Publicidad
Inicio » Artículos destacados » El procedimiento sancionador en la AEPD
El procedimiento sancionador en la AEPD

El procedimiento sancionador en la AEPD

Por Eulalia Martínez Román. Socio Responsable del Área de Audiovisual, Media & PI de Olleros Abogados

A pesar de que España no fue de los primeros países en adecuar su legislación al Convenio Europeo para la Protección de Datos de Carácter Personal[1], actualmente es uno de los Estados con las normas más restrictivas en esta materia, con un gran índice de imposición de sanciones.

Antes de comenzar a desarrollar el procedimiento sancionador[2] es necesario aclarar que, si bien la mayor parte de las cuestiones problemáticas afectan a datos que se encuentran en ficheros digitales, la legislación de protección de datos se refiere a todos y cada uno de los datos personales que se encuentren en poder de una empresa, ya estén en soporte papel o digital. Hay que mostrar, por tanto, un especial cuidado a la hora de utilizar, guardar y destruir documentos en formato papel.

Asimismo, no hay obviar la Directiva 95/46 de Protección de Datos y la futura publicación del Reglamento General de Protección de Datos que se está tramitando en la Unión Europea y que afectará de manera directa a las legislaciones nacionales de los Estados Miembros.

El procedimiento sancionador puede iniciarse de tres formas diferentes: (i) Previa denuncia de una persona física o jurídica, (ii) Petición razonada de una Administración Pública, (iii) De oficio, por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción.  Dentro de estas posibilidades, el supuesto más frecuente es el de la denuncia, que está pensado para aquellas personas, físicas o jurídicas, que consideren vulnerados sus datos por una entidad y quieran ponerlo en conocimiento de la AEPD para que tome las medidas oportunas.

 

Las infracciones que afectan a la protección de datos

–               Dentro de las leves podemos encontrar infracciones como:

  • La falta de inscripción del fichero de datos en el Registro General de Protección de Datos o de los cambios sufridos por él mismo.
  • La falta de cláusula informativa al recabar datos de carácter personal en el caso de que no sea necesario el consentimiento del afectado. Infracción especialmente frecuente en datos recabados en soporte papel que omiten este tipo de cláusulas.
  • Transmitir sin contrato que lo justifique los datos a un encargado de tratamiento (aquel que accede y maneja los datos por prestación de servicios al responsable del fichero).

–               Las infracciones graves se dividen en las siguientes:

  • Crear ficheros de titularidad pública sin autorización correspondiente.
  • Falta de consentimiento de los afectados cuando sea necesario para recabar sus datos personales, esto es, cuando los datos no hayan sido recabados por el afectado.
  • Incumplir el Principio de Calidad del artículo 4 de la Ley, en relación con la corrección y actualización de los datos así como su uso de acuerdo con la finalidad para la que fueron recabados y no otra distinta.
  • Impedir u obstaculizar el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) a los interesados.
  • Vulnerar el deber de secreto con respecto a los datos personales.
  • Comunicar o ceder los datos sin contar con legitimación para ello.
  • No implantar correctamente las medidas de seguridad.
  • No atender los requerimientos de la AEPD u obstruir su función inspectora.

–               Por último, las infracciones muy graves se clasifican en:

  • La recogida y tratamiento de datos de forma fraudulenta o engañosa.
  • Tratar o ceder datos especialmente protegidos como la condición sexual, la ideología, filiación sindical, salud y otros que posiblemente puedan generar cualquier tipo de discriminación.
  • No cesar en el tratamiento ilícito o reincidir en el mismo tras un requerimiento de la AEPD.
  • Efectuar transferencias internacionales a un país cuyo nivel de protección es inferior al del estado español sin la autorización de la AEPD.

No hay que olvidar que, además de las infracciones recogidas en la LOPD, la Agencia se considera competente para conocer, en su caso, de las infracciones derivadas del artículo 38 de la LSSI.

El plazo de prescripción de las infracciones será de un año para las leves, dos para las graves y tres para las muy graves. Del mismo modo prescriben las infracciones de la LSSI, excepto para el caso de las leves que se reduce el plazo a seis meses. Este plazo comenzará a contar desde la fecha de comisión de la infracción, aunque la ley no menciona qué ocurriría en el caso de un uso prolongado de los datos que pueda dar lugar a una infracción continuada.

Las actuaciones previas

Las actuaciones previas se realizan con anterioridad a la iniciación del procedimiento sancionador, bien tras la oportuna denuncia, por petición razonada de un órgano administrativo, o bien por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción. Su finalidad es determinar si concurren las circunstancias necesarias que justifiquen el inicio de un procedimiento sancionador por la AEPD, así como para concretar, si finalmente se opta por comenzar el procedimiento.

En el caso de que la inspección comience a causa de una denuncia o petición razonada de una Administración, la AEPD podrá solicitar a estos cuanta documentación estime oportuna con el fin de motivar el posterior procedimiento sancionador. Las pruebas son requisito indispensable para la apertura de este procedimiento; de no hallarse ningún indicio o documento que sustente la denuncia se archivarán las actuaciones sin ejercer la potestad sancionadora.

Dentro de la AEPD se encuentra el área de Inspección de Datos, sección encargada de las actuaciones previas al procedimiento sancionador. Excepcionalmente, el Director de la Agencia podrá designar otros funcionarios que no correspondan a esta área para actuaciones específicas, siempre que reúnan las condiciones de idoneidad y especialización necesaria. Para ello será necesario que la autorización habilitante del Director reúna dos características, a saber: la identificación expresa del funcionario y las actuaciones concretas que debe realizar.

Con carácter general, la LOPD enuncia el contenido de la potestad sancionadora otorgando la facultad a los funcionarios correspondientes para inspeccionar los ficheros de datos y recabar cualquier tipo de información, así como realizar actuaciones presenciales, si lo estimasen oportuno, sin la obligación de preaviso a los investigados.

De este modo, las actuaciones inspectoras pueden concretarse en:

  • Obtención de información, regulada en el artículo 124 RDLOPD
  • Actuaciones presenciales, desarrolladas en el artículo 125 RDLOPD

Dentro de la obtención de información se habilita a los inspectores para:

  • Requerir la exhibición o el envío de los documentos y datos.
  • Examinarlos en el lugar en que se encuentren depositados.
  • Obtener copia de ellos.
  • Inspeccionar los equipos físicos y lógicos.
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación accediendo a los lugares donde se hallen instalados.

Tras las oportunas investigaciones, el inspector levantará acta donde quede constancia de las actuaciones practicadas. Dicha acta deberá emitirse por duplicado y firmarse por el inspector y el inspeccionado, dejando constancia, en su caso, de las alegaciones que el segundo considere convenientes. La firma del investigado no puede considerarse como acta de conformidad sino que tan solo hará referencia a la recepción del acta por el mismo. En el caso de que se negase a firmar, el inspector simplemente lo hará constar en el acta.

Finalizada la inspección, el Director de la Agencia analizará el contenido de las actas levantadas y de las actuaciones realizadas con el fin de decidir si es preciso iniciar un procedimiento sancionador. No existiendo ningún indicio suficiente que motive infracción, el Director dictará resolución de archivo de las actuaciones notificándose al inspeccionado y, si lo hubiese, al denunciante o administración peticionaria.  Por otro lado, si se aprecia existencia de indicios susceptibles de infracción, dictará acuerdo de inicio del procedimiento sancionador para particulares, o de infracción si el inspeccionado es una Administración Pública.

El resto del contenido es exclusivo para suscriptores

Inicie sesión si usted ya es suscriptor o  si aún no lo es Suscríbase aquí .

Comentarios

comentarios

Contenidos relacionados

Ver Todos >>

El mantenimiento de la integridad del know-how empresarial mediante fórmulas contractuales y de cumplimiento legal

El mantenimiento de la integridad del know-how empresarial mediante fórmulas contractuales y de cumplimiento legal

Por  Antonia Lobo.Socia de Gros Monserrat Abogados  Juan Luis Contreras.Abogado de Gros Monserrat Abogados   Hasta que se proceda a realizar la trasposición de la Directiva 2016/943 sobre Secretos Comerciales, existen distintas formas y maneras para proteger el Know-How de nuestra compañía. Las referencias legales que el Derecho nos ofrece para definir qué se entiende por know-how, coinciden en la ... Leer Más »

El secreto profesional del abogado: límites y consecuencias de su vulneración

El secreto profesional del abogado: límites y consecuencias de su vulneración

Por Fernando Badenes Abogado de King & Wood Mallesons El secreto profesional del abogado constituye unos de los pilares en los que se asienta nuestro sistema jurídico. Coincidimos con los autores que se han pronunciado en la materia[i] en que garantiza y perpetúa no sólo la relación esencial de confianza que tiene que existir entre un cliente y su letrado, ... Leer Más »

Concurso de acreedores en las entidades deportivas

Concurso de acreedores en las entidades deportivas

Por César Gilo Gómez. Abogado. Doctor en Derecho SUMARIO: I. Planteamiento de la problemática. II. Contenido de la Disposición Adicional Segunda Bis de la Ley Concursal. III. ¿Qué deudas deben satisfacerse para no descender de categoría? Nuevo orden de prelación de créditos como consecuencia del artículo 192 del Reglamento de la Real Federación Española de Fútbol. IV. Soluciones: especial referencia ... Leer Más »

Los delitos contra los derechos de los trabajadores no generan responsabilidad penal para la persona jurídica

Los delitos contra los derechos de los trabajadores no generan responsabilidad penal para la persona jurídica

Negro sobre blanco una vez más. La reciente sentencia del Tribunal Supremo 121/2017, de 23 de febrero, aclara lo que era una evidencia para la inmensa mayoría de la jurisprudencia y de los académicos: los delitos contra los derechos de los trabajadores no generan responsabilidad penal de la persona jurídica (RPPJ), aunque sí puedan generarle la obligación civil de indemnizar ... Leer Más »

Caídas en la vía pública: la prueba en procesos seguidos por la responsabilidad patrimonial de los Ayuntamientos

Caídas en la vía pública: la prueba en procesos seguidos por la responsabilidad patrimonial de los Ayuntamientos

  Por Jordi Fontquerni i Bas. Procurador de los Tribunales En la vida práctica aparecen determinados hechos que no por ser supuestos repetidos en infinidad de ocasiones, pierden su importancia procesal, sino todo lo contrario, como ocurre con las caídas en la vía pública por parte de usuarios de la misma. Cada día es más relevante la posición procesal de ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon