Modificación de la Ley Orgánica de Protección de Datos

Con la reciente aprobación y entrada en vigor de la Ley de Economía Sostenible se ha modificado la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. En particular, las modificaciones afectan al régimen sancionador previsto en esta última, entre las cuales destaca la consideración como sanción leve de la ausencia del contrato que el encargado del fichero debe formalizar con aquellas terceras personas que acceden a la información, tal y como señala el artículo 12 de la LOPD, así como el no realizar las notificaciones preceptivas al afectado pasan a ser consideradas como sanción de tipo grave.


Se modifica también la cuantía de las multas aplicables en supuestos de sanción, pasando la sanción por infracción leve a una cantidad mínima de 900 Euros.


Excepcionalmente podrá no iniciarse procedimiento sancionador si concurren determinadas circunstancias y, además,  la infracción está tipificada como leve o grave. 


Asimismo se introducen nuevas causas por las que puede aminorarse el grado de sanción del sujeto infractor.


En concreto, el nuevo redactado del artículo 44 y siguientes queda como sigue:


"2. Son infracciones leves:

a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.

b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.

c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.

d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

3. Son infracciones graves:

a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente.

b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.

c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.

d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.

e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.

g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

i) No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.

j) La obstrucción al ejercicio de la función inspectora.

k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.


4. Son infracciones muy graves:

a) La recogida de datos en forma engañosa o fraudulenta.

b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.

c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.

d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria."


"1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.


2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.


3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.


4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:


a) El carácter continuado de la infracción.


b) El volumen de los tratamientos efectuados.


c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.


d) El volumen de negocio o actividad del infractor.


e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.


f) El grado de intencionalidad.


g) La reincidencia por comisión de infracciones de la misma naturaleza.


h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.


i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.


j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.


5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:


a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.


b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.


c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.


d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.


e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente."


Cuatro. Se añade un nuevo apartado 6 al artículo 45, pasando los actuales apartados 6 y 7 a ser los apartados 7 y 8, siendo el texto del nuevo apartado el siguiente:


"6. Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:


a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.


b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.


Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento."


Cinco. Se da nueva redacción a los apartados 1 a 3 del artículo 46, pasando a ser su redacción la siguiente:


"1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.


2. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.


3. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores."


Seis. Se modifica el artículo 49 que pasa a tener la siguiente redacción:


"Artículo 49. Potestad de inmovilización de ficheros.


En los supuestos constitutivos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación o transferencia internacional posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas."


El texto íntegro de la Ley está disponible en el siguiente link:


http://www.boe.es/boe/dias/2011/03/05/pdfs/BOE-A-2011-4117.pdf


Comentarios a las principales novedades introducidas por esta nueva Ley:


1. Acceso por cuenta de terceros


En relación al acceso por cuenta de terceros la Agencia venía sancionando como cesión inconsentida los supuestos en que eran claramente una deficiencia formal de un contrato (Resolución del director de la Agencia Española de Protección de Datos de 26-02-2004, entre otras). En este sentido destacamos la “rigidez” con la que la Agencia viene interpretando el cumplimiento de los requisitos formales del artículo 12, y reafirmamos la necesidad de asegurarse que los contratos contienen el contenido exacto que exige dicho artículo.


2. En relación a graduación de culpabilidad


Este artículo es clave en todos los procesos sancionadores y la distinción entre procesos previos de adecuación es una mejora en nuestra opinión del grado de culpabilidad.


En este sentido una novedad es que el reconocimiento de la sanción atenúa la sanción, circunstancia que antes no era considerada como atenuante y que supone una novedad. (al igual que por ejemplo, en materia tributaria)


3. En relación al no inicio de procedimiento sancionador


La Agencia está sujeta al principio de legalidad, como todos, y se ha visto en mi opinión “superada” en determinados supuestos en que el sujeto sancionado era una micro empresa o un profesional autónomo. Estas situaciones han incomodado a la Agencia y emitía en ciertos casos resoluciones que podían – a veces – resultar inverosímiles. Con este artículo se pretende precisamente actuar en el seno de la legalidad pero con moderación y sabemos que en determinados supuestos este artículo se estaba llevando a la práctica sin estar explícito como tal.


4. Respecto al apercibimiento de sanciones en materia de la Administración


Hasta día de hoy el incumplimiento general de las Administraciones no ha tenido casi consecuencias para los trabajadores de la Administración Pública por lo que con este artículo se pretende impulsar el régimen sancionador y establecer las bases para la posible  responsabilidad de los funcionarios que por negligencia no tratan correctamente los datos personales.