PremiumEl procedimiento sancionador de la Agencia Española de Protección de Datos y la reclamación por las sanciones impuestas
El procedimiento sancionador de la Agencia Española de Protección de Datos y la reclamación por las sanciones impuestas
Por Alba Maria López, Alejandra Reyes, Cristina Espín Y Cristina Sirera Abogadas de Elzaburu Abogadas
Puntualmente, la Agencia Española de Protección de Datos (“AEPD”) ocupa los titulares en los medios con motivo de la imposición de alguna sanción por incumplimiento de la normativa en materia de protección de datos de carácter personal. España posee uno de los más rigurosos regímenes en materia de protección de datos. Como veremos en este artículo, las infracciones en materia de protección de datos son las más elevadas de toda Europa con unos importes que pueden llegar hasta 600,000 Euros. La AEPD ha llegado a imponer multas en años anteriores por importe de 450.000, 841.000, 1.400.000 y 2.800.000 Euros.
Este artículo tiene por objeto exponer a los lectores, de modo sencillo y claro, el procedimiento sancionador incluido en la normativa de protección de datos, qué tipo de conductas suponen una infracción en materia de protección de datos y los pasos a seguir para presentar una demanda ante la AEPD.
Bien protegible
El bien jurídico protegible es el derecho a la protección de datos de carácter personal. Este derecho tiene carácter de fundamental y aparece garantizado en el Artículo 18.4 de la Constitución Española, donde se dispone que la Ley limitara el uso de la informática para garantizar el derecho al honor, a la intimidad personal y familiar, y a la propia imagen de los ciudadanos. Las previsiones contenidas en este artículo, se desarrollan en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, donde se construye un sistema de garantías y pleno ejercicio de los derechos de los ciudadanos en materia de datos de carácter personal.
Asimismo, nuestro Tribunal Constitucional en su sentencia 292/2000, de 30 de noviembre de 2000, -que resuelve un recurso de inconstitucionalidad respecto de los artículos 21.1 y 24.1 y 2 de la LOPD-ha consagrado que el derecho a la protección de datos es un derecho fundamental independiente del derecho al honor, la intimidad y propia imagen; el derecho a la protección de datos tiene, por tanto, una entidad autónoma y absolutamente independiente respecto del resto de derechos.
¿Qué es el derecho a la protección de datos de carácter personal? Es el derecho que cada persona tiene para decidir y controlar quién, cuándo y por cuánto tiempo están disponibles sus datos. De esta definición se derivan conceptos como el habeas data o el derecho a la autodeterminación informativa.
III.- Infracciones y sanciones. Especial mención a los sujetos infractores
Bajo la rúbrica “Infracciones y sanciones”, la LOPD, en su Título VII (artículos 43 a 49), establece las bases del proceso sancionador articulado por la AEPD.
(a) Responsables de la infracción
De conformidad con el artículo 43 de la LOPD, en el régimen sancionador establecido serán responsables y responderán de las infracciones cometidas los responsables de los ficheros y los encargados de los tratamientos. Únicamente estos actores podrán ser sancionados.
No obstante, cuando se trate de ficheros de titularidad pública, resultarán de aplicación en lo tocante al procedimiento y las sanciones, lo dispuesto en los artículos 46 y 48 de la ley, a saber: las Administraciones públicas no serán condenadas a pagar sanciones pecuniarias, sino que la AEPD únicamente emitirá una resolución estableciendo las medidas a adoptar para que cesen o se corrijan los efectos de la infracción y, eventualmente, promoverá la iniciación de actuaciones disciplinarias, según se establece en el régimen disciplinario de las Administraciones Públicas.
(b) Tipos de infracciones y sanciones
Los artículos 44 y 45 de la LOPD enumeran las infracciones leves, graves y muy graves en materia de protección de datos. Asimismo, el artículo 38 de la LSSI y la LGT en sus artículos 53, apartados o) a z), y 54, apartado r), regula las infracciones cuyo conocimiento y sanción corresponden a la AEPD. A continuación recogemos un cuadro resumen donde se detallan las infracciones y sanciones previstas en las tres normas, clasificados en función del tipo de infracción (leve, grave y muy grave):
Grado de infracción
Infracción
Sanción
LEVE
-Incumplimiento de las disposiciones de desarrollo de la LOPD: no remisión a la AEPD de las notificaciones previstas.
