Además de la famosa “Ley Sinde”, la Ley de Economía Sostenible trajo consigo una esperada reforma del régimen sancionador de la Ley Orgánica de Protección de Datos.
A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:
¿Quiénes pueden ser multados?
Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:
-
Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.
-
Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.
¿Y qué sucede con las administraciones públicas? (ayuntamientos, colegios públicos, entidades públicas empresariales, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta. Sin embargo, la agencia de protección de datos que corresponda (las agencias autonómicas para administraciones públicas de su respectiva autonomía, y la Agencia Española para el resto) deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.
¿Y se puede multar a un ciudadano? Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable; no obstante, la Agencia Española de Protección de Datos tiende a no hacer sangre de las infracciones cometidas por ciudadanos.
Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el “Responsable del Tratamiento” como una figura independiente del “Responsable del Fichero”. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).
¿Por qué cosas me pueden multar?
El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.
Son infracciones leves:
-
No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. La notificación de ficheros no es algo que se hace una vez en la vida y vale para siempre. Los cambios en la dinámica de la empresa, una nueva iniciativa del departamento de marketing, o la instalación de una cámara de vídeovigilancia pueden suponer que estemos cometiendo una infracción. Además, si los ficheros fueron inscritos antes de julio de 2006 (aprobación del Formulario NOTA por Resolución del Director de la AEPD, publicada en BOE 181 de 31 de julio), pueden contener defectos o campos sin rellenar que actualmente son obligatorios.
-
No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave. Es fácil poner una cláusula en un cuestionario o formulario en papel, pero no es tan fácil cumplir con esta obligación cuando se recogen datos por teléfono o te dejan un CV en la recepción de tu empresa.
-
No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por el artículo 12 de la LOPD. Conviene no olvidarse de que no sólo son Encargados la gestoría de nóminas o el callcenter, sino también aquellos prestadores de servicios gracias a los cuales funcionamos, como los proveedores de hosting web, o del servidor de correo electrónico.
Son infracciones graves:
-
Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron. A menudo, tratar los datos para una finalidad distinta no es sancionado como un incumplimiento del Principio de Calidad, sino como un tratamiento de datos sin consentimiento.
-
Tratar o ceder datos sin el consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos, que será una infracción muy grave). Para que el consentimiento sea inequívoco, previamente se ha debido cumplir con el deber de información.
-
Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento (aunque sea por accidente).
-
Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición). No obstante, si no se atiende correctamente un ejercicio de derechos ARCO, seguramente no se iniciará un procedimiento sancionador, sino un procedimiento de Tutela de Derechos, a través del cual la AEPD exigirá al Responsable del Fichero cumplir con sus obligaciones, pero no le aplicará una sanción económica.
-
No implantar correctamente las medidas de seguridad. En la mayoría de los casos, una brecha en las medidas de seguridad, implica una vulneración del deber de secreto.
-
No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora.
Finalmente, son infracciones muy graves:
-
Tratar datos de forma engañosa o fraudulenta.
-
Tratar o ceder datos especialmente protegidos sin el consentimiento necesario. La normativa considera “datos especialmente protegidos” a aquellos relativos a la Ideología, religión o creencias, afiliación sindical, salud, vida sexual y origen racial o étnico. En suma, son aquellos que históricamente han podido generar discriminación… aunque hoy en día, algunos de ellos no sean tan sensibles (por ejemplo, aunque parezca ridículo, es más grave decirle a un cliente que tu empleado no ha ido a trabajar porque tiene gripe, que decirle cuánto gana al mes o dónde vive).
-
No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.
-
Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD. Son transferencias internacionales las cesiones y los encargos de tratamiento a terceros ubicados fuera del Espacio Económico Europeo: países de la Unión Europea, más Islandia, Liechtenstein y Noruega (países adheridos al Acuerdo Europeo de Libre Comercio, o EFTA, menos Suiza). Excepciones aparte (como el consentimiento inequívoco de los afectados), fuera de éste ámbito geopolítico es necesario aportar ciertas garantías de cumplimiento por parte del destinatario de los datos, ya sea por su normativa nacional (países con un adecuado nivel de Protección, como Suiza, Argentina, o más recientemente, Israel), o por normativa de adhesión voluntaria (como el Tratado de Puerto Seguro en el caso estadounidense, o la firma de un contrato tipo aprobado por la Comisión Europea, en cuyo caso, deberá entregarse una copia original del contrato a la Agencia Española de Protección de Datos para su autorización).
Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar?
Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves. Superado este plazo, desde la fecha de la comisión de la infracción, la infracción habrá prescrito y la empresa infractora no podrá ser sancionada.
No obstante, debe tenerse en cuenta que algunas infracciones son susceptibles de ser continuadas en el tiempo, y en estos casos, no se podrá estimar la prescripción. Es el caso de la no inscripción de ficheros, o del tratamiento de datos sin consentimiento, cuando el tratamiento sea continuado.
Y ¿a cuánto pueden ascender las multas?
En principio, el importe de las multas debe seguir el siguiente baremo:
-
Infracciones leves: 900 euros – 40.000 euros
-
Infracciones graves: 40.000 euros – 300.000 euros
-
Infracciones muy graves: 300.000 euros – 600.000 euros
Mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros… o con 300.000 euros?
La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:
-
El carácter continuado de la infracción.
-
El volumen de los tratamientos efectuados.
-
La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
-
El volumen de negocio o actividad del infractor.
-
Los beneficios obtenidos como consecuencia de la comisión de la infracción.
-
El grado de intencionalidad.
-
La reincidencia por comisión de infracciones de la misma naturaleza.
-
La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
-
La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
En todo caso, la AEPD suele apuntar al límite inferior de cada escalón salvo en casos concretos.
Pero los 40.000 como mínimo, no me los quita nadie, ¿no?
La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:
-
Cuando concurran varias circunstancias atenuantes de las expuestas.
-
Cuando se haya corregido el defecto que dio origen a la infracción de forma diligente (ni que decir tiene que es la AEPD quien interpreta en cada caso si se actuó o no de forma diligente).
-
Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.
-
Cuando el infractor reconozca espontáneamente su culpabilidad.
-
Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente. Esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación.
Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.
Para ello, tienen que concurrir las siguientes circunstancias:
-
Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).
-
Que la empresa no haya sido multada previamente en materia de Protección de Datos.
Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.
José Carlos Moratilla.
Responsable del Departamento Legal.
Áudea Seguridad de la Información.
http://www.audea.com/