CURSO LOPD 1
10. Infracciones y sanciones
1. Introducción
En relación a la derogada LORTAD, la nueva Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal (LOPD), no ha incorporado
importantes novedades, ya que se continúa manteniendo el doble régimen sancionador
en atención a si el ente infractor es una entidad pública o una entidad privada. En
particular, el régimen sancionador que se establece para las entidades públicas se basa
en el establecimiento del régimen disciplinario de las Administraciones Públicas, lo cual
se traduce, en la práctica, en la iniciación de actuaciones disciplinarias por parte del
Director de la AEPD o, en su caso, en la emisión de resoluciones sobre las medidas que
deben adoptarse. Por tanto, se puede concluir que se trata de un régimen sancionador
aminorado en relación al aplicado a los entes privados.
En aras a la seguridad jurídica predicada en la Constitución Española, se establecen una
serie de responsabilidades en materia de protección de datos, las cuales se tipifican en la
LOPD como infracciones: Leves, graves y muy graves, en atención de la gravedad de
las responsabilidades administrativas en que se hubiera incurrido. A este respecto, es
necesario indicar que en algunos casos la Ley incurre en imprecisiones a la hora de
determinar los supuestos concretos en que una misma actuación puede ser calificada
como leve o grave, o como grave o muy grave. Es el caso, por ejemplo, de la siguiente
infracción tipificada, con carácter general, como grave: "Tratar los datos de carácter
personal o usarlos posteriormente con conculcación de los principios y garantías
establecidos en la LOPD o con incumplimiento de los preceptos de protección que
impongan las disposiciones reglamentarias de desarrollo, cuando no constituyan
infracción muy grave". En el caso citado, se observa pues la conveniencia de que la
LOPD indicara los supuestos concretos en que dicha infracción grave pasaría a
considerarse como muy grave.
En lo relativo a las sanciones impuestas, estas se materializan en una multa de carácter
económico cuya cuantía sigue siendo tan elevada como en la derogada LORTAD,
aspecto que ha dado lugar a numerosos debates parlamentarios, no alcanzándose, por el
momento, acuerdo al respecto. Incluso, se contempla en la LOPD la posibilidad de que
CURSO LOPD 2
el Gobierno actualice periódicamente la cuantía de estas multas de acuerdo con las
variaciones experimentadas en los índices de precios.
Como importante novedad, la LOPD ha incorporado una serie de "circunstancias" en
base a las que puede ser graduada la cuantía de las sanciones a imponer. Entre otras, la
cuantía se podrá valorar atendiendo a la naturaleza de los derechos personales afectados,
a los beneficios obtenidos, al volumen de tratamientos efectuados, al grado de
intencionalidad, etc., de tal modo que la sanción impuesta en base a esta graduación no
será la misma para una pequeña y mediana empresa que para una gran multinacional.
Este aspecto no era considerado en la antigua LORTAD, la cual imponía la misma
multa, independientemente de los beneficios obtenidos y al volumen de los tratamientos
realizados, de tal forma que una empresa familiar podía ver peligrar gravemente su
estabilidad económica, mientras que para una empresa multinacional no suponía mayor
problema.
Así, desde el momento en que las consecuencias del incumplimiento normativo en la
materia han conllevado grandes responsabilidades tanto para la Organización como para
el personal que trata o accede a los datos de carácter personal, la incorporación a la
dinámica de la empresa de los principios rectores de la Protección de Datos de Carácter
Personal, ha adquirido una gran relevancia, pues las sanciones impuestas ya no solo son
de naturaleza administrativa y dirigidas a la Organización en sí, sino que además de su
incumplimiento se pueden derivar responsabilidades civiles, penales y laborales.
En base a lo comentado, parece claro que lo más conveniente para evitar las duras
sanciones impuestas por la LOPD es el cumplimiento de todas las obligaciones
impuestas por la normativa, indicando, a su vez, las grandes yentajas competitivas que
conlleva su cumplimiento.
