Protección de datos, comparativa de sanciones
- Viernes, Enero 11, 2008, 1:15
- Opinión
- 17 comentarios
Es frecuente escuchar a los profesionales en materia de protección de datos que nuestra legislación actual es desproporcionada a la hora de imponer sanciones. Lo cierto es que la cuantía mínima por infringir la normativa de protección de datos es de 600 euros (infracciones leves) y la máxima de 600.000 euros (infracciones muy graves).
Uno podría pensar que a la hora de imponer la sanción el “juez” observará el poder económico del sancionado para graduar convenientemente… vaya, que el daño producido por una sanción de 60000 euros no es el mismo si el sancionado es Telefónica o un “mileurista”; pero no, nuestra legislación no prevé este tipo de graduaciones sino que se siguen otros criterios, lo que nos lleva a encontrarnos con situaciones estremecedoras como las que iremos observando aquí a lo largo del tiempo.
En definitiva, vamos a ir comparando las sanciones impuestas en materia de protección de datos con las de otras regulaciones, y empezamos con las relativas a prevención de riesgos laborales.
El supuesto examinado en esta ocasión tiene que ver con un accidente de trabajo de un menor de edad. El menor estaba trabajando manipulando maquinaria muy peligrosa sin medidas de seguridad, por orden de sus superiores, cuando tuvo un accidente por el cual tuvieron que amputarle el dedo gordo de su mano derecha.
Por otra parte tenemos a un señor que utilizó un anuario de antiguos alumnos para enviarles una carta a sus domicilios sin su consentimiento solicitándoles el voto para unas próximas elecciones locales.
Para conocer los detalles de ambos supuestos así como la cuantía de la sanción impuesta a cada uno haz clic en
En primer lugar es necesario indicar como se graduan las sanciones en materia de protección de datos, así, el artículo 45 establece el tipo y cuantía de las sanciones:
1. Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.
2. Las infracciones graves serán sancionadas con multa de 10.000.000 a 50.000.000 de pesetas.
3. Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas.
Luego nos indica los criterios que deberán seguirte para moverse en esos rangos:
4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediantamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.
El punto 5 nos informa que si el órgano sancionador lo estima oportuno puede bajar en un grado, esto es, si hemos cometido una infracción grave (con multa de 60000 a 300000 euros) puede que el órgano, en atención a eas circunstancias nos multe en el rango de una infracción leve (multa de 600 a 60000 euros); pero esto se deja al arbitrio del órgano sancionador, no está obligado a hacerlo.
Así las cosas, volvemos a los supuestos de hecho.
Tenemos en primer lugar el accidente del trabajo. La sentencia vino motivada por el accidente laboral sufrido por el trabajador menor de edad D. L. L. L. el 16 de octubre de 1997. Como se hace constar en el acta de infracción, dicho trabajador, de 16 años de edad, había sido contratado como aprendiz por la recurrente, sobreviniéndole el accidente cuando se encontraba manejando, cumpliendo órdenes de sus superiores, una prensa excéntrica con la que troquelaba unas piezas metálicas, accionándola con un pedal; en un momento, por distracción, colocó la mano derecha en la zona operativa de la prensa, pisó el pedal de accionamiento para hacer una nueva pieza y el troquel le aplastó el dedo pulgar, el cual te tuvo que ser posteriormente amputado. Según se hace constar en el acta, la prensa no disponía de ningún resguardo o dispositivo de protección para, cuando se trabajaba con matriz abierta, impedir el acceso de dedos y manos a la zona de peligro y evitar así el riesgo de atrapamiento.
Dice la Sentencia que de tales hechos se evidencia la comisión de una infracción de carácter muy grave del artículo 48.2 de la Ley 31/1995, al no observar las normas específicas en materia de protección de la seguridad y la salud de los menores; y en concreto la contenida en el también citado artículo I c) del Decreto de 26 de julio de 1957 -declarado en vigor por dicha Ley en cuanto a la normativa relativa al trabajo de los menores-, que prohibe expresamente a los menores de dieciocho años el manejo de prensas, guillotinas, cizallas, sierras de cinta o circulares, taladros mecánicos y, en general, cualquier máquina que por las operaciones que realice, representan un marcado peligro de accidentes, salvo que éste se evite totalmente mediante los oportunos dispositivos de seguridad.
En resumen, tenemos a un menor manipulando maquinaria muy peligrosa (la ley prohibe expresamente que los menores trabajen con estas máquinas) y además sin las medidas de seguridad que exige la ley de prevención de riesgos; el chico tiene un accidente y le amputan el dedo gordo. Infracción muy grave, y sanción de 30000 euros a la empresa.
Bien, ahora vayamos al campo de protección de datos.
