IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Noticias >
  2. Entra en vigor la modificación del régimen sancionador de la LOPD .

Entra en vigor la modificación del régimen sancionador de la LOPD

Ha entrado en vigor la Ley 2/2011, de 4 de marzo, de Economía Sostenible (BOE núm. 55 de 5 de marzo de 2011) cuya Disposición final quincuagésima sexta, modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, modificaciones que afectan a su Título VII relativo a Infracciones y Sanciones.

Lo primero que puede llamar la atención es, cómo es posible que la Ley de Economía Sostenible modifique una Ley Orgánica. Sin embargo debemos recordar que según la Disposición Final Segunda de la LOPD, distintas partes de la norma, entre ellas su título VII, tienen carácter de Ley ordinaria.

Lo más atractivo de la nueva regulación es la modificación en la cuantía de las sanciones leves, cuyo límite mínimo se incrementa de 601,1 a 900 euros, reduciéndose el límite máximo de 60.101,21 a 40.000 euros, aunque las infracciones más graves siguen pudiendo alcanzar la cifra de 600.000 euros, ligeramente inferior a la cuantía máxima anterior pero aún así considerablemente elevada.

Si bien las circunstancias determinantes de la graduación de la cuantía de las sanciones no constituían una lista cerrada, ya que cabía la posibilidad de apreciar cualquier otra que fuese relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora, esta quedaba sujeta a la valoración del órgano sancionador. Por este motivo el hecho de que se hayan especificado nuevos criterios que se vienen a sumar a los ya contemplados en la anterior regulación, aporta mayores garantías a los responsables de ficheros. Así cabe destacar la apreciación de la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal, o la acreditación de que con anterioridad a los hechos constitutivos de infracción, la entidad imputada tuviese implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos y no debida a una falta de diligencia exigible al infractor.

Ahora bien para poder apreciarse dichos criterios y aplicar la escala precedente en gravedad a la que hubiese correspondido en atención al tipo de infracción cometida, han de estar en combinación con los supuestos que contempla el apartado cinco del actual artículo 45:

a) concurrencia significativa de varios de los criterios enunciados

b) regularización de la situación irregular de forma diligente

c) que pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción

d) que el infractor haya reconocido espontáneamente su culpabilidad

e) que se hubiese producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente

En cuanto a los tipos de infracciones, se producen diversas modificaciones dirigidas a mejorar la definición de los tipos y por tanto aumentar la seguridad jurídica: eliminando algunos, como la falta de atención por motivos formales a la solicitud de rectificación o cancelación de sus datos por el interesado considerada anteriormente como infracción leve; añadiendo otros, como la consideración de infracción leve de la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley, hasta ahora entendida como una cesión de datos sin consentimiento; o modificando su graduación como en el caso del incumplimiento del deber de secreto que anteriormente podía ser constitutivo de infracción leve, grave o muy grave en atención a las categorías de datos con respecto a los que se hubiese incumplido y ahora es considerada como grave.

Ponemos el acento sobre la infracción relativa al incumplimiento en materia de medidas de seguridad, que continúa calificada como infracción grave sin tener en cuenta el tipo de medidas incumplidas o el nivel de seguridad exigido para los datos objeto de tratamiento.

Como novedad se crea la figura del apercibimiento, cuando el infractor no hubiese sido sancionado o apercibido anteriormente y los hechos no fuesen constitutivos de infracción muy grave. En estos casos al sujeto responsable se le podría conceder un plazo, a fin de que acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, y decimos que se podría, porque es una medida de carácter excepcional precedida de audiencia de los interesados y valoración por parte del órgano sancionador.

Se adapta el benévolo régimen sancionador de las Administraciones Públicas a la nueva definición de fichero de titularidad pública recogida en el Reglamento de desarrollo de la LOPD, siendo aplicable cuando el fichero responde a dicha titularidad y cuando el responsable lo es de ficheros de dicha naturaleza.

Por último se amplía la potestad de inmovilización de ficheros por parte del órgano sancionador reservado hasta ahora a los supuestos constitutivos de infracción muy grave, también a aquellos que den lugar a la comisión de infracciones graves. Hay que tener en cuenta a este respecto que un responsable del fichero puede sobreponerse a una infracción en materia de protección de datos, pero sería difícil calcular el daño que podría suponer la completa paralización de su actividad.