De 900 a 40.000 €
-Incumplimiento de la obligación de inscripción del fichero de datos de carácter personal en el RGDP.
-Incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos hayan sido recabados del propio interesado.
-Transmisión de los datos a un encargado del tratamiento incumpliendo los deberes formales recogidos por el art.12 de la LOPD.
-Incumplimiento de los requisitos recogidos por el art. 21 de la LSSI para el envío en un plazo de un año de más de tres comunicaciones comerciales electrónicas a un mismo destinatario
Hasta 30.000 €
-Incumplimiento por parte del prestador de servicios de lo dispuesto en el art. 22.1 de la LSSI en lo relacionado con los procedimientos para revocar el consentimiento prestado por los destinatarios siempre y cuando no constituya infracción grave.
-Incumplimiento de las obligaciones de información recogidas en el art. 22.2 de la LSSI así como del establecimiento de un procedimiento de rechazo del tratamiento de datos. Siempre y cuando esto no constituya una infracción grave.
GRAVE
-Tratamiento de datos de carácter personal y uso posterior de los mismos quebrantando las garantías y los principios recogidos por el art. 4 de la LOPD y por las disposiciones que se encargan de su desarrollo, salvo cuando constituyan infracción muy grave.
De 40.001 a 300.000 €
-Tratamiento de datos de carácter personal vulnerando el deber de guardar secreto (art.10 LOPD).
-Creación de ficheros de titularidad pública, recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el BOE o el diario oficial que corresponda.
-Incumplimiento de deberes de notificación o requerimiento al afectado que hayan sido impuestos por la LOPD y sus disposiciones de desarrollo.
-Cesión de datos de carácter personal sin mediar legitimación y por tanto incumpliendo lo dispuesto por la LOPD y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.
-Obstaculización del ejercicio de los derechos ARCO
-Medidas de seguridad indebidas para la protección de los ficheros, locales, programas o equipos que contengan datos de carácter personal.
-Incumplimiento del deber de colaboración con la AEPD: falta de atención a los requerimientos y a los apercibimientos de la AEDP, no proporcionar a la agencia los datos, documentos solicitados por la misma.
-Obstaculización de la actividad inspectora de la agencia.
-Incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
-Incumplimiento de obligaciones necesarias recogidas en la LOPD y sus disposiciones de desarrollo tales como el trato de datos de carácter personal sin recabar el consentimiento de las personas afectadas.
-Envío de forma masiva comunicaciones comerciales por cualquier medio electrónico incumpliendo los requisitos del art. 21 de la LSSI.
De 30.001 a 150.000 €
-Envío en un plazo de un año a un mismo destinatario mas de tres comunicaciones comerciales electrónicas incumpliendo los requisitos del art. 21 de la LSSI.
-Incumplimiento de manera significativa por parte del prestador de servicios del art. 22.1 de la LSSI en todo lo relacionado con los procedimientos instaurados para revocar el consentimiento prestado por los destinatarios.
-Incumplimiento de manera significativa de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas art. 22.2 de la LSSI.
MUY GRAVE
-Recogida de datos de forma engañosa o fraudulenta.
De 300.001 a 600.000 €
-Tratamiento o cesión de datos especialmente protegidos (art. 7.2, 3 y 5 de la LOPD) a menos que se haya dado autorización.
-Transferencia internacional de datos de carácter personal a países que no tienen un sistema de protección equiparable sin que medie la autorización del Director de la AEPD excepto que así lo prevea la LOPD y sus disposiciones de desarrollo.
-Incumplimiento del deber de colaboración con la AEPD cuando esta ultima por medio de su director hubiera emitido un requerimiento de cesar en el tratamiento ilícito de datos de carácter personal y no se cumpliera.
(c) Cuantía de las sanciones en la LOPD.
– Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
– Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
– Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
(d) Prescripción
El artículo 47.1 LOPD regula la prescripción de las infracciones, y dispone que:
– Las infracciones muy graves prescriben a los tres años.