2. Tipos de infracciones administrativas
Antes de citar dichas infracciones, conviene determinar quién es el responsable de las
mismas, para ello recurriremos al artículo 43 de la LOPD en el que se establecen como
personas o entes sujetos al régimen sancionador establecido en la LOPD a los
responsables de los ficheros y los encargados de los tratamientos. A su vez en el
apartado 2 del citado artículo se indica que en el caso de que sean responsables las
CURSO LOPD 3
Administraciones Públicas se estará, en cuanto al procedimiento y a las sanciones, a lo
dispuesto en el artículo 46, apartado 2.
En el Título VII de la LOPD, se recogen los diversos tipos de infracciones a lo
establecido en la normativa sobre protección de datos, en concreto según el artículo 44.1
de la LOPD se distinguen: Infracciones leves, graves y muy graves. A continuación, se
detallan las mismas.
2.1 Infracciones leves
Según el artículo 44.2 son infracciones leves:
a) "No atender, por motivos formales, la solicitud de/interesado de rectificación o
cancelación de los datos personales objeto de tratamiento cuando legalmente proceda".
b) "No proporcionar la información que solicite la Agencia Española de Protección de
Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación
con aspectos no sustantivos de la protección de datos".
c) "No solicitar la inscripción del fichero de datos de carácter personal en el Registro
General de Protección de Datos, cuando no sea constitutivo de infracción grave".
d) "Proceder a la recogida de datos de carácter personal de los propios afectados sin
proporcionarles la información que señala el artículo 5 de la LOPD".
e) “Incumplir el deber de secreto establecido en el artículo 10 de la LOPD, salvo que
éste constituya infracción grave".
2.2 Infracciones graves
En el artículo 44.3 se citan como infracciones graves:
a) "Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de
datos de carácter personal para los mismos, sin autorización de disposición general,
publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente".
CURSO LOPD 4
b) "Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de
datos de carácter personal para los mismos con finalidades distintas de las que
constituyen el objeto legítimo de la empresa o entidad".
c) "Proceder a la recogida de datos de carácter personal sin recabar el consentimiento
expreso de las personas afectadas, en los casos en que este sea exigible".
d) "Tratar los datos de carácter personal o usarlos posteriormente con conculcación de
los principios y garantías establecidos en la LOPD o con incumplimiento de los
preceptos de protección que impongan las disposiciones reglamentarias de desarrollo,
cuando no constituya infracción muy grave".
e) "El impedimento o la obstaculización del ejercicio de los derechos de acceso y
oposición y la negativa a facilitar la información que sea solicitada".
f) "Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o
cancelaciones de los mismos que legalmente procedan cuando resulten afectados los
derechos de las personas que la LOPD ampara".
g) "La vulneración del deber de guardar secreto sobre los datos de carácter personal
incorporados a ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales, Hacienda Pública, servicios financieros, prestación de
servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que
contengan un conjunto de datos de carácter personal suficientes para obtener una
evaluación de la personalidad del individuo".
h) "Mantener los ficheros, locales, programas o equipos que contengan datos de
carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria
se determinen".
i) "No remitir a la AEPD las notificaciones previstas en esta Ley o en sus disposiciones
de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e
informaciones deba recibir o sean requeridos por aquel a tales efectos".
j) "La obstrucción al ejercicio de la función inspectora".
k) "No inscribir el fichero de datos de carácter personal en el Registro General de
Protección Datos, cuando haya sido requerido para ello por el Director de la AEPD".
CURSO LOPD 5
l) "Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de la
LOPD (relativos al derecho de información en la recogida de los datos, a los datos
incluidos en las fuentes de acceso público y a la prestación de servicios de información
sobre solvencia patrimonial y crédito, respectivamente), cuando los datos hayan sido
recabados de persona distinta del afectado".
2.3 Infracciones muy graves
Según el artículo 44.4 son infracciones muy graves:
a) "La recogida de datos de forma engañosa y fraudulenta".
b) "La comunicación o cesión de los datos de carácter personal, fuera de los casos en
que estén permitidas".
c) "Recabar y tratar los datos de carácter personal a los que se refiere el artículo 7.2
(ideología, afiliación sindical, religión y creencias) cuando no medie el consentimiento
expreso del afectado; recabar y tratar los datos referidos en el 7.3 (sobre origen racial,
salud o vida sexual) cuando no lo disponga una ley o el afectado no haya consentido
expresamente, o violentar la prohibición contenida en el artículo 7.4".
d) "No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuan-
do sea requerido para ello por el Director de la Agencia Española de Protección de
Datos o por las personas titulares del derecho de acceso”.
e) "La transferencia temporal o definitiva de datos de carácter personal que
hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho
tratamiento, con destino a países que no proporcionen un nivel de protección
equiparable sin autorización del Director de la Agencia Española de Protección de
Datos”.
f) “Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los
principios y garantías que les sean de aplicación, cuando con ello se impida o se atente
contra el ejercicio de los derechos fundamentales”.
CURSO LOPD 6
g) "La vulneración del deber de guardar secreto sobre los datos de carácter personal a
que hacen referencia los apartados 2 y 3 del artículo 7 (sobre ideología, afiliación
sindical, religión, creencias, origen racial, salud y vida sexual), así como los que hayan
sido recabados para fines policiales sin consentimiento de las personas afectadas".
h) “No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de
acceso, rectificación, cancelación u oposición”.
i) "No atender de forma sistemática a la obligación legal de notificación de la inclusión
de
2.4 Infracciones de las Administraciones Públicas
En concreto, las infracciones de las Administraciones Públicas se recopilan en el
artículo 46 de la LOPD, según la cual:
1. Cuando las infracciones anteriormente citadas (es decir, las leves, graves y muy
graves comentadas para las entidades privadas) fuesen cometidas en ficheros de los
que sean responsables las Administraciones Públicas, el Director de la Agencia
Española de Protección de Datos dictara una resolución estableciendo las medidas que
procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta
resolución se notificare al responsable del fichero, al Órgano del que depende
jerárquicamente y a los afectados si los hubiera.
2. El Director de la Agencia podre proponer también la iniciación de actuaciones
disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario de las Administraciones
Públicas (en concreto en el Real Decreto 33/1986 por el que se aprueba el Régimen
Disciplinario de los Funcionarios de la Administración del Estado, modificado por el
Real Decreto 1085/1990, de 31 de agosto).
3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las
medidas y actuaciones referidas en los anteriores apartados.
4. El Director de la Agencia comunicare al Defensor del Pueblo las actuaciones que
efecto y las resoluciones que dicte al amparo de lo anteriormente comentado.
CURSO LOPD 7
3. Tipos de sanciones. Procedimiento sancionador
3.1 Tipos de sanciones
Una de las funciones que tiene reconocida la Agencia Española de Protección de Datos
es la potestad sancionadora (al igual que el órgano correspondiente de la Comunidad
Autónoma, excepto en lo referente a las transferencias internacionales), potestad que se
puede definir como la facultad que tiene la Agencia de imponer sanciones a los
responsables de los ficheros (o encargados, si fuera el caso) por incumplimiento de las
obligaciones que establece la normativa de protección de datos. Por lo tanto, el método
coercitivo de que dispone la AEPD para evitar que se incumpla la normativa en la
materia es la imposición de sanciones, en forma de multas económicas.
Como se verá a continuación, estas sanciones tienen una cuantía bastante importante (de
las mayores de Europa), ya que de forma aproximada van desde los 600 hasta los
600.000 euros, dependiendo de la gravedad de la infracción cometida.
