Infracciones de la LOPD y sus sanciones correspondientes

Venimos a salvarte el culo y que no cometas ninguna de las Infracciones de la LOPD posibles. Como recordaréis, en mi primera entrada os hablé de manera recurrente, y seguro que poniéndome un poco pesado, de un concepto muy importante, la protección de datos.

Infracciones de la LOPD

ANTECEDENTES

Pacientemente, os expuse y advertí, como un padre benefactor a sus alocados hijos, de los peligros y problemas derivados de una deficiente observancia de este tema a la hora de poner en marcha vuestro proyecto.

De alguna manera, quise trasladaros lo más fielmente posible la primera pauta y guía que les di personalmente a Kanumen y a Albertdg cuando hablamos de crear una app.

Así, si me hicistéis caso igual que hicieron ellos, nada tenéis que temer pues.

Si por el contrario habéis obrado de forma negligente, y manejáis datos de terceros con la misma diligencia que se gestiona la higiene en un restaurante chino… os interesa leer lo que voy a exponer a continuación.

 

REGULACIÓN

En primer lugar, saber que las Infracciones de la LOPD vienen reguladas en el art. 44 de la Ley Orgánica 15/99, de 13 de noviembre, de Protección de Datos de Carácter Personal (LOPD), y pueden ser cometidas, en su mayoría, tanto por entidades públicas como privadas.

Estas Infracciones de la LOPD son calificadas por la Agencia Española de Protección de Datos y agencias autonómicas tras un procedimiento sancionador donde se han inspeccionado tanto a los posibles responsables como a los intervinientes en el proceso de tratamiento de datos que corresponda.

Aquí, es importante que tengamos en cuenta que un mismo hecho puede ser calificado de infracción y no derivarse responsabilidad civil, o bien a la inversa, esto es, que el órgano inspector considere que no existe infracción pero, sin embargo, estemos ante una responsabilidad porque se ha vulnerado el derecho a la protección de datos.

Un ejemplo muy típico son las inclusiones en ficheros de solvencia patrimonial y crédito sobre incumplimiento de obligaciones dinerarias (ficheros de morosidad) de deudas que no procedía su reclamación.

Por si fuera poco, las infracciones y sanciones contempladas van a endurecerse aún más con el nuevo REGLAMENTO (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, que será aplicable a partir del 25 mayo de 2018.

En su momento, hablaremos largo y tendido de estas novedades, pues dan de sobra para otra entrada.

Vayamos con los tipos de infraciones…

Infracciones de la LOPD

Las infracciones pueden ser leves, graves o muy graves, y según su calificación, su sanción será proporcional a su gravedad. Todas las infracciones están tipificadas en el art. 44 LOPD. No obstante, nos encontramos con el problema que si bien algunas infracciones están claramente definidas en la norma, otras en cambio, presentan una definición tan amplia que pueden subsumirse en la misma conductas muy diferentes unas a otras. En concreto, las infracciones tipificadas son las siguientes:

Infracciones de la LOPD leves:

  • No enviar las notificaciones previstas en la normativa a la agencia española de protección de datos.
  • No inscribir los ficheros que contengan datos personales.
  • No informar a los afectados de los que se recojan datos personales (cuando los datos los hubieran proporcionado los mismos interesados).

Estas Infracciones de la LOPD consistentes en la falta de información al afectado establecida en el art. 5 LOPD, pero su calificación puede ser leve o grave, según de dónde se han obtenido los datos. Será leve si los datos los proporciona el mismo interesado, pero será grave si los datos se obtuvieron de otras fuentes.

  • Proporcionar datos personales a un encargado de tratamiento sin cumplir con las obligaciones previstas legalmente.

Ej: el no tener un contrato suscrito entre responsable del fichero y encargado de tratamiento, o que el mismo no contenga las previsiones que establece la norma.

En este punto debemos tener especial cuidado con los contenidos de los contratos con encargados de tratamiento, o cláusulas que a este fin se incluyen directamente en el contrato de prestación de servicio con acceso a datos, ya que la agencia de protección de datos no sólo se limita a comprobar la existencia de estos contratos o cláusulas, sino que entra en detalle en el contenido del mismo.

Por tanto, debemos tener especial cuidado con el uso de plantillas o modelos de contratos, y adaptarlos a la situación en concreto.

Infracciones de la LOPD graves:

  • Crear ficheros de titularidad pública o recoger datos para los mismos, sin que se hubiera publicado el acuerdo de su creación en diario oficial que corresponda.
  • Tratar datos personales sin el consentimiento de los afectados, cuando sea necesario el mismo.

La regla general es que es necesario el consentimiento de los afectados para poder tratar sus datos, excepto en los casos específicamente regulados en la ley, como es el tener una relación contractual entre responsable y afectado, entre otras.

  • Tratar datos personales sin respectar los principios y garantías de calidad del dato, salvo que sea infracción muy grave.

En esta infracción se pueden subsumir muchas conductas, motivo por el cual, en la práctica, esta infracción es de las más cometidas por los infractores.

  • Vulnerar la obligación de guardar secreto profesional de los datos personales a los que se tenga acceso.
  • Impedir u obstaculizar los derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).

Estas Infracciones de la LOPD se refieren a la obstaculización para que los afectados puedan ejercer los derechos ARCO, no al hecho que se le pueda haber denegado alguno de estos derechos. Así, en caso de denegar una cancelación de datos, por ejemplo, el afectado tiene la posibilidad de solicitar la tutela a la agencia de protección de datos que corresponda, pero en sí mismo, la mera negativa a estimar una cancelación de datos, no se consideraría infracción.

  • No informar a los afectados de los que se recojan datos personales (cuando los datos los hubieran conseguido por otras vías al propio interesado).

Esta infracción es la indicada anteriormente respecto al incumplimiento de la obligación de informar establecida en el art. 5 LOPD, que será leve cuando los datos se hubieran obtenido directamente del afectado, o grave cuando se hubieran obtenido por otros medios.

  • No notificar o requerir al afectado cuando se esté obligado a ello.
  • No tener implementadas las medidas de seguridad en materia de protección de datos en los ficheros, programas, equipos e instalaciones.
  • No atender a los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.
  • Obstaculizar la función inspectora.
  • Ceder datos personales sin legitimación para ello, salvo que sea una infracción muy grave.

La diferencia entre la grave y la muy grave dependerá de los datos que se ceden, de forma que si se trata de datos sensibles o referentes a la comisión de infracciones o delitos, será muy grave, y en el resto de casos, será grave.

Infracciones de la LOPD muy graves:

  • Recoger datos de forma engañosa o fraudulenta.
  • Tratar o ceder datos personales que revelen ideología, afiliación sindical, religión y creencias, origen racial, salud, vida sexual, o la comisión de infracciones penales o administrativas, incumpliendo los casos permitidos por la ley.
  • Crear ficheros con la única finalidad de tener datos de las personas que revelen su ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
  • Incumplir el requerimiento de cese en el tratamiento de datos dictado por el Director de la Agencia Española de Protección de Datos.
  • La transferencia internacional de datos sin autorización del Director de la Agencia Española de Protección de Datos, cuando esta sea necesaria, siempre que el país de destino no proporcione un nivel de protección equiparable al de España.

Para saber si el país de destino ofrece o no el nivel de protección equiparable que exige la normativa, debemos recurrir al listado que la Agencia Española de Protección de Datos pone a disposición en su página web.

En este listado aparecen los países que sí ofrecen esa protección, y por tanto, no será necesaria autorización alguna. En consecuencia, todo aquel país que no esté comprendido dentro de ese listado, se considera que no cumple con las obligaciones mínimas en protección de datos y es por ello que debe ser la propia agencia quien autorice esa transferencia de datos en un procedimiento específico para ello.

Si habéis hecho la cagada de hacer cualquiera de las acciones descritas, deberéis ateneros a lo siguiente.

SANCIONES

Nos encontramos con que las sanciones varían según la infracción venga tipificada como leve, grave o muy grave.

Las cuantías establecidas son las siguientes:

– Infracción leve: 900 a 40.000 euros.

– Infracción grave: 40.001 a 300.000 euros.

– Infracción muy grave: 300.001 a 600.000 euros.

Como es lógico, existen unos criterios para fijar la cuantía que constituirá el importe de la sanción, pues como podemos observar, el margen de cuantificación es muy amplio.

En este sentido, el art. 45.4 establece unos criterios de graduación, como son la infracción continuada, el volumen de tratamientos que realiza la entidad infractora, si la actividad de la entidad infractora está más o menos vinculada con el tratamiento de datos personales, el volumen de negocio o actividad de la entidad infractora, los beneficios obtenidos con motivo de la infracción cometida, la intencionalidad en su comisión, la reincidencia, los posibles perjuicios que se hayan podido causar, si la infracción se ha cometido por un funcionamiento defectuoso de las medidas de seguridad implementadas o bien se debe a la falta de diligencia del infractor, o cualquier otra circunstancia que se considere para valorar el grado de antijuridicidad y de culpabilidad.

Cuantía

Para fijar la cantidad, se parte siempre de la cuantía mínima y únicamente la misma será aumentada, si así procede, según concurran uno o más criterios de ponderación establecidos en el art. 45.4 LOPD.

En este sentido, pensemos en aquellas entidades para cuya actividad requieren el tratamiento de millones de datos personales, de forma que cualquier incidencia puede llevar a perjudicar a una multitud de personas. En este caso, se exige que la entidad tenga especial cuidado, y por tanto, según el caso, podría llegar a sancionada sobre el margen mínimo de la sanción establecida.

¿Ahora me diréis, muy bien, y esto qué quiere decir…?

Pues básicamente, que un mismo hecho infractor no será sancionado con misma cuantía para una pequeña empresa con un volumen de negocio bajo que tenga acceso a datos personales, que una gran empresa cuya actividad implica un importante volumen de tratamiento de datos personales a los que se les confiere aún más gravedad cualquier infracción en la materia.

Clasificación

En cuanto a la calificación de leve, grave o muy grave, poco se puede discutir ante el órgano inspector, salvo la no comisión de la infracción, que es lo acostumbrado, pero siempre debemos pensar en una petición subsidiaria para el caso que continúe el procedimiento sancionador, todo ello a fin de reducir al máximo la cuantía de la sanción.

En este sentido, el margen del importe de la sanción no podemos modificarlo al venir establecido por ley, pero en cuanto a la graduación de las sanciones, sí podemos intentar acreditar por todos los medios que dispongamos  que la entidad infractora se ha comportado siguiendo las máximas normas que se puedan acreditar, pero también es muy importante que acontecidos los hechos que el órgano inspector califica como infracción en cualquiera de los niveles, acreditemos que se han adoptados las correcciones precisas y/o implantación de las medidas de seguridad que correspondan para que no vuelva a suceder lo mismo, y si puede ser, adoptar medidas que supongan mayor protección a las previstas en el Reglamento de protección de datos.

Al respecto, la adopción de este tipo de prevenciones o correcciones, junto con las circunstancias del caso, puede llevarnos a que se aplique la atenuante establecida en el art. 45.5 LOPD, consistente en mantener la calificación de la infracción como grave o muy grave, según corresponda, pero imponer una sanción prevista para la infracción inferior en gravedad, es decir, que aunque sea infracción muy grave, se aplique la sanción prevista para la infracción grave, o siendo la grave, se aplique la sanción prevista para la infracción leve.

El protector de Infracciones de la LOPD

El protector de Infracciones de la LOPD

Después de todo este rollo, quizás, ahora que conocéis las sanciones, entenderéis mi insistencia y el hecho de que empezara mi intervención en el blog, por este tema tan específico.

En próximas entradas iremos ampliando información, y desgranaremos protocolos de actuación ante las osibles Infracciones de la LOPD, además de detallar las novedades y el endurecimiento previsto a partir de mayo.

Os tengo acojonados eh…

Esta entrada fue publicada en Legalidades por Benji Price. Guarda el enlace permanente.

Acerca de Benji Price

Licenciado en Derecho en la Universidad Complutense de Madrid. Master en Abogacía internacional y experto en Derecho mercantil. Mas de 7 años guerreando en las trincheras del derecho. ¿Qué pinta un picapleitos en todo esto? Aparte de derecho….. ¿sabe algo de informática o app? ¿conocimientos avanzados de marketing? Ni lo uno ni lo otro. Un autentico patán en la informática, y respecto al marketing…. el anuncio de canalcar le parece un buen anuncio. Sin embargo, se encargará de dar soporte legal a todo el proyecto, y sobretodo guiará a Kanumen y Albertdg para que no acaben en la cárcel.

2 pensamientos en “Infracciones de la LOPD y sus sanciones correspondientes

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *