- Protección de datos personales - http://www.samuelparra.com -

La Ley de Economía Sostenible podría reformar la Ley de Protección de Datos

Posted By Samuel Parra On Domingo, 30 enero 2011 @ 23:23 In Novedades Legislativas | 16 Comments

La más que inminente Ley de Economía Sostenible incluye, entre sus múltiples enmiendas, una interesante modificación de la LOPD; así, se propone entre otras cosas, la posibilidad de que las infracciones leves y graves queden impunes, o una reforma del elenco de infracciones, despenalizando determinadas conductas o añadiendo nuevos tipos.

El proyecto de Ley de Economía Sostenibles ha cobrado estos meses una relevancia importante por las cláusulas relativas a la defensa de los derechos de propiedad intelectual (“Ley Sinde” se conoce este proyecto en Internet, en alusión a la actual Ministra de Cultura). No obstante, el Grupo Parlamentario Catalán en el Senado de Convergència i Unió (GPCIU) ha presentado una enmienda de adición (esto es, que se añada una nueva disposición final en este caso), con la intención de reformar diversos artículos de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

En concreto se quieren reformar los artículos 43, 44, 45, 46, y 49.

¿Qué podría cambiar en las próximas semanas?

Examinemos las reformas más importantes:

1º: El artículo 44. Contiene todo el elenco de infracciones; este artículo es muy importante porque nos dice qué conductas son constitutivas de infracción y su grado (leve, grave o muy grave).

En relación a las infracciones leves, lo más relevante es que desaparecen dos infracciones: en primer lugar, dejará de considerarse infracción “No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda“.

Y en segundo lugar, desaparece la posibilidad de incumplir el deber de secreto como infracción leve. En la actualidad, y dependiendo de la naturaleza de los datos divulgados sujetos a este deber de secreto, la infracción puede ser leve (en todos los casos),  grave (en determinados supuestos) y hasta muy grave en unos pocos supuestos. Ahora desaparece la infracción leve, de forma que, como veremos a continuación, toda infracción del deber de secreto pasará a ser grave, así que tampoco será posible vulnerar el deber de secreto de forma muy grave.

Se añade una nueva infracción leve: “La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.“. Esto supone una cristalización de la doctrina que ha venido manteniendo la Agencia Española de Protección de Datos (AEPD). Esta infracción supone penalizar la conducta consistente en facilitar datos de carácter personal a un encargado del tratamiento por parte del responsable del fichero sin que medie el contrato y forma que exige el artículo 12 de la LOPD.
¿Qué sucede ahora en esta situación? Ahora sucede que, si no existe el contrato mencionado, se entiende que lo que se ha producido es una cesión de datos de carácter personal, y como no va a existir el consentimiento para la cesión, al cedente (responsable del fichero) se le imputa una infracción muy grave, pero además, al cesionario una infracción grave por tratar los datos personales cedidos sin consentimiento (claro, si el que tiene el deber de obtener el consentimiento no lo hace, cuando los ceda llegarán ya intoxicados). Esta solución que la ha aplicado la AEPD en diversas ocasiones es una auténtica aberración se mire por donde se mire: la AEPD estaba creando un nuevo tipo infractor: facilitar los datos sin que medie contrato (vulneración del principio de legalidad y tipicidad más elemental).
Ahora se castiga expresamente no firmar ese contrato del artículo 12.

Respecto a las infracciones graves, lo más relevante es el hecho de considerar que las cesiones de datos serán castigadas como infracción grave y no como muy grave, dejando la calificación de “muy grave” para casos muy concretos. En la actualidad, toda cesión de datos sin consentimiento es una infracción muy grave.

Se añade una nueva infracción grave: “El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo” donde podrán encajar diversas conductas desobedientes.

En relación a las infracciones muy graves se simplifican y reducen significativamente: en la actualidad hay 9 conductas castigadas como infracción muy grave, con la reforma pasarían a 4.