De este modo, las infracciones enumeradas en el anterior apartado serán sancionadas,
según se dispone en el artículo 45 de la LOPD, como se recoge en la siguiente tabla:
Infracciones Sanciones
Leve Serán sancionadas con un multa de 601,01 a 60.101,01 euros
Grave Serán sancionadas con un multa de 60.101,01 a 300.506,05 euros
Muy grave Serán sancionadas con un multa de 300.506,05 a 601.012,10 euros
A su vez, en el apartado 4 del citado artículo, se establece que la cuantía de las
sanciones se graduará atendiendo a los siguientes aspectos:
- La naturaleza de los derechos personales afectados.
- Al volumen de los tratamientos efectuados.
- A los beneficios obtenidos.
- Al grado de intencionalidad.
CURSO LOPD 8
- A la reincidencia.
- A los daños y perjuicios causados.
- A las personas interesadas y a terceras personas.
A cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
Por otro lado, en el artículo 45.5 de la LOPD se indica que de apreciarse una cualificada
disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, en razón
de las circunstancias concurrentes, el órgano sancionador establecerá la cuantía de la
sanción aplicando la escala relativa a la clase de infracciones que preceda
inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que
se trate.
Además, en base al apartado 6 del artículo 45, en ningún caso podrá imponerse una
sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre
la que se pretenda sancionar.
La actualización periódica de la cuantía de las sanciones será llevada a cabo por el
Gobierno de acuerdo con las variaciones que experimenten los índices de precios (según
el artículo 45.7).
3.2 Procedimiento sancionador
En lo relativo al procedimiento sancionador para la determinación de las infracciones y
la imposición de las correspondientes sanciones, en el artículo 48 de la LOPD se
determina que este se establecerá por vía reglamentaria (en concreto a través del Real
Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del
Procedimiento para el ejercicio de la potestad sancionadora, el cual se aprueba en
aplicación de la disposición final, disposición adicional tercera y desarrollo del Titulo
IX de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común).
CURSO LOPD 9
En cuanto a las resoluciones de la Agencia Española de Protección de Datos u Órgano
correspondiente de la Comunidad Autónoma, indicar que éstas agotan la vía
administrativa.
Los procedimientos sancionadores tramitados por la AEPD, en ejercicio de las
potestades que a la misma atribuyan esta u otras leyes, salvo los referidos a infracciones
de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones, tendrán una
duración máxima de seis meses. (Este apartado ha sido adicionado at artículo 48 por la
ya citada Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y de
orden social).
A su vez, el procedimiento sancionador es tratado en el Real Decreto 1332/1994, de 20
de junio, por el que se desarrollan determinados aspectos de la LORTAD (vigente en
todo lo que no se oponga a la LOPD), en concreto, en su capítulo V, dónde se determina
que el citado procedimiento constara de las siguientes fases:
Iniciación
Instrucción
Resolución
4. Prescripción y potestad de inmovilización de los ficheros
4.1 Prescripción de las infracciones y de las sanciones
En primer lugar se va a tratar el plazo de prescripción de las infracciones, que como ya
se citó se clasifican en: Leves, graves y muy graves. De este modo, en el artículo 47.1
de la LOPD se dispone que las infracciones:
CURSO LOPD 10
Muy graves prescribirán a los tres
años
Graves a los dos años
Leves al año
Comenzará a contarse el plazo de prescripción desde el día en que la infracción hubiese
sido cometida.
La iniciación del procedimiento sancionador, con conocimiento del interesado,
interrumpirá la prescripción, reanudándose el plazo de prescripción si el expediente
sancionador estuviere paralizado por un periodo de tiempo superior a los seis meses por
causas no imputables al presunto infractor.
En cuanto a la prescripción de las sanciones, se establece en el artículo 47.4 que las
sanciones impuestas por faltas:
Muy graves prescribirán a los tres
años
Graves a los dos años
Leves al año
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a
aquel en que adquiera firmeza la resolución por la que se impone la sanción.