En este caso tenemos a un señor, miembro de un grupo parlamentario. Con la intención de recabar algunos votos para unas elecciones, decide enviar unas cuantas cartas a unos antiguos compañeros del colegio; los datos de estos antiguos alumnos los obtiene de un Catálogo de antiguos alumnos que edita la Asociación de Antiguos Alumnos de ese Colegio. Uno de los que recibe esta carta se molesta y procede a denunciarle.
La Agencia Española de Protección de Datos termina en imputar a este señor una infracción del artículo 4 de la Ley Orgánica de Protección de Datos, esto es, utilizar los datos personales del Catálogo para una finalidad incompatible para la cual se ha creado. La infracción de este artículo constituye una infracción grave pero en vista del volumen de datos tratados, el beneficio obtenido y demás, generosamente terminan en imponerle la multa en la parte baja del rango de las infracciones graves: 60000 euros.
Conclusión, por un lado tenemos a un chaval con el dedo gordo de su mano derecha amputado porque la empresa donde trabajaba no disponía de las medidas de seguridad laborales correspondientes y además el menor estaba manipulando maquinaría que expresamente la ley prohibe y por otro lado tenemos a un señor que ha recibido una carta en su domicilio sin su consentimiento.
Puedo atreverme a afirmar, que socialmente hablando es mucho más reprochable, sobre todo en vista de los resultados, la actuación de la empresa que la del señor que envió unas cuantas cartas. Sin embargo, al primero se le impuso una multa de 30000 euros y al segundo el doble, 60000 euros.
A lo largo de los días iremos examinando más supuestos de estas características.
Descargar Sentencia Prevención de Riesgos
Descargar Resolución Antiguos Alumnos
Recibe estos articulos en tu email:
Cargando ...
Me parece interesante tu nota, pero, por como has explicado el tema, para mi, lo interesante es ver lo nimias que son las penas contra empresarios.
Que suelen ser responsables de cientos de muertes al año en España.
Probablemente esto se deba a que nuestros políticos son gravemente perjudicados por recibir correos que no desean, pero no se han visto nunca afectados por accidentes laborales… Bueno, quizá se han cortado con un folio leyendo algún documento, pero les jode más borrar el spam del PC.
Les entiendo perfectamente, la pena es que yo no soy político, sino técnico de montaje, con lo que tendré que seguir protegiéndome yo sólito, sin esperar que mi jefe tema apenas por los accidentes que a diario nos acontecen.
Samuel, ya estuvimos comentando en cierta ocasión lo desproporcionadas que son las sanciones en España, ya no sólo en comparación con otras infracciones, sino con las propias leyes de protección de datos de otros países europeos, con sanciones infinitamente inferiores a las españolas.
Genial post y perfecto ejemplo del “talibanismo” de la Agencia, que tiene un afán recaudatorio criticable y preocupante.
Un saludo.
Esto es como el tema de la propiedad intelectual, que sale mejor robar los discos que descargarlos
La ley de protección de datos, se creo para defender el derecho a la intimidad de las personas. Los tipos de infracciones de la ley según pone arriba, de 50.000.000 a 100.000.000 de pesetas, ocurre cuando tienes un fichero sobre la creencia o la inclinación sexual de un sujeto pero, ese dichero, no está dado de alta en la agpd. El derecho a la intimidad y el honor es constitucional y un derecho básico.
Que un niño trabaje en una empresa o un inmigrante ilegal es otro tema, que no tiene absolutamente nada que ver con la protección de datos. Que las multas sean bastante menos cuantiosas, se debe a ley de contratación laboral.
Saludos.
Gracias Peri y Andy por vuestros comentarios; en efecto, parece evidente las desproporciones en esta materia, y por eso he querido poner ejemplos comparando.
Respecto lo que comentaba Arturo, las infracciones muy graves (de 300.000 a 600.000 euros) no se producen cuando tenemos un fichero con datos especialmente protegidos y no está declarado en la AEPD; se podría llegar a una infracción muy grave por no declarar el fichero en los casos en que se desatienda sistemáticamente esta obligación.
En concreto, la Ley tipifica como infracciones muy graves las siguientes conductas:
Son infracciones muy graves:
a) La recogida de datos en forma engañosa y fraudulenta.
b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.
d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso.
e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.
f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.
h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.
Como ves, hay muchas formas de incurrir en infracción muy grave.
Y efectivamente, nada tiene que ver la Sentencia respecto al menor en el ámbito laboral con la protección de datos, pero es que ese es precisamente el objeto de mi artículo: comparar distintas sanciones en distintos ámbitos con las sanciones impuestas en materia de protección de datos; el objetivo: apreciar, en algunos casos, las desproporciones que nos podemos encontrar.
Naturalmente, que las cuantías en materia laboral sean distintas es porque así lo ha previsto su regulación específica, pero no deja de ser alarmante
lo que he comentado en el artículo.
Por otra parte, no es del todo correcto afirmar que la ley de protección de datos se creó para defender el derecho a la intimidad de las personas. La normativa de protección de datos tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar, pero exclusivamente de lo que concierne a los DATOS PERSONALES.
El derecho a la intimidad es otra cosa distinta a lo que estamos hablando aquí, y que tiene su propia regulación: Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen.
Siempre será igual en España “because Spain is diferent”.
Auque no lo sé a ciencia cierta, oi que en Holanda, el importe de las multas se estima en base a lo que cotizas anualmente.
Asi el forrao (empresario, conductor o lo que sea), también le dolerá pagar esa multa igual que al que menos gana.
Buenas Samuel,
Ya estoy de vuelta…
La verdad, un post genial, claro ejemplo de la exageración a la que nos enfrentamos diariamente, no tienen absolutamente ningún sentido que no haya ninguna graduación entre las sanciones y que estas se imponga de forma semejante para grandes grupos empresariales (que por cierto, en ocasiones asumen como costes directamente en las contabilidades y siguen incumpliendo) y una Micropyme o incluso un particular que reenvía un pps a un lista de contactos…en fín…seguiremos luchando por mejorar esto…y otras muchas cosas…
¿Con esto quieres decir que las sanciones en materia de protección de datos son demasiado elevadas? ¿O que estas mismas son excesivas en comparación con las multas que se imponen en otros ámbitos?
Porque yo creo que, en tu exposición, hay defecto en lo que respecta a prevención de riesgos, no exceso en cuanto a protección de datos. A mí, salvo algunos detalles, me gusta la legislación vigente.
Por otro lado, tu entrada seguramente servirá para que algunas personas se percaten de que en España la ley de protección de datos es realmente dura. Porque muchos de mis allegados siempre andan quejándose, maldiciendo a los legisladores por permitir determinadas conductas y sintiéndose indefensos. Les enviaré tu estudio comparativo por correo electrónico.
¡Y Feliz Año!
Hola Óscar.
Lo cierto es que se pueden sacar las dos conclusiones, no obstante, lo que yo pretendía indicar era el exceso por parte de las sanciones en protección de datos más que poner de manifiesto lo livianas en, este caso, temas de prevención de riesgos y laboral.
Y aunque en efecto la sanción por prevención puede parecer muy floja, lo cierto es que la de protección de datos parece bastante elevada.
Gracias por tu comentario
y feliz año !
Siempre he dicho que las sanciones de la Ley de Protección de Datos son absolutamente desproporcionadas tanto desde la óptica del derecho comparado como de otras normativas.
He visto muchas de las resoluciones de la Agencia de Protección de Datos y la verdad es que ponen los pelos de punta.
No existe el adecuado equilibrio con otras regulaciones, incluso la penal.
por fin un experto en protección de datos que es crítico con la normativa. es una de las leyes más fácil de incumplir de nuestro ordenamiento, no por negligencia, sino porque puede llegar a ser imposible respetarla (según los casos), pero nada, a multar coño, que 60000 € no son ni 10 kilos de los de antes (con la inflación y tal…)
Si bien es cierto por lo que explicas que las sanciones en materias de porteccion de datos son mas cuantiosas que en materia de prevencion de riesgos, tengo la impresión y si no es asi te ruego me corrijas que el numero de sanciones es mas cuantioso en materia de prevencion que en el de protección, sobretodo porque en materia de prevencion la inspeccion puede actuar de oficio y en materia de prevención se ha de actuar a instancia de parte.
Saludos
Hola Eduardo.
Desconozco el número de sanciones en materia de prevención de riesgos, pero seguramente será superior. No obstante, los motivos para que sea superior no se deben ajustar a tus indicaciones, ya que la Agencia Española de Protección de Datos sí actua de oficio, de hecho, con cierta frecuencia.
Yo más bien apuntaría este hecho a otros aspectos:
a) Sólo existe un único organismo para sancionar en materia de protección de datos a empresas privadas en todo el territorio nacional: la Agencia Española de Protección de Datos. El personal de la Agencia es bastante limitado así que en realidad no pueden estar haciendo inspecciones de oficio constantemente y por eso casi siempre se limitan a atender las denuncias de los particulares, que no es poco.
b) El tema de la protección de datos no está muy integrado en la sociedad; no nos cuesta nada facilitar nuestros datos personales sin ni siquiera saber para qué.
Hay algunos motivos más, pero creo que estos son suficientemente ilustrativos :).
Un saludo
Hola!
En primer lugar, gracias por vuestros comentarios.
En segundo lugar, perdón si pongo mi duda en una sección que no le corresponde.