– Las infracciones graves prescriben a los dos años.
– Las infracciones leves prescriben al año.
El régimen de prescripción de las infracciones establecido por la LSSICE (art. 45) y la LGT (art. 57) es el mismo que el regulado en la LOPD, con el único cambio en la prescripción de las infracciones leves que prescribirán al cabo de seis meses (art. 57 de la LGT).
(e) Criterios de graduación en la LOPD.
Partiendo del principio que las sanciones administrativas nunca podrán implicar privación de libertad y que al establecer sanciones pecuniarias, se deberá prever que dichas sanciones sean menos beneficiosas para el infractor que el cumplimiento de las normas vulneradas, el art. 45.4 LOPD dispone que la cuantía de la sanción se graduará atendiendo a diferentes circunstancias detalladas en dicho artículo:
– El carácter continuado de la infracción.
– El volumen de los tratamientos efectuados. Debe diferenciarse cuando una actuación vulnere los derechos relativos a la protección de datos de una persona a la vulneración de los mismos de una multitud.
– La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
– El volumen de negocio o actividad del infractor. Hay que tener en cuenta si la infracción de la normativa de protección de datos producía o iba a producir beneficios económicos o no.
– Los beneficios obtenidos como consecuencia de la comisión de la infracción.
– El grado de intencionalidad. En ocasiones las infracciones de la Ley de Protección de Datos son fruto de errores y no existía ningún tipo de intención de violar la normativa
– La reincidencia por comisión de infracciones de la misma naturaleza. Hay algunas ramas de negocio que, por su naturaleza y su envergadura, tienden con mayor frecuencia a la comisión de infracciones en materia de protección de datos, es por eso que se les debe dar un trato distinto que a otras ramas.
– La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
– La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
– Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
(f) Aplicación de la escala inferior a la infracción que proceda.
El art. 45.5 LOPD permite rebajar en grado la sanción propuesta cuando concurran los siguientes supuestos:
– Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
– Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
– Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
– Cuando el infractor haya reconocido espontáneamente su culpabilidad.
– Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Este precepto permite, por tanto, que en atención a las circunstancias concretas del caso, unos hechos susceptibles de ser sancionados como infracción grave, puedan, por ejemplo, ser considerados como de tipo leve. La AEPD acostumbra a considerar positivamente la diligencia del responsable en aplicar la normativa (por ejemplo que exista un plan para la implementación de la normativa aunque no esté implementado al cien por cien) y en tomar de forma inmediata acciones correctoras, en caso de incumplimientos.
Dentro de los supuestos objeto de rechazo de esta disminución destacan, ni la ausencia de intencionalidad (recordemos que la responsabilidad se basa en criterios objetivos), ni la falta de beneficio para el responsable (esta circunstancia ya se prevé en la graduación de la sanción) o, como en algunos casos se ha alegado, el hecho que la no aplicación de la disminución de la sanción implicaría el cese de actividad de la empresa responsable de la infracción.
(g) Criterios de graduación en la LSSI.
La LOPD y la LSSI tienen diferentes criterios de graduación de las sanciones. Así, en materia de comunicaciones comerciales electrónicas, las sanciones se gradúan en función de los siguientes criterios:
– La existencia o falta de intencionalidad. En este punto, el supuesto infractor deberá acreditar la falta de dolo y de culpa en su conducta, argumentando con hechos concretos la falta de intencionalidad.
– El plazo de tiempo durante el que se haya venido cometiendo la infracción puesto que el perjuicio para el afectado puede ser mayor.
– La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme.
– La naturaleza y cuantía de los perjuicios causados. En ese caso se deben valorar los daños o perjuicios que se han podido causar al afectado como consecuencia de la infracción cometida.
– Los beneficios obtenidos por la infracción.
– El volumen de facturación a que afecte la infracción cometida.
Aunque no se establece expresamente en la LSSI, también sería posible reducir la cuantía de las sanciones en los supuestos en los que el presunto responsable reconozca los hechos (RD 1398/1993 art. 8).
IV.- El Procedimiento Sancionador
La potestad sancionadora de la AEPD le viene atribuida por la LOPD, la LSSI y la LGT, tal como dispone el art. 120 del RLOPD. El RLOPD establece que será aplicable al procedimiento sancionador, de manera supletoria, lo dispuesto en el RD 1398/1993.
Los Responsables de los ficheros y los Encargados de los tratamientos estarán también sujetos al régimen sancionador establecido en la LOPD, así como al incluido en la LSSI.
(a) Apercibimiento
El apercibimiento previo se regula en el artículo 45.6 de la LOPD, donde se faculta a la AEPD, en determinados casos, para no iniciar el procedimiento sancionador frente al infractor y, en su lugar, apercibirle por los incumplimientos leves o graves que el infractor hubiese cometido, para que adopte las medidas necesarias para adecuar su actividad a la normativa en materia de protección de datos personales, en el plazo indicado por la AEPD, y que no reincida en dicho incumplimiento.
Estos casos excepcionales tienen lugar siempre que los hechos fuesen constitutivos de infracción leve o grave (es decir, dicha figura no tendría cabida si estuviéramos frente a una infracción muy grave) y el sujeto infractor no hubiera sido sancionado o apercibido con anterioridad.
Para determinar la apertura de procedimiento sancionador o apercibir al sujeto infractor, la AEPD ha de estudiar detenidamente la naturaleza de los hechos y la concurrencia de las circunstancias atenuantes recogidas en la LOPD.
Si se comprueba efectivamente la existencia de una vulneración, la AEPD podrá actuar de dos modos diferentes.
– Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En el caso de que el sujeto infractor haga caso omiso del apercibimiento, la AEPD procederá a la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
– Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado, el infractor podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento
(b) Inmovilización de ficheros
El artículo 121 del RLOPD prevé una medida especial basada en la posibilidad de requerir a los responsables de ficheros de datos personales, tanto de titularidad pública como privada, la cesación en el tratamiento ilícito de los datos. Esta medida será únicamente aplicable en los casos de infracción grave o muy grave, en los que la persistencia en dicho tratamiento pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados.
En estas circunstancias, el Director de la AEPD podrá, en cualquier momento del procedimiento, requerir a los responsables de los ficheros o tratamientos de datos de carácter personal, la cesación en la utilización o cesión ilícita de los datos, es decir, la inmovilización de los ficheros.
El requerimiento deberá ser atendido en el plazo de tres días, durante el cual el responsable del fichero podrá formular las alegaciones que desee para lograr el levantamiento de la medida. Si el requerimiento fuese desatendido, el Director de la AEPD podrá acordar la inmovilización de los ficheros con el único fin de restaurar los derechos de las personas afectadas.
(c) Actuaciones previas al procedimiento
Antes de dar comienzo al procedimiento sancionador, la AEPD puede llevar a cabo unas actuaciones previas con el fin de determinar si concurren circunstancias que justifiquen tal iniciación, en virtud de lo dispuesto en los artículos 122 a 126 del ROLPD.
Mediante estas actuaciones se buscará determinar los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable, así como fijar las circunstancias relevantes que pudieran concurrir en el caso.
Las actuaciones previas se llevarán a cabo de oficio por la AEPD, bien por iniciativa propia o bien como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano.
Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o de una petición razonada de otro órgano, la AEPD acusará recibo de la denuncia o petición, pudiendo solicitar cuanta documentación se estime oportuna para poder comprobar los hechos susceptibles de motivar la incoación del procedimiento sancionador.
Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia o petición razonada hubieran tenido entrada en la AEPD o, en caso de no existir aquéllas, desde que el Director de la Agencia acordase la realización de dichas actuaciones.
El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas.
La finalidad de las actuaciones previas es aportar la información imprescindible para que la AEPD acuerde el inicio del procedimiento sancionador, y así tener esa documentación presente en la instrucción del procedimiento.
La AEPD, con el fin de investigar los hechos denunciados, puede solicitar cuanta documentación entienda oportuna para poder comprobar los hechos, así como realizar actuaciones presenciales.
– Personal competente. Según el art. 123 del RLOPD, las actuaciones previas serán llevadas a cabo por el personal inspector de la AEPD. Los funcionarios que desarrollen dichas actuaciones inspectores tendrán la consideración de autoridad pública, además de estar obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.
– Actuaciones presenciales. Los inspectores pueden efectuar visitas de inspección a las instalaciones de las personas inspeccionadas, tanto en la sede del responsable del fichero como, en su caso, de su encargado del tratamiento o donde se encuentren ubicados los ficheros, en su caso. A tal efecto, los inspectores habrán sido previamente autorizados por el Director de la AEPD. La autorización se limitará a indicar la habilitación del inspector autorizado y la identificación de la persona u órgano inspeccionado.
Las inspecciones concluirán con el levantamiento de la correspondiente acta, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de inspección, así como la información que ellos consideren importante para el desarrollo de la investigación, y que puede llevar anexada la documentación que haya sido requerida en la propia inspección
El acta, que se emitirá por duplicado, será firmada por los inspectores actuantes y por el inspeccionado, que podrá hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente. Los inspectores deben dejar a las personas inspeccionadas el tiempo necesario para leer el acta, de modo que éstos puedan incluir las alegaciones o comentarios que estimen convenientes.
En caso de negativa del inspeccionado a la firma del acta, se hará constar expresamente esta circunstancia en la misma. En todo caso, la firma por el inspeccionado del acta no supondrá su conformidad, sino tan sólo la recepción de la misma.
Se entregará al inspeccionado uno de los originales del acta de inspección, incorporándose el otro a las actuaciones.
Durante actuaciones presenciales de la AEPD, los inspectores pueden recabar cuanta información les parezca precisa para investigar los hechos denunciados, bien a través de exhibición de documentos así como de obtención de copia de los mismos, bien solicitando la inspección de los equipos o la ejecución de determinados programas que puedan contener información relevante para su investigación.
– Terminación del procedimiento sancionador. Una vez concluidas las actuaciones previas, éstas se someterán a la decisión del Director de la AEPD.
Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de infracción alguna, el Director de la AEPD dictará resolución de archivo que se notificará al investigado y al denunciante, en su caso.
En el caso de que la AEPD concluyese que existen indicios suficientes para motivar la imputación de la infracción, el Director de la AEPD dictará acuerdo de inicio de procedimiento sancionador, que se tramitarán conforme a lo dispuesto a continuación.
(d) Fases del procedimiento sancionador (instrucción, prueba, defensa, resolución del procedimiento)
– Iniciación del procedimiento sancionador. El inicio del procedimiento se produce siempre de oficio, ya sea por propia iniciativa o como consecuencia de la existencia de una denuncia o de una petición razonada de otro órgano. Así, cuando el Director de la AEPD, tras practicar las actuaciones previas, aprecia la existencia de indicios suficientes para motivar la imputación de una infracción, dictará acuerdo de inicio de procedimiento sancionador.
De acuerdo con el artículo 127 del RLOPD, el acuerdo de iniciación debería contener como mínimo los siguientes datos:
– Identificación de la persona o personas presuntamente responsables.
– Descripción sucinta de los hechos imputados, su posible calificación y las sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción.
– Indicación de que el órgano competente para resolver el procedimiento es el Director de la AEPD.
– Indicación al presunto responsable de que puede reconocer voluntariamente su responsabilidad, en cuyo caso se dictará directamente resolución.
– Designación de instructor y, en su caso, secretario, con expresa indicación del régimen de recusación de los mismos.
– Indicación expresa del derecho del responsable a formular alegaciones, a la audiencia en el procedimiento y a proponer las pruebas que estime procedentes.
– Medidas de carácter provisional que pudieran acordarse, en su caso, conforme a lo establecido en la sección primera del presente capítulo.
Asimismo, se enviará una notificación del acuerdo de iniciación a los interesados, en la cual se les informará de que, de no efectuar alegaciones sobre el contenido de la iniciación del procedimiento en el plazo de quince días, ésta podrá ser considerada propuesta de resolución cuando contenga un pronunciamiento acerca de la responsabilidad imputada, con los efectos previstos en los artículos 18 y 19 RD 1398/1993.
