Régimen sancionador en materia de protección de datos

Autor:Alberto Palomar (Magistrado y Profesor Titular -Acred- de Derecho administrativo ) y Javier Fuertes (Doctor en Derecho. Magistrado suplente)
 
EXTRACTO GRATUITO

El régimen sancionador en materia de protección de datos son las acciones y omisiones tipificadas como infracciones administrativas por la Ley Orgánica 15/1999 , de Protección de Datos de Carácter Personal.

Contenido
  • 1 Régimen sancionador vigente
  • 2 Infracciones leves en materia de protección de datos
  • 3 Infracciones graves en materia de protección de datos
  • 4 Infracciones muy graves en materia de protección de datos
  • 5 Sanciones en materia de protección de datos
    • 5.1 Por infracciones leves
    • 5.2 Por infracciones graves
    • 5.3 Por infracciones muy graves
  • 6 Prescripción de infracciones y sanciones en materia de protección de datos
    • 6.1 De infracciones
    • 6.2 De sanciones
  • 7 Ver también
  • 8 Recursos adicionales
    • 8.1 En doctrina
    • 8.2 En dosieres legislativos
  • 9 Legislación básica
  • 10 Legislación citada
  • 11 Jurisprudencia y doctrina administrativa citada
Régimen sancionador vigente

El Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos , derogó las previsiones que la LOPD/1999 efectuaba sobre sobre infracciones y sanciones en “los arts. 43 a 49 , con excepción del art. 46 ”.

El art. 46 LOPD , que el Real Decreto-ley 5/2018, de 27 de julio , mantiene vigente, regula las infracciones de las Administraciones Públicas y, establece en su apartado 1 lo siguiente:

1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.

Nótese, en este sentido, que el art. 44 al que se remite este art. 46 LOPD/1999 ha sido derogado por el Real Decreto-ley 5/2018, de 27 de julio .

Infracciones leves en materia de protección de datos

El art. 44.1 LOPD/1999 calificaba como leves las infracciones consistentes en:

  • No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
  • No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
“Así las cosas, consta en las actuaciones que las cámaras del local graban y las imágenes se conservan unos siete días, y, en el escrito de alegaciones que presentó la parte demandante al acuerdo del inicio del expediente sancionador, se viene a reconocer que se ha incurrido en la infracción consistente en no notificar a la Agencia de Protección de Datos, la creación de ficheros de carácter personal. A lo expuesto, tenemos que añadir, que la parte actora procedió a la inscripción en el Registro General de Protección de Datos el 11 de junio de 2014, con posterioridad a la notificación del acuerdo de inicio del procedimiento sancionador, que se produjo el 21 de mayo de 2014, con la finalidad declarada de "seguridad y control de acceso a edificios: videovigilancia", cuyo responsable es la parte aquí actora.
Por tanto, ha quedado acreditada la vulneración del art. 26.1 de la LOPD , constituyendo una infracción leve del art. 44.2.b) de dicha norma que tipifica como infracción: " No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave" (Sentencia de la Audiencia Nacional de 23 de septiembre de 2016, recurso 1072/2015 [j 1]).
  • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
“La única vulneración de la LOPD que la resolución impugnada considera cometida es la infracción leve del artículo 44.2.d ) LOPD , por vulneración del artículo 5 LOPD al no haberse informado que las imágenes grabadas por el sistema de video vigilancia podrían ser utilizadas para el sistema del control horario de los trabajadores” (Sentencia de la Audiencia Nacional de 15 de octubre de 2009, recurso 604/2008 [j 2]).
  • La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
“Cuando el legislador utiliza en la redacción de la artículo 11.2 .c) del adverbio "necesariamente", en cuanto sinónimo de "inevitablemente", "irremediablemente", "indefectiblemente", etc., advierte que es forzoso, preciso, obligatorio, esencial, que la relación jurídica aceptada requiera para su desenvolvimiento la conexión del tratamiento con ficheros de terceros.
Pero es que además la norma debe complementarse con la recogida en el artículo 11.3 , que previene que "Será nulo el consentimiento para la comunicación de datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretende comunicar" , así como con los contemplados en el artículo 3 h) e i) que definen respectivamente el consentimiento del interesado y la cesión o comunicación de datos de la siguiente forma: "Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen","Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado"” (Sentencia del Tribunal Supremo de 8 de octubre de 2010, recurso 4353/2006 [j 3]).
“Debido a dicho tratamiento de datos de carácter personal necesarios conforme a la normativa en vigor el mayorista Telenet está obligado al distribuir el producto a celebrar con el minorista un contrato que regule la realización de ese tratamiento por cuenta de un tercero siguiendo las instrucciones del responsable (Vodafone) y que no podrá hacerlo para fin distinto, ni comunicará otra persona. Además ese contrato debe establecer las medidas de seguridad ( art 9 LOPD ) que el encargado (PVM) está obligado a implementar.
Telenet no ha acreditado la celebración por escrito de ese contrato con sus minoristas, ni en concreto con los cuatro minoristas requeridos, por lo que se considera que ha infringido el art 12 de la LOPD , en su apartado 2. Dicha infracción está tipificada como infracción leve en el art 44.3.d) de la misma ley orgánica” (Resolución de la Agencia Española de Protección de Datos 823/2017).
Infracciones graves en materia de protección de datos

El art. 44.3 LOPD/1999 calificaba como infracciones graves las conductas que consisten en:

  • Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el "Boletín Oficial del Estado" o diario oficial correspondiente.
  • Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.
“Es cierto que de la prueba testifical practicada se desprende que un empleado de una Oficina de la entidad bancaria (encargada del tratamiento) se puso en contacto telefónico con la esposa del denunciante para recabar el consentimiento para la contratación de tales seguros. Más aun sin negar verosimilitud a dicha conversación telefónica, en ningún caso se prueba la existencia de consentimiento alguno por parte del denunciante, Sr. Juan Ramón sino en su caso, exclusivamente, de la esposa del mismo, por lo que la virtualidad probatoria de tal testifical resultaría en todo caso incompleta.
En definitiva, por tanto, SEGURCAIXA ADESLAS y VIDA CAIXA trataron los datos del denunciante, emitiendo las pólizas de seguros de accidentes y de vida, otorgándole la condición de tomador y cargando en su cuenta bancaria los recibos de las primas correspondientes a 17/03/2013, 31/03/2013, 07/04/2013, y 5/05/2013. Todo ello sin que haya quedado acreditado que contara con su consentimiento para el tratamiento de sus datos necesarios para contratar los repetidos seguros por lo que, tal y como consideran las resoluciones combatidas, se vulnera uno de los esenciales principios en materia de protección de datos, cual es el del consentimiento, contemplado en el artículo 6.1 de la LOPD , sin que concurra en el supuesto ninguna de las circunstancias previstas en el artículo 6.2 de la LOPD (RCL 1999, 3058) que permitirían tratar los datos sin consentimiento” (Sentencia de la Audiencia Nacional de 2 de febrero de 2018, recurso 486/2015 [j 4]).
  • Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.
“ningún precepto legal ni reglamentario exige, ciertamente, que la comunicación dirigida a los interesados sobre la inclusión de sus datos personales en el fichero deba cursarse por correo certificado con acuse de recibo o por cualquier otro...

Para continuar leyendo

SOLICITA TU PRUEBA GRATIS