sense les degudes condicions de seguretat que per via reglamentària es determinin.

i) No atendre els requeriments o advertències de l'Agència Espanyola de Protecció de Dades o no proporcionar a aquella tots els documents i informacions siguin demanats per aquesta.

j) L'obstrucció a l'exercici de la funció inspectora.

k) La comunicació o cessió de les dades de caràcter personal sense tenir legitimació per a això en els termes previstos en aquesta Llei i les seves disposicions reglamentàries de desenvolupament, llevat que aquesta sigui constitutiva d'infracció molt greu.


4.
Són infraccions molt greus:

a) La recollida de dades en forma enganyosa o fraudulenta.

b) Tractar o cedir les dades de caràcter personal a què es refereixen els apartats 2, 3 i 5 de l'article 7 d'aquesta Llei excepte en els supòsits en què aquesta ho autoritza o violentar la prohibició continguda en l'apartat 4 de l'article 7
.

c) No cessar en el tractament il.lícit de dades de caràcter personal quan hi hagués un previ requeriment del director de l'Agència Espanyola de Protecció de Dades per a això.

d) La transferència internacional de dades de caràcter personal amb destinació a països que no proporcionin un nivell de protecció equiparable sense autorització del director de l'Agència Espanyola de Protecció de Dades excepte en els supòsits en què acord amb aquesta Llei i les seves disposicions de desplegament
aquesta autorització no és necessària. "


"1. Les infraccions lleus seran sancionades amb multa de 900 a 40.000 euros.
2. Les infraccions greus seran sancionades amb multa de 40.001-300.000 euros.
3.
Les infraccions molt greus seran sancionades amb multa de 300.001 a 600.000 euros.


4. La quantia de les sancions es graduarà atenent els següents criteris:
a) El caràcter continuat de la infracció.
b) El volum dels tractaments efectuats.
c) La vinculació de l'activitat de l'infractor amb la realització de tractaments de dades de caràcter personal.
d) El volum de negoci o activitat de l'infractor.
e) Els beneficis obtinguts com a conseqüència de la comissió de la infracció.
f) El grau d'intencionalitat.
g) La reincidència per comissió d'infraccions de la mateixa naturalesa.
h) La naturalesa dels perjudicis causats a les persones interessades oa terceres persones.
i) L'acreditació que amb anterioritat als fets constitutius d'infracció l'entitat imputada tenia implantats procediments adequats d'actuació en la recollida i tractament de les dades de caràcter personal, sent la infracció conseqüència d'una anomalia en el funcionament d'aquests procediments no deguda
a una falta de diligència exigible a l'infractor.
j) Qualsevol altra circumstància que sigui rellevant per determinar el grau d'antijuridicitat i de culpabilitat presents en la concreta actuació infractora.


5. L'òrgan sancionador establirà la quantia de la sanció aplicant l'escala relativa a la classe d'infraccions que precedeixi immediatament en gravetat a aquella en què s'integra la considerada en el cas que es tracti, en els següents supòsits:
a) Quan s'apreciï una qualificada disminució de la culpabilitat de l'imputat o de l'antijuridicitat del fet com a conseqüència de la concurrència significativa de diversos dels criteris enunciats en l'apartat 4 d'aquest article.
b) Quan l'entitat infractora hagi regularitzat la situació irregular de forma diligent.
c) Quan pugui apreciar-se que la conducta de l'afectat ha pogut induir a la comissió de la infracció.
d) Quan l'infractor hagi reconegut espontàniament la seva culpabilitat.
e) Quan s'hagi produït un procés de fusió per absorció i la infracció és anterior a aquest procés, i no és imputable a l'entitat absorbent.
"
Quatre.


 


S'afegeix un nou apartat 6 a l'article 45, i els actuals apartats 6 i 7 a ser els apartats 7 i 8, i el text del nou apartat el següent:
"6.
Excepcionalment l'òrgan sancionador podrà, prèvia audiència dels interessats i atesa la naturalesa dels fets i la concurrència significativa dels criteris establerts en l'apartat anterior, no acordar l'obertura del procediment sancionador i, en el seu lloc, advertir al subjecte responsable per tal que, en el termini que l'òrgan sancionador determini, acrediti l'adopció de les mesures correctores que en cada cas resulten pertinents, sempre que concorrin els següents pressupostos:
a) Que els fets fossin constitutius d'infracció lleu o greu acord amb el que disposa aquesta Llei.
b) Que l'infractor no hagués estat sancionat o advertit amb anterioritat.


Si l'advertència no és atesa en el termini que l'òrgan sancionador hagués determinat procedirà l'obertura del corresponent procediment sancionador per l'incompliment. "
Cinc. Es fa una nova redacció dels apartats 1 a 3 de l'article 46, passant a ser la seva redacció la següent:
"1. Quan les infraccions a què es refereix l'article 44 siguin comeses en fitxers de titularitat pública o en relació amb tractaments els responsables ho serien de fitxers d'aquesta naturalesa, l'òrgan sancionador dictarà una resolució per establir les mesures que escau adoptar perquè cessin
o es corregeixin els efectes de la infracció. Aquesta resolució es notificarà al responsable del fitxer, l'òrgan del qual depengui jeràrquicament i als afectats si n'hi ha.
2. L'òrgan sancionador podrà proposar també la iniciació d'actuacions disciplinàries, si són procedents.
El procediment i les sancions a aplicar seran les establertes en la legislació sobre règim disciplinari de les administracions públiques.
3.
S'hauran de comunicar a l'òrgan sancionador les resolucions que es dictin en relació amb les mesures i actuacions a què es refereixen els apartats anteriors. "
Sis.
Es modifica l'article 49 que passa a tenir la redacció següent:


"Article 49. Potestat d'immobilització de fitxers.
En els supòsits constitutius d'infracció greu o molt greu en que la persistència en el tractament de les dades de caràcter personal o la seva comunicació o transferència internacional posterior pogués suposar un greu menyscapte dels drets fonamentals dels afectats i en particular del seu dret a la protecció de dades de caràcter personal, l'òrgan sancionador podrà, a més d'exercir la potestat sancionadora, pot requerir als responsables de fitxers de dades de caràcter personal, tant de titularitat pública com privada, la cessació en la utilització o cessió il.lícita de les dades. Si el requeriment és desatès, l'òrgan sancionador podrà, mitjançant resolució motivada, immobilitzar aquests fitxers als únics efectes de restaurar els drets de les persones afectades. "


El text íntegre de la Llei està disponible al següent link:


http://www.boe.es/boe/dias/2011/03/05/pdfs/BOE-A-2011-4117.pdf


 


Comentaris a les principals novetats introduïdes per aquesta nova Llei:


Accés per compte de tercers


Pel que fa a l'accés per compte de tercers l'Agència venia sancionant com cessió inconsentida els supòsits en què eren clarament una deficiència formal d'un contracte (Resolució del director de l'Agència Espanyola de Protecció de Dades de 2004.02.26, entre d'altres). En aquest sentit destaquem la "rigidesa" amb la que l'Agència ve interpretant el compliment dels requisits formals de l'article 12, i reafirmem la necessitat d'assegurar que els contractes contenen el contingut exacte que exigeix ​​l'esmentat article.


En relació amb graduació de culpabilitat


Aquest article és clau en tots els processos sancionadors i la distinció entre processos previs d'adequació és una millora en la nostra opinió del grau de culpabilitat.
En aquest sentit una novetat és que el reconeixement de la sanció atenua la sanció, circumstància que abans no era considerada com a atenuant i que suposa una novetat. (Igual que per exemple, en matèria tributària)


En relació al no-inici de procediment sancionador


L'Agència està subjecta al principi de legalitat, com tots, i s'ha vist en la meva opinió "superada" en determinats supòsits en què el subjecte sancionat era una micro empresa o un professional autònom. Aquestes situacions han incomodat a l'Agència i emetia en certs casos resolucions que podien - de vegades - resultar inversemblants. Amb aquest article es pretén precisament actuar en el si de la legalitat però amb moderació i sabem que en determinats supòsits aquest article s'estava portant a la pràctica sense estar explícit com a tal.


Respecte al advertència de sancions en matèria de l'Administració


 


Fins dia d'avui l'incompliment de l'Administracions no ha tingut gairebé conseqüències per als treballadors de l'Administració Pública per la qual cosa amb aquest article es pretén impulsar el règim sancionador i establir les bases per a la possible responsabilitat dels funcionaris que per negligència no tracten correctament les dades personals.