La prescripción de las sanciones se interrumpirá por la iniciación, con conocimiento del
interesado, del procedimiento de ejecución, reanudándose dicho plazo de prescripción si
el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
CURSO LOPD 11
4.2 Potestad de inmovilización de ficheros
Esta potestad de inmovilización de ficheros se contempla en el artículo 49 de la LOPD.
Según este articulo, en aquellos casos en los que exista una utilización o cesión ilícita de
los datos de carácter personal, constitutiva de infracción muy grave, en que se impida
gravemente o se atente de igual modo contra el ejercicio de los derechos de los
ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes
garantizan, el Director de la AEPD podrá además de ejercer la potestad sancionadora,
efectuar un requerimiento a los responsables de ficheros de datos de carácter personal,
tanto de titularidad pública como privada, para que cesen en la utilización o cesión
ilícita de los datos.
Inmovilización de ficheros
En el supuesto de que el requerimiento no fuese contemplado, la Agencia Española de
Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a
los solos efectos de restaurar los derechos de las personas afectadas.
5. Infracciones por incumplimiento de responsabilidades de
naturaleza civil, penal y laboral
Para el desarrollo de este apartado es importante tener claro el concepto de
"responsabilidad", que según la Real Academia de la Lengua Española es:
"deuda, obligación de reparar y satisfacer, por si o por otro, a consecuencia de delito,
de una culpa, o de otra causa legal".
Del incumplimiento de las obligaciones impuestas por la normativa en materia de
protección de datos se derivan grandes responsabilidades, tanto para la organización
como para el personal que trata o accede a los datos de carácter personal, es decir, las
sanciones ya no solo son administrativas y dirigidas al responsable del tratamiento (o
encargado, si fuera el caso), sino que edemas de ellas se pueden conllevar
responsabilidades de tipo civil, penal y laboral.
CURSO LOPD 12
A continuación, se comentarán los aspectos más relevantes relacionados con dichas
responsabilidades.
5.1 Responsabilidades civiles
En lo relativo a este tipo de responsabilidad, mencionar los artículos del Código Civil
relativos a la Responsabilidad Contractual y Extracontractual (artículos 1902 y 1903).
Así, cuando determinado servicio es contratado a un tercero ajeno a la propia
organización e implique un acceso a los ficheros de datos de carácter personal, deberá
estar precedido del correspondiente contrato de acceso a datos en el que se limiten las
facultades del tercero en cuanto al tratamiento de los datos de carácter personal, se
especifiquen las medidas de seguridad que deberán ser implantadas o cumplidas por el
tercero para la protección del fichero, y se determinen las responsabilidades derivadas
del incumplimiento de la LOPD o de lo establecido en el contrato.
5.2 Responsabilidades penales
El Código Penal tipifica los delitos contra la intimidad y, concretamente el des-
cubrimiento y revelación de secretos en los artículos 197 y siguientes.
Como ya fueron comentados en el apartado 3.1 del Módulo 7 titulado "Los derechos de
las personas", no se volverán a repetir.
5.3 Responsabilidades laborales
El Derecho del Trabajo ha tenido que arbitrar diversas normas de protección para las
partes intervinientes en los contratos de trabajo, cuyo incumplimiento da lugar a una
serie de consecuencias jurídicas que pueden denominarse responsabilidades laborales.
CURSO LOPD 13
De este modo, cuando una sucesión de incumplimientos deriva en la imposición de una
sanción a la Organización, es frecuente que además se deriven responsabilidades
laborales.
Así, pueden darse en cualquier puesto laboral dentro del seno de la Organización: La
fuga de datos, el tratamiento inadecuado de los ficheros de datos de carácter personal, el
acceso no autorizado a los datos del fichero, la protección inadecuada de los ficheros,
etc.
En resumen, se pueden esquematizar las responsabilidades por incumplimientos en
materia de protección de datos como sigue a continuación:
RESPONSABILIDADES
ADMINISTRATIVAS
PENALES
CIVILES
LABORALES
¡¡¡¡¡¡¡FIN DEL TEMARIO!!!!!
CURSO LOPD 14