Mi duda es la siguiente: tenemos en la comunidad de propietario una camara de videovigilancia en las zonas comunes (en la escalera principal) y un fichero asociado que tenemos dado de alta en el Agencia de Protección de datos.
Un vecino (alquilado en uno de los pisos de la comunidad) a veces tapa la camara o la mueve. ¿Esto es denunciable?
Gracias de antemano y un saludo
En la 1ª jornada de protección de datos organizada este año por la AEPD, un cachondo preguntó que podian hacer las empresas que tenian muchisimos datos de daracter personal sin contar con la correspondiente autorización de los afectados para tratarlos, y que ademas tenían los datos desde hace mas de 10 años. La risotada del colectivo de asistentes fue tremenda, y la respuesta del abogado del estado de la AEPD, no pudo ser mas clara: la legislación de protección de datos existe desde 1992, no será que no han tenido tiempo para adaptarse a la ley.
Volviendo al asunto de la presunta falta de proporcionalidad: quien provoca el corte de un dedo de un empleado suyo durante su trabajo, no proca la perdida de millones de dedos, peeero, quien vulnera la ley de protección de datos, puede potencialmente vulnerar el derecho de miles, incluso millones de personas. Así, vease el caso de una empresa aseguradora médica que obtiene datos mécicos sin autorización para denegar tratamientos médicos:
https://www.agpd.es/portalweb/resoluciones/procedimientos_sancionadores/ps_2008/common/pdfs/PS-00331-2007_Resolucion-de-fecha-05-03-2008_Art-ii-culo-7.3-y-11-LOPD_Recurrida.pdf
¿creen ustedes que será la única ocasión en que la aseguradora ha realizado dicha práctica o que lo hará de forma sistemática?¿creen ustedes que era la única vez que el médico lo hizo?
Con seguridad, lo habrán hecho en muchas ocasiones, pero dado que la LOPD sigue siendo una gran desconocida, solamente en este caso ha sido denunciado.
Por cierto, si se fijan, la Agencia ha aplicado el artículo 45.5 para rebajar la sanción del médico, que por ser muy grave, debería haber sido de 300.000 € (minima de las sanciones muy graves) pasa a imponerle una sanción de 60.000 €, la mínima entre las sanciones graves.
Tienes toda la razón, el desvalor del resultado queda absolutamente desnivelado. Pero ése no es la única fuente que se utiliza a la hora de fija a la gravedad de la pena. Se me ocurren también ciertos motivos de política criminal:
- El chaval del dedo amputado seguro que denuncia, por lo que los 30.000 caen seguro. Además esa es la sanción, independiente del posterior resarcimiento, que probablemente multiplicará con mucho dicha cuantía y resulta más relevante. Además, podría abrirse, porque lo merece, en el caso concreto -menor de edad, baja cualificación, falta de medidas de seguridad…- un juicio penal de lesiones. Por cierto, es muy probable que el chaval del dedo amputado termine llegando hasta el final en el proceso.
- Las sanciones de protección de datos están pensadas por y para las grandes empresas, que son las grandes maquinarias de manejo de datos y que, dado su nivel adquisitivo, precisan, para conservar el poder disuasorio de la norma, de grandes sanciones; más aún cuando el afectado, el consumidor, en pocas y raras veces termina yendo en contra -al igual que los inspectores-. Es sumamente probable que, en una campaña donde haya un manejo ilegal de los datos, se violen los derechos de cientos, quizás miles, de personas, constituyendo su globalidad una sola acción sancionable; por lo que la sanción tampoco está destinada para los casos donde sólo se envíen unas pocas cartas.
LO CIERTO Y VERDAD, QUE LAS LEYES LAS MONTAN PARA PERJUDICAR A LOS POBRES Y BENEFICIAR A LOS RICOS. ESTO OCURRE PORQUE LOS PRIMEROS NO SE REVELAN CONTRA LOS QUE LOS AXFISIAN POCO A POCO, Y SOLO LES DEJAN RESPIRAR PARA QUE PUEDAN SEGUIR PAGANDO AL ERALDO PUBLICO COMO ANTIGUAMENTE HACIAN CON LA PLEBE LES DEJABAN VIVIR PARA QUE PAGASEN. UNA VERDADERA PENA .
DEBIAMOS DESEMPOLVAR LAS GUILLOTINAS DE LA VERDADERA LIBERTAD., Y DE SEGUN EL ESFUERZO EQUIPARARLO A LA RECOMPENSA RECIBIDA, ALGUNOS TENDRIAN MUY POCAS RECOMPENSAS, COMO POR EJEMPLO LOS QUE VELAN POR NUESTROS INTERESES, QUE EN ESTE CASO NO ES NADIE. SI NO NOSOTROS MISMOS.
ADIOS