Desaparece la cesión de datos en general, constituyendo infracción muy grave únicamente cuando los datos objeto de cesión se refieran a los indicados en los apartados 2, 3 y 5 del artículo 7.

Desaparece la posibilidad de vulnerar en el deber de secreto de forma muy grave cuando los datos hacian referencia a los mismos supuestos que el caso anterior.

Desaparece la infracción consistente en no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero y obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición (conductas que podrán ser constitutivas de infracción grave pues encajarían en el nuevo tipo infractor de esta categoría).

La siguiente modificación es en relación a las cuantías de las sanciones; tranquilos, lo único que se hace es convertir las cifras en pesetas para poner su equivalencia en euros. Eso sí, han reducido ligeramente la cuantía mínima de la infracción leve, pues si hasta ahora era una multa de 100.000 pesetas, ahora lo es de 600 euros, cuando la conversión exacta debería ser de 601 euros (cuantía que viene aplicando la AEPD en sus sanciones, y no 600 euros). Y lo mismo para las cifras de 30.000, 60.000 y 600.000 euros.

Le toca el turno a los criterios para graduar las sanciones. Se han reformado y añadidos nuevos criterios para graduar las sanciones. Así, ahora se tendrá en cuenta:

  • a) El carácter continuado de la infracción
  • b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • c) El volumen de negocio o actividad del infractor. Es de elogiar este intento de ajustar las sanciones a la realidad económica del infractor. No obstante esto queda lejos de lo que la doctrina viene reclamando: un auténtico sistema de graduación de las sanciones al estilo de los días-multa. Lo cierto es que al gran infractor, a ese que mueve millones de euros anuales, le dará un poco igual que la sanción sea de 60.000 euros que de 300.000 euros.
  • d) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. Otra interesante novedad sin duda.

Se añade ahora un auténtico elenco de atenuantes, eliminando así la actual mención del artículo 45.5.
Las atenuantes procederán:

  • a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
  • b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  • c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
  • d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
  • e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

Tengo dudas en relación a la d) ¿espontáneamente? ¿qué significa eso? ¿que el propio infractor se denuncie? ¿que desde el primer momento reconozca su culpabilidad?

Pero sin lugar a dudas, de todas las reformas propuestas, la más relevante es la relativa a la adición de un nuevo apartado 6 en el artículo 45. Se pretende añadir este precepto:

“Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”.

Los que se dediquen al mundo del derecho ya sabrán lo que significa la palabra “excepcionalmente” en una ley… lo mismo que “provisionalmente”.
Este nuevo 45.6 deja en manos de la propia AEPD castigar las infracciones leves y graves, dejando como único límite que el infractor no hubiese sido sancionado o apercibido con anterioridad, aunque no dice el precepto si esa sanción o apercibimiento anterior debe ser de la misma naturaleza que la infracción de la que se pretenda no iniciar procedimiento sancionador.

Mucho me temo que, de terminar aprobándose este precepto, empezaremos a ver supuestos idénticos pero que en unos casos terminarán en una sanción y en otros en un apercibimiento, pues en mi opinión se debería haber detallado más en qué circunstancias procede obviar la potestad sancionadora de la administración y dejar sin sanción una conducta típica, antijurídica y punible.

No obstante, esto también puede beneficiar a las entidades que se encuentren ahora mismo o en las próximas semanas con una denuncia, pues se debería aplicar este criterio de forma retroactiva.

Por último, la facultad prevista en el artículo 49 relativa a la posibilidad de inmovilizar ficheros, se extiende a los casos de infracciones graves. Recordemos que en la actualidad sólo es de aplicación para infracciones muy graves.

Todos estos preceptos, a pesar de que estén en una Ley Orgánica, tienen caracter de ley ordinaria.


Article printed from Protección de datos personales: http://www.samuelparra.com

URL to article: http://www.samuelparra.com/2011/01/30/ley-economia-sostenible-podria-reformar-lopd/