Este acuerdo deber ser comunicado al instructor, con traslado de cuantas actuaciones existan al respecto, y notificado al denunciante, en su caso, y a los interesados, entendiendo en todo caso por tal al inculpado.
– Instrucción y prueba. En esta fase los interesados dispondrán de un plazo de quince días para formular cuantas alegaciones, presentar los documentos o informaciones que estimen convenientes y, en su caso, proponer pruebas concretando los medios de los cuales pretendan valerse o –también- existe la posibilidad de reconocer voluntariamente la responsabilidad, a los efectos del art. 8 del RD 1398/1993.
Recibidas las alegaciones o transcurrido el plazo de quince días sin que se hayan formulado aquéllas, el órgano instructor podrá acordar la apertura de un período de prueba por un plazo no superior a treinta días ni inferior a diez días. Dicho acuerdo deberá notificarse a los interesados, y en él se podrá rechazar de forma motivada la práctica de aquellas pruebas que en su caso, hubiesen propuesto aquéllos cuando resulten improcedentes.
Todos los plazos indicados en días que hacen referencia a las potestades de inspección y sanción de la AEPD, deberán entenderse como días hábiles, excluyendo los domingos y festivos (artículo 48.1 Ley 30/1992).
– El derecho de defensa: Alegaciones y trámite de audiencia. Para que el interesado pueda ejercer su derecho fundamental a defenderse, el RD 1398/1993 ha previsto la audiencia del interesado con ocasión de la notificación del acuerdo de iniciación y con motivo de la notificación de la propuesta de resolución (esto último sin perjuicio del derecho de los interesados a formular alegaciones y aportar los documentos que estimen convenientes, con anterioridad al trámite de audiencia).
La observancia de los plazos por parte del presunto responsable conozca los plazos y que ejerza su derecho a la defensa dentro de dichos plazos, puesto que la inactividad del presunto responsable puede ser considerada por la AEPD como un reconocimiento de los hechos imputados.
– La propuesta de resolución. Transcurrido el periodo de prueba, el inspector del procedimiento formulará una propuesta de resolución. En ésta, de forma motivada, se fijarán de modo claro y preciso los hechos que se consideran probados y su exacta calificación jurídica. Se deben exponer los hechos probados, incluyendo la valoración de las pruebas cuando puedan constituir fundamento de la decisión que se adopte en el procedimiento. Si se apreciara la concurrencia de circunstancias que motiven la agravación o atenuación de la sanción, deben incluirse si resultan de los hechos probados
Se dejará constancia, además, si la valoración de la prueba o pruebas practicadas ha sido fundamental e imprescindible para la evaluación de los hechos. En su caso, además, se razonará la denegación de la práctica de prueba propuesta por el presunto responsable. Asimismo, se dejará constancia de las medidas provisionales que se hubiesen adoptado
Resulta fundamental la calificación jurídica de la infracción que, en su caso, los hechos constituyan. Los hechos probados deberán identificarse con un determinado tipo de infracción, y deberá valorarse la apreciación de las circunstancias que conlleven a la agravación o atenuación de la sanción
Deberá determinarse la persona o personas que resulten responsables de la infracción, debiendo precisar, si hay más de uno, el régimen de responsabilidad conjunta.
El inspector indicará la sanción que propone se imponga, determinando la cuantía con arreglo a los criterios establecidos en la LOPD art. 45.4, e incluirá la declaración, en su caso de no existencia de responsabilidad o infracción.
Se debe notificar la propuesta de resolución al presunto responsable para que, en el plazo de quince días, pueda formular nuevas alegaciones si lo considera oportuno.
Notificada la propuesta de resolución o expirado el plazo de alegaciones, el instructor eleva el expediente completo al Director de la AEPD.
– Actuaciones complementarias. Antes de dictar resolución, el Director de la AEPD puede ordenar al instructor la práctica de cuantas cuestiones considere necesarias, lo que debe llevar a cabo en un plazo máximo de quince días. Hasta la terminación de las actuaciones complementarias, el plazo para resolver el procedimiento queda suspendido.
...
CONTENIDO EXCLUSIVO PARA SUSCRIPTORES
