Publicidad
Inicio » Artículos destacados » El procedimiento sancionador en la AEPD
El procedimiento sancionador en la AEPD

El procedimiento sancionador en la AEPD

Por Eulalia Martínez Román. Socio Responsable del Área de Audiovisual, Media & PI de Olleros Abogados

A pesar de que España no fue de los primeros países en adecuar su legislación al Convenio Europeo para la Protección de Datos de Carácter Personal[1], actualmente es uno de los Estados con las normas más restrictivas en esta materia, con un gran índice de imposición de sanciones.

Antes de comenzar a desarrollar el procedimiento sancionador[2] es necesario aclarar que, si bien la mayor parte de las cuestiones problemáticas afectan a datos que se encuentran en ficheros digitales, la legislación de protección de datos se refiere a todos y cada uno de los datos personales que se encuentren en poder de una empresa, ya estén en soporte papel o digital. Hay que mostrar, por tanto, un especial cuidado a la hora de utilizar, guardar y destruir documentos en formato papel.

Asimismo, no hay obviar la Directiva 95/46 de Protección de Datos y la futura publicación del Reglamento General de Protección de Datos que se está tramitando en la Unión Europea y que afectará de manera directa a las legislaciones nacionales de los Estados Miembros.

El procedimiento sancionador puede iniciarse de tres formas diferentes: (i) Previa denuncia de una persona física o jurídica, (ii) Petición razonada de una Administración Pública, (iii) De oficio, por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción.  Dentro de estas posibilidades, el supuesto más frecuente es el de la denuncia, que está pensado para aquellas personas, físicas o jurídicas, que consideren vulnerados sus datos por una entidad y quieran ponerlo en conocimiento de la AEPD para que tome las medidas oportunas.

 

Las infracciones que afectan a la protección de datos

–               Dentro de las leves podemos encontrar infracciones como:

  • La falta de inscripción del fichero de datos en el Registro General de Protección de Datos o de los cambios sufridos por él mismo.
  • La falta de cláusula informativa al recabar datos de carácter personal en el caso de que no sea necesario el consentimiento del afectado. Infracción especialmente frecuente en datos recabados en soporte papel que omiten este tipo de cláusulas.
  • Transmitir sin contrato que lo justifique los datos a un encargado de tratamiento (aquel que accede y maneja los datos por prestación de servicios al responsable del fichero).

–               Las infracciones graves se dividen en las siguientes:

  • Crear ficheros de titularidad pública sin autorización correspondiente.
  • Falta de consentimiento de los afectados cuando sea necesario para recabar sus datos personales, esto es, cuando los datos no hayan sido recabados por el afectado.
  • Incumplir el Principio de Calidad del artículo 4 de la Ley, en relación con la corrección y actualización de los datos así como su uso de acuerdo con la finalidad para la que fueron recabados y no otra distinta.
  • Impedir u obstaculizar el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) a los interesados.
  • Vulnerar el deber de secreto con respecto a los datos personales.
  • Comunicar o ceder los datos sin contar con legitimación para ello.
  • No implantar correctamente las medidas de seguridad.
  • No atender los requerimientos de la AEPD u obstruir su función inspectora.

–               Por último, las infracciones muy graves se clasifican en:

  • La recogida y tratamiento de datos de forma fraudulenta o engañosa.
  • Tratar o ceder datos especialmente protegidos como la condición sexual, la ideología, filiación sindical, salud y otros que posiblemente puedan generar cualquier tipo de discriminación.
  • No cesar en el tratamiento ilícito o reincidir en el mismo tras un requerimiento de la AEPD.
  • Efectuar transferencias internacionales a un país cuyo nivel de protección es inferior al del estado español sin la autorización de la AEPD.

No hay que olvidar que, además de las infracciones recogidas en la LOPD, la Agencia se considera competente para conocer, en su caso, de las infracciones derivadas del artículo 38 de la LSSI.

El plazo de prescripción de las infracciones será de un año para las leves, dos para las graves y tres para las muy graves. Del mismo modo prescriben las infracciones de la LSSI, excepto para el caso de las leves que se reduce el plazo a seis meses. Este plazo comenzará a contar desde la fecha de comisión de la infracción, aunque la ley no menciona qué ocurriría en el caso de un uso prolongado de los datos que pueda dar lugar a una infracción continuada.

Las actuaciones previas

Las actuaciones previas se realizan con anterioridad a la iniciación del procedimiento sancionador, bien tras la oportuna denuncia, por petición razonada de un órgano administrativo, o bien por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción. Su finalidad es determinar si concurren las circunstancias necesarias que justifiquen el inicio de un procedimiento sancionador por la AEPD, así como para concretar, si finalmente se opta por comenzar el procedimiento.

En el caso de que la inspección comience a causa de una denuncia o petición razonada de una Administración, la AEPD podrá solicitar a estos cuanta documentación estime oportuna con el fin de motivar el posterior procedimiento sancionador. Las pruebas son requisito indispensable para la apertura de este procedimiento; de no hallarse ningún indicio o documento que sustente la denuncia se archivarán las actuaciones sin ejercer la potestad sancionadora.

