Sujetos responsables del cumplimiento de las normas de protección de datos
| Autor | Alberto Palomar (Magistrado de lo contencioso-administrativo) y Javier Fuertes (Magistrado) |
Los sujetos responsables del cumplimiento de las normas de protección de datos son aquellas personas a las que se les pueden exigir las consecuencias derivadas de los incumplimientos a las normas que regulan la protección de datos.
|
Contenido
|
El Reglamento 2016/679/UE, de 27 de abril , determina los sujetos responsables por las conductas contrarias al régimen establecido en materia de protección de datos.
Es al responsable del tratamiento a quien la Ley impone las obligaciones derivadas del régimen jurídico de la protección de datos y quien ha de sufrir las sanciones junto al encargado del tratamiento ( art. 70.1 de la LOPD-GDD/2018 ) cuando dichas obligaciones no se respetan (Sentencia de la Audiencia Nacional de 2 de febrero de 2018, recurso 486/2015 [j 1]).
En este sentido, el art. 82.1 del Reglamento 2016/679/UE, de 27 de abril , establece:
Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
De esta forma, quedan sujetos al régimen sancionador establecido en el Reglamento 2016/679/UE :
- Los responsables de los tratamientos
El art. 82.2 del Reglamento 2016/679/UE, de 27 de abril dispone:
Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
La Sentencia del Tribunal Supremo de 8 de junio de 2015, recurso 1651/2013 [j 2] señala:
En estas particulares circunstancias, debemos decir que la resolución recurrida en la instancia no puede considerarse lesiva del derecho de defensa en el procedimiento dirigido a sancionar el incumplimiento de la orden de inmovilización. Don Pedro Francisco ha conocido todas las actuaciones de la Agencia Española de Protección de Datos , sabía que el fichero "DOMICILIOS" estaba inmovilizado, no respetó la prohibición de utilizarlo e, incoado ese procedimiento, se le notificó tal hecho, participó activamente en el expediente, impugnó en él cuanto consideró conveniente a su derecho, se le notificó la propuesta de resolución, alegó contra ella y recurrió en reposición la resolución sancionadora. No se advierte en esta secuencia ningún rasgo de indefensión. Y el único en que se fija la Audiencia Nacional, no habérsele hecho personalmente el requerimiento de cesar en los tratamientos, materialmente no produce el efecto lesivo del art. 24 de la Constitución que apreció la sentencia recurrida, pues, al margen de que esa inmovilización, fue confirmada judicialmente, don Pedro Francisco la conocía y no pudo no conocer tampoco el proceso judicial en que esa confirmación se produjo.
- Los encargados de los tratamientos
El art. 82.2 del Reglamento 2016/679/UE, de 27 de abril establece que un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.
Sobre el asunto la Sentencia del TS de 26 de abril de 2005, recurso 217/2004 [j 3] y la Sentencia de la AN de 2 de febrero de 2018, recurso 486/2015 [j 4] afirman:
Como primera reflexión ha de decirse que la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) , respecto de la anterior Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento de Datos de Carácter Personal (LORTAD), introduce importantes novedades. Por lo que a nosotros nos interesa, debemos destacar la ampliación del régimen sancionador, dado que la LORTAD comprendía exclusivamente a los responsables de los ficheros ( art. 42.1 de la LORTAD ), y en la Ley vigente comprende además a los encargados de los tratamientos ( art. 43.1 de la LODP ), que según el art. 3.d) de dicha Ley: es la persona física o jurídica, de naturaleza jurídica pública o privada, y órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento.Con ello, el legislador español pretende adaptarse a las exigencias de la Directiva 95/46/CE (derogada por el Reglamento 2016/679/UE, de 27 de abril ), que tiene como objetivo dar respuesta legal al fenómeno, que cada vez es más frecuente, de la llamada...
Para continuar leyendo
Solicita tu prueba