Sujetos responsables del cumplimiento de las normas de protección de datos

Autor:Alberto Palomar (Magistrado y Profesor Titular -Acred- de Derecho administrativo ) y Javier Fuertes (Doctor en Derecho. Magistrado suplente)
 
EXTRACTO GRATUITO

Los sujetos responsables del cumplimiento de las normas de protección de datos son aquellas personas a las que se les pueden exigir las consecuencias derivadas de los incumplimientos a las normas que regulan la protección de datos.

Contenido
  • 1 Normas generales sobre los sujetos responsables del cumplimiento de las normas de protección de datos
    • 1.1 Responsables del cumplimiento de normas de protección de datos
    • 1.2 Exención de responsabilidad en el cumplimiento de normas de protección de datos
    • 1.3 Corresponsabilidad en el cumplimiento de normas de protección de datos
  • 2 Excepciones a la responsabilidad en materia de protección de datos
  • 3 Regímenes especiales de responsabilidad en materia de protección de datos
  • 4 Ver también
  • 5 Recursos adicionales
    • 5.1 En doctrina
    • 5.2 En dosieres legislativos
  • 6 Legislación básica
  • 7 Legislación citada
  • 8 Jurisprudencia citada
Normas generales sobre los sujetos responsables del cumplimiento de las normas de protección de datos Responsables del cumplimiento de normas de protección de datos

El Reglamento 2016/679/UE, de 27 de abril , determina los sujetos responsables por las conductas contrarias al régimen establecido en materia de protección de datos.

Es al responsable del tratamiento a quien la Ley impone las obligaciones derivadas del régimen jurídico de la protección de datos y quien ha de sufrir las sanciones junto al encargado del tratamiento ( art. 3.1 del Real Decreto-ley 5/2018, de 27 de julio , de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos) cuando dichas obligaciones no se respetan (Sentencia de la Audiencia Nacional de 2 de febrero de 2018, recurso 486/2015 [j 1]).

El Real Decreto-ley 5/2018, de 27 de julio , de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, deroga, expresamente, el art. 43 de la LOPD/1999 .

En este sentido, el art. 82.1 del Reglamento 2016/679/UE, de 27 de abril , establece:

Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

De esta forma, quedan sujetos al régimen sancionador establecido en el Reglamento 2016/679/UE :

  • Los responsables de los tratamientos

El art. 82.2 del Reglamento 2016/679/UE, de 27 de abril dispone:

Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

La Sentencia del Tribunal Supremo de 8 de junio de 2015, recurso 1651/2013 [j 2] señala:

En estas particulares circunstancias, debemos decir que la resolución recurrida en la instancia no puede considerarse lesiva del derecho de defensa en el procedimiento dirigido a sancionar el incumplimiento de la orden de inmovilización. Don Pedro Francisco ha conocido todas las actuaciones de la Agencia Española de Protección de Datos , sabía que el fichero "DOMICILIOS" estaba inmovilizado, no respetó la prohibición de utilizarlo e, incoado ese procedimiento, se le notificó tal hecho, participó activamente en el expediente, impugnó en él cuanto consideró conveniente a su derecho, se le notificó la propuesta de resolución, alegó contra ella y recurrió en reposición la resolución sancionadora. No se advierte en esta secuencia ningún rasgo de indefensión. Y el único en que se fija la Audiencia Nacional, no habérsele hecho personalmente el requerimiento de cesar en los tratamientos, materialmente no produce el efecto lesivo del art. 24 de la Constitución que apreció la sentencia recurrida, pues, al margen de que esa inmovilización, fue confirmada judicialmente, don Pedro Francisco la conocía y no pudo no conocer tampoco el proceso judicial en que esa confirmación se produjo.
  • Los encargados de los tratamientos

El art. 82.1 del Reglamento 2016/679/UE, de 27 de abril establece que un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

Sobre el asunto la Sentencia del TS de 26 de abril de 2005, recurso 217/2004 [j 3] y la Sentencia de la AN de 2 de febrero de 2018, recurso 486/2015 [j 4] afirman:

Como primera reflexión ha de decirse que la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) , respecto de la anterior Ley Orgánica 5/1992, de 29 de octubre de Regulación del Tratamiento de Datos de Carácter Personal (LORTAD), introduce importantes novedades. Por lo que a nosotros nos interesa, debemos destacar la ampliación del régimen sancionador, dado que la LORTAD comprendía exclusivamente a los responsables de los ficheros ( art. 42.1 de la LORTAD ), y en la Ley vigente comprende además a los encargados de los tratamientos ( art. 43.1 de la LODP ), que según el art. 3.d) de dicha Ley: es la persona física o jurídica, de naturaleza jurídica pública o privada, y órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento.

Con ello, el legislador español pretende adaptarse a las exigencias de la Directiva 95/46/CE , que tiene como objetivo dar respuesta legal al fenómeno, que cada vez es más frecuente, de la llamada externalización de los servicios informáticos, donde actúan múltiples operadores, muchos de ellos insolventes, creados con el objetivo de buscar la impunidad o irresponsabilidad de los que le siguen en los eslabones siguientes de la cadena.

De ahí que la LOPD haga responsable no sólo al titular o responsable del fichero, sino también al encargado del tratamiento: el que decide sobre la finalidad, contenido y uso del tratamiento.
  • Los representantes de los responsables o encargados de los...

Para continuar leyendo

SOLICITA TU PRUEBA GRATIS