Dentro de la AEPD se encuentra el área de Inspección de Datos, sección encargada de las actuaciones previas al procedimiento sancionador. Excepcionalmente, el Director de la Agencia podrá designar otros funcionarios que no correspondan a esta área para actuaciones específicas, siempre que reúnan las condiciones de idoneidad y especialización necesaria. Para ello será necesario que la autorización habilitante del Director reúna dos características, a saber: la identificación expresa del funcionario y las actuaciones concretas que debe realizar.

Con carácter general, la LOPD enuncia el contenido de la potestad sancionadora otorgando la facultad a los funcionarios correspondientes para inspeccionar los ficheros de datos y recabar cualquier tipo de información, así como realizar actuaciones presenciales, si lo estimasen oportuno, sin la obligación de preaviso a los investigados.

De este modo, las actuaciones inspectoras pueden concretarse en:

  • Obtención de información, regulada en el artículo 124 RDLOPD
  • Actuaciones presenciales, desarrolladas en el artículo 125 RDLOPD

Dentro de la obtención de información se habilita a los inspectores para:

  • Requerir la exhibición o el envío de los documentos y datos.
  • Examinarlos en el lugar en que se encuentren depositados.
  • Obtener copia de ellos.
  • Inspeccionar los equipos físicos y lógicos.
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación accediendo a los lugares donde se hallen instalados.

Tras las oportunas investigaciones, el inspector levantará acta donde quede constancia de las actuaciones practicadas. Dicha acta deberá emitirse por duplicado y firmarse por el inspector y el inspeccionado, dejando constancia, en su caso, de las alegaciones que el segundo considere convenientes. La firma del investigado no puede considerarse como acta de conformidad sino que tan solo hará referencia a la recepción del acta por el mismo. En el caso de que se negase a firmar, el inspector simplemente lo hará constar en el acta.

Finalizada la inspección, el Director de la Agencia analizará el contenido de las actas levantadas y de las actuaciones realizadas con el fin de decidir si es preciso iniciar un procedimiento sancionador. No existiendo ningún indicio suficiente que motive infracción, el Director dictará resolución de archivo de las actuaciones notificándose al inspeccionado y, si lo hubiese, al denunciante o administración peticionaria.  Por otro lado, si se aprecia existencia de indicios susceptibles de infracción, dictará acuerdo de inicio del procedimiento sancionador para particulares, o de infracción si el inspeccionado es una Administración Pública.

El resto del contenido es exclusivo para suscriptores

Inicie sesión si usted ya es suscriptor o  si aún no lo es Suscríbase aquí .

Contenidos relacionados

Ver Todos >>

¿Puede mi expareja prohibirme hacer planes con mis hijos este verano?

¿Puede mi expareja prohibirme hacer planes con mis hijos este verano?

Anna Salort, especialista en Derecho de Familia en ABA Abogadas. Al llegar las vacaciones, muchos padres separados organizan diferentes planes con sus hijos. Esto, que normalmente no trae problemas, sí puede llegar a tenerlos si el otro progenitor se opone a ese plan. Pero, ¿puede tu expareja prohibirte hacer tus propios planes con tus hijos? Desde ABA Abogadas, la letrada ... Leer Más »

La economía colaborativa y el derecho del trabajo

La economía colaborativa y el derecho del trabajo

Por  Manel Hernàndez Montuenga. Socio y Director de Oficina de Barcelona de Sagardoy Abogados   EN BREVE: Bajo el concepto de economía colaborativa se incardinan nuevos modelos de organizaciones cuyo objetivo general es conectar diferentes tipos de demandas de servicios directamente con el proveedor de los mismos. El origen de este modelo está ligado a dos hitos muy concretos: la ... Leer Más »

A vueltas con el despido en situación de incapacidad temporal

A vueltas con el despido en situación de incapacidad temporal

Por Àlex Santacana i Folgueroles – Socio Departamento Derecho Laboral de Roca Junyent Hace pocos meses, el Juzgado Social 33 de Barcelona, sacudió al mundo laboral son su ya conocida sentencia de 23 de diciembre de 2016, en la que declaraba el despido de un trabajador en situación de incapacidad temporal (IT) como nulo, modificando con ello el criterio consolidado, salvo en ... Leer Más »

Las sociedades inactivas con deudas pueden cancelarse en el Registro Mercantil

Las sociedades inactivas con deudas pueden cancelarse en el Registro Mercantil

Fernando J. García –Socio Área Mercantil en AGM Abogados – Barcelona La Dirección General de los Registros y del Notariado (DGRN Resoluciones de 29/4/2011 y 1/8/2016) tiene declarado que en el ámbito estrictamente registral no existe norma alguna que supedite la cancelación de los asientos registrales de una sociedad a que carezca de activo o a que haya sido previamente ... Leer Más »

El TS confirma la posibilidad de aplicación analógica de algunos pactos del contrato de agencia al contrato de distribución

El TS confirma la posibilidad de aplicación analógica de algunos pactos del contrato de agencia al contrato de distribución

Por Fernando J. García Socio Área Mercantil AGM Abogados – Barcelona Comentario a propósito de la TS (Sala de lo Civil, Sección 1ª) Sentencia num. 317/2017 de 19 mayo.   En nuestro sistema de Derecho español, los contratos de agencia disponen de una regulación específica en la Ley 12/1992, de 27 mayo, sobre contrato de agencia. Sin embargo los contratos ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon