IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. Las infracciones y sanciones en la nueva Ley y en el Reglamento

Artículos - Protección de Datos de Carácter Personal

Las infracciones y sanciones en la nueva Ley y en el Reglamento

Juan Martín-Casallo López
Fiscal del Tribunal Supremo

La Ley Orgánica 5/1992, de 29 de octubre, ya contemplaba en su Título VII, bajo el nombre de Infracciones y Sanciones, un procedimiento sancionador que estaba integrado por la determinación de unos tipos de infracciones y el establecimiento paralelo de unas sanciones correspondientes. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, efectuada como consecuencia de la transposición de la Directiva 95/46/CE del parlamento Europeo y del Consejo, de 24 de octubre de 1995, también contiene en el Título VII de la misma una idéntica rúbrica destinada a la determinación de lo que deben considerarse faltas y una aplicación de las sanciones correspondientes.

Debe señalarse que con tal catálogo de faltas tanto la Ley antigua como la vigente cumplen con el principio que el artículo 9.3 de la C. E. consagra, de garantizar el principio de legalidad, que aparece desarrollado en el artículo 25.1 de la misma cuando se establece que "nadie puede ser condenado o sancionado por acciones u omisiones que en el momento de producirse no constituyan delito, falta o infracción administrativa según la legislación vigente en aquel momento". Dicho principio se traduce en un derecho subjetivo de carácter fundamental e implica al menos una triple exigencia: la previa existencia de una ley; que la misma sea anterior al hecho sancionado y que ella describa un supuesto de hecho estrictamente determinado.

La expresión legislación vigente del precepto constitucional, si bien se ha identificado como ley en sentido formal, en ocasiones se ha admitido una menor exigencia en cuanto a su rango normativo en aquellos supuestos en que la norma legal es completada por una norma reglamentaria. No es este último supuesto el que se aplica por la L. O. 15/1999 ya que en la misma se contienen con carácter general todas las descripciones de lo que el ordenamiento jurídico entiende debe ser considerado como falta sin necesidad de acudir a normas reglamentarias. La excepción aparecía en la antigua L. O. 5/1992 cuando establecía en el artículo 43.3 h), como infracción grave, la de "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen". Ha de señalarse que tal determinación se efectuó mediante el R. D. 994/1999, de 11 de junio, por el que se aprobó el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Con relación a dicho mandato debe señalarse que la nueva L. O. actúa en una doble dirección: por un lado, mantiene el mismo contenido del precepto 43.3 h), incluso coincide la numeración, y, por otro, la disposición transitoria tercera, relativa a la "subsistencia de normas preexistentes" establece que " hasta tanto se lleven a efecto las previsiones de la disposición final primera de esta Ley, continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial los Reales Decretos 428/1993, de 26 de marzo; 1332/1994, de 20 de junio, y 994/1999, de 11 de junio, en cuanto no se opongan a la presente Ley.". Es decir, se declaran vigentes todos los R.R. D.D. elaborados conforme a la legislación anterior.

PRINCIPALES MODIFICACIONES QUE INTRODUCE LA LEY EN ESTA MATERIA

Aunque un examen superficial podría llevar a afirmar que las modificaciones introducidas son escasas y de contenido menor, un estudio más detallado permite afirmar que se han efectuado una serie de modificaciones de gran importancia que paso seguidamente a tratar:

  1. A diferencia de la Ley anterior que únicamente establecía la responsabilidad de los denominados "responsables de los ficheros", ahora también se establece la de los "encargados de los tratamientos" (artículo 43. 1). La inclusión de esta categoría, en principio lógica si se tiene en cuenta que el artículo 3 de la Ley realiza la definición de lo que debe entenderse por tal ("persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento"), no va a dejar de plantear problemas sobre todo si se tiene en cuenta que el propio artículo 3.d) de la Ley define al "responsable del fichero o tratamiento" como la "persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento". Ello supone que si el que detenta el poder, el que marca la actuación del fichero, es el responsable del fichero será en principio a él al que se le deberá imputar toda la actividad en que consista la infracción y no al encargado del tratamiento.
  2. Porque es muy deficiente la técnica legislativa aplicada a los artículos 3 d) y g) y 43.1 de la Ley. Así, tampoco se comprende que cuando en el primero se está aludiendo al responsable del fichero, al responsable del tratamiento y al encargado del tratamiento, el segundo de los artículos citados solamente se refiera al responsable del fichero y al encargado del tratamiento, dejando fuera al responsable del tratamiento. Tal incongruencia legal no puede ser explicada a través de identificar, como si se tratara de una misma cosa, al responsable del tratamiento y al encargado del mismo pues ya hemos visto que son definidos con unos contenidos diferentes y en preceptos distintos
  3. Porque, si se examina el contenido del antiguo artículo 43.2 y se le compara con el ahora vigente artículo 44.2, se observa que se ha producido una degradación de las garantías que venían otorgándose al ciudadano en cuanto al contenido de los derechos que la Ley le reconocía y le reconoce. Me estoy refiriendo, en concreto a la desaparición de la "actuación de oficio" que se establecía en la antigua y que ha desaparecido en la vigente, en cuanto a la petición de rectificación o cancelación de los datos personales "cuando legalmente proceda", según la dicción de la nueva Ley. No entiendo que si la rectificación o cancelación procede por ley no se exija al responsable o encargado una actuación de oficio.
  4. Porque el deber de proporcionar información, que siempre era considerada como infracción grave en la antigua Ley, pasa a ser considerada como una infracción de carácter leve en el supuesto del artículo 5, cuando los datos hayan sido recabados del propio interesado, quedando la falta grave en esta materia reducida al supuesto de que los datos hubiesen sido recabados de persona distinta del propio interesado según el contenido del artículo 43.3 l) de la Ley.
  5. Ha desaparecido igualmente como falta leve la conducta consistente en no "cumplir con las instrucciones dictadas por el Director de la Agencia, que señalaba la antigua Ley, cuando todavía se sigue manteniendo, conforme al artículo 37.c) de la actual, la facultad de "dictar ...las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley". Tal desaparición afectará, sin duda negativamente, al grado de cumplimiento del contenido de las instrucciones que el Director de la Agencia crea preciso elaborar, por parte de las personas a ello obligadas.
  6. Se da un nuevo tratamiento al incumplimiento del deber de secreto, que sigue apareciendo regulado en el artículo 10 de la L. O., que ya no es constitutivo en todo caso de una infracción grave, sino que pasa a ser bien una infracción leve, conforme al artículo 44.2 e), bien una infracción grave, conforme al citado precepto, ("salvo que constituya infracción grave"), que conforme al artículo 44.3 g), corresponderá cuando los datos hayan sido incorporados a ficheros constituídos con una específica finalidad (infracciones administrativas o penales, Hacienda Pública, servicios financieros, etc), en donde parece que debe ser exigido con mayor eficacia el deber de secreto. Dentro de esta categoría, se echa en falta una referencia a los ficheros de la Seguridad Social en los que tradicionalmente se vienen cometiendo este tipo de vulneración. Debe señalarse, por último, que se mantiene la infracción del deber de guardar secreto como muy grave cuando se trate de datos especialmente protegidos o que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
  7. También merece crítica favorable el hecho de que en las dos últimas conductas tipificadas como infracción muy grave se haya tenido en cuenta el incumplimiento sistemático del deber de atender, o el obstaculizar, el ejercicio de los derechos de acceso, rectificación, cancelación u oposición y el incumplimiento del deber legal de notificación de la inclusión en un fichero de datos de carácter personal.
  8. Por último, igualmente la merece el hecho de que se hayan ampliado las conductas constitutivas de infracción grave en lo relativo a la no inscripción del fichero cuando hubiese sido requerido para ello por el Director de la Agencia de Protección de Datos.

Dentro del tema de las sanciones debe comentarse favorablemente el hecho de que la nueva Ley haya acogido una necesidad sentida desde el inicio de la aplicación de la Ley anterior como era el que, no se le reconociera al Director la posibilidad de rebajar la cuantía de la multa, a la correspondiente al grado de sanción inferior, cuando los hechos no fueran constitutivos de la gravedad en principio asignada. Así, el artículo 45 de la Ley actual, recoge la posibilidad de que "si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate". Por el contrario, no se entiende demasiado bien cuál haya podido ser el motivo de la inclusión del número 6 del citado precepto, que viene a prohibir la posibilidad de que pueda imponerse una sanción más grave que la fijada en la Ley "para la clase de infracción en la que se integre la que se pretende sancionar". Tal aseveración no era preciso efectuarla dado que todo comportamiento consistente en dicha actividad supondría una vulneración del principio de legalidad al que anteriormente hice referencia.

Debe indicarse que el resto de la Ley, en cuanto hace referencia al procedimiento sancionador, no ha sido objeto de modificación alguna tanto en lo relativo a las infracciones de las Administraciones Públicas, como en lo relativo a la prescripción de las infracciones y sanciones, al procedimiento sancionador, salvo un breve cambio de redacción en cuanto a la procedencia del recurso contencioso-administrativo, y a la potestad de inmovilización de ficheros.

DERECHO SANCIONADOR EN MATERIA DEL TRATAMIENTO