Inicio » Artículos destacados » El procedimiento sancionador en la AEPD
El procedimiento sancionador en la AEPD

El procedimiento sancionador en la AEPD

Por Eulalia Martínez Román. Socio Responsable del Área de Audiovisual, Media & PI de Olleros Abogados

A pesar de que España no fue de los primeros países en adecuar su legislación al Convenio Europeo para la Protección de Datos de Carácter Personal[1], actualmente es uno de los Estados con las normas más restrictivas en esta materia, con un gran índice de imposición de sanciones.

Antes de comenzar a desarrollar el procedimiento sancionador[2] es necesario aclarar que, si bien la mayor parte de las cuestiones problemáticas afectan a datos que se encuentran en ficheros digitales, la legislación de protección de datos se refiere a todos y cada uno de los datos personales que se encuentren en poder de una empresa, ya estén en soporte papel o digital. Hay que mostrar, por tanto, un especial cuidado a la hora de utilizar, guardar y destruir documentos en formato papel.

Asimismo, no hay obviar la Directiva 95/46 de Protección de Datos y la futura publicación del Reglamento General de Protección de Datos que se está tramitando en la Unión Europea y que afectará de manera directa a las legislaciones nacionales de los Estados Miembros.

El procedimiento sancionador puede iniciarse de tres formas diferentes: (i) Previa denuncia de una persona física o jurídica, (ii) Petición razonada de una Administración Pública, (iii) De oficio, por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción.  Dentro de estas posibilidades, el supuesto más frecuente es el de la denuncia, que está pensado para aquellas personas, físicas o jurídicas, que consideren vulnerados sus datos por una entidad y quieran ponerlo en conocimiento de la AEPD para que tome las medidas oportunas.

 

Las infracciones que afectan a la protección de datos

–               Dentro de las leves podemos encontrar infracciones como:

  • La falta de inscripción del fichero de datos en el Registro General de Protección de Datos o de los cambios sufridos por él mismo.
  • La falta de cláusula informativa al recabar datos de carácter personal en el caso de que no sea necesario el consentimiento del afectado. Infracción especialmente frecuente en datos recabados en soporte papel que omiten este tipo de cláusulas.
  • Transmitir sin contrato que lo justifique los datos a un encargado de tratamiento (aquel que accede y maneja los datos por prestación de servicios al responsable del fichero).

–               Las infracciones graves se dividen en las siguientes:

  • Crear ficheros de titularidad pública sin autorización correspondiente.
  • Falta de consentimiento de los afectados cuando sea necesario para recabar sus datos personales, esto es, cuando los datos no hayan sido recabados por el afectado.
  • Incumplir el Principio de Calidad del artículo 4 de la Ley, en relación con la corrección y actualización de los datos así como su uso de acuerdo con la finalidad para la que fueron recabados y no otra distinta.
  • Impedir u obstaculizar el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) a los interesados.
  • Vulnerar el deber de secreto con respecto a los datos personales.
  • Comunicar o ceder los datos sin contar con legitimación para ello.
  • No implantar correctamente las medidas de seguridad.
  • No atender los requerimientos de la AEPD u obstruir su función inspectora.

–               Por último, las infracciones muy graves se clasifican en:

  • La recogida y tratamiento de datos de forma fraudulenta o engañosa.
  • Tratar o ceder datos especialmente protegidos como la condición sexual, la ideología, filiación sindical, salud y otros que posiblemente puedan generar cualquier tipo de discriminación.
  • No cesar en el tratamiento ilícito o reincidir en el mismo tras un requerimiento de la AEPD.
  • Efectuar transferencias internacionales a un país cuyo nivel de protección es inferior al del estado español sin la autorización de la AEPD.

No hay que olvidar que, además de las infracciones recogidas en la LOPD, la Agencia se considera competente para conocer, en su caso, de las infracciones derivadas del artículo 38 de la LSSI.

El plazo de prescripción de las infracciones será de un año para las leves, dos para las graves y tres para las muy graves. Del mismo modo prescriben las infracciones de la LSSI, excepto para el caso de las leves que se reduce el plazo a seis meses. Este plazo comenzará a contar desde la fecha de comisión de la infracción, aunque la ley no menciona qué ocurriría en el caso de un uso prolongado de los datos que pueda dar lugar a una infracción continuada.

Las actuaciones previas

Las actuaciones previas se realizan con anterioridad a la iniciación del procedimiento sancionador, bien tras la oportuna denuncia, por petición razonada de un órgano administrativo, o bien por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción. Su finalidad es determinar si concurren las circunstancias necesarias que justifiquen el inicio de un procedimiento sancionador por la AEPD, así como para concretar, si finalmente se opta por comenzar el procedimiento.

En el caso de que la inspección comience a causa de una denuncia o petición razonada de una Administración, la AEPD podrá solicitar a estos cuanta documentación estime oportuna con el fin de motivar el posterior procedimiento sancionador. Las pruebas son requisito indispensable para la apertura de este procedimiento; de no hallarse ningún indicio o documento que sustente la denuncia se archivarán las actuaciones sin ejercer la potestad sancionadora.

Dentro de la AEPD se encuentra el área de Inspección de Datos, sección encargada de las actuaciones previas al procedimiento sancionador. Excepcionalmente, el Director de la Agencia podrá designar otros funcionarios que no correspondan a esta área para actuaciones específicas, siempre que reúnan las condiciones de idoneidad y especialización necesaria. Para ello será necesario que la autorización habilitante del Director reúna dos características, a saber: la identificación expresa del funcionario y las actuaciones concretas que debe realizar.

Con carácter general, la LOPD enuncia el contenido de la potestad sancionadora otorgando la facultad a los funcionarios correspondientes para inspeccionar los ficheros de datos y recabar cualquier tipo de información, así como realizar actuaciones presenciales, si lo estimasen oportuno, sin la obligación de preaviso a los investigados.

De este modo, las actuaciones inspectoras pueden concretarse en:

  • Obtención de información, regulada en el artículo 124 RDLOPD
  • Actuaciones presenciales, desarrolladas en el artículo 125 RDLOPD

Dentro de la obtención de información se habilita a los inspectores para:

  • Requerir la exhibición o el envío de los documentos y datos.
  • Examinarlos en el lugar en que se encuentren depositados.
  • Obtener copia de ellos.
  • Inspeccionar los equipos físicos y lógicos.
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación accediendo a los lugares donde se hallen instalados.

Tras las oportunas investigaciones, el inspector levantará acta donde quede constancia de las actuaciones practicadas. Dicha acta deberá emitirse por duplicado y firmarse por el inspector y el inspeccionado, dejando constancia, en su caso, de las alegaciones que el segundo considere convenientes. La firma del investigado no puede considerarse como acta de conformidad sino que tan solo hará referencia a la recepción del acta por el mismo. En el caso de que se negase a firmar, el inspector simplemente lo hará constar en el acta.

Finalizada la inspección, el Director de la Agencia analizará el contenido de las actas levantadas y de las actuaciones realizadas con el fin de decidir si es preciso iniciar un procedimiento sancionador. No existiendo ningún indicio suficiente que motive infracción, el Director dictará resolución de archivo de las actuaciones notificándose al inspeccionado y, si lo hubiese, al denunciante o administración peticionaria.  Por otro lado, si se aprecia existencia de indicios susceptibles de infracción, dictará acuerdo de inicio del procedimiento sancionador para particulares, o de infracción si el inspeccionado es una Administración Pública.

El resto del contenido es exclusivo para suscriptores

Inicie sesión si usted ya es suscriptor o  si aún no lo es Suscríbase aquí .

Contenidos relacionados

Ver Todos >>

La devolución de los gastos de formalización de hipoteca

La devolución de los gastos de formalización de hipoteca

STS de 23 de diciembre de 2015 y SAP Zaragoza de diciembre de 2016  Por Alberto Sanjuan Bermejo. Socio del área de litigación y arbitraje de Cross Abogados   En diciembre de 2015 el Tribunal Supremo declaró abusivas las cláusulas de los préstamos hipotecarios que obligan al cliente a asumir todos los gastos e impuestos de formalización de hipotecas, cuando ... Leer Más »

Los bancos deberán fijar el sistema de reclamación extrajudicial de las cláusulas suelo antes del 21 de febrero

Los bancos deberán fijar el sistema de reclamación extrajudicial de las cláusulas suelo antes del 21 de febrero

Real Decreto-Ley 1/2017 de medidas urgentes de protección de consumidores en materia de cláusulas suelo Por Eduardo García Sánchez. Socio Área Civil de AGM Abogados El pasado 21 de diciembre, el Tribunal de Justicia la Unión Europea (UE), y en contra de lo mantenido, a modo salomónico, por nuestro Tribunal Supremo en su resolución de 9 de mayo de 2013, ... Leer Más »

El incumplimiento contractual en la compraventa internacional

El incumplimiento contractual en la compraventa internacional

Sergio Aguilar Lobato. Abogado. Asesoría jurídica del Grupo Solarig Álvaro Palés Arredonda. Abogado procesalista en Ramón y Cajal Abogados En la práctica jurídica anudada a las operaciones transnacionales, son numerosas las ocasiones en las que surgen incidencias motivadas por el incumplimiento de una de las partes contratantes. En el presente artículo se analizará el catálogo de acciones que puede ejercitar ... Leer Más »

Liquidación y finiquito: cómo debe calcularse

Liquidación y finiquito: cómo debe calcularse

Por Manuel J. Fernández graduado social, docente y colaborador jurídico-laboral externo El artículo 49.2 ET, al hacer referencia a la extinción de los contratos, hace una mención sobre el finiquito diciendo que: «el empresario, con ocasión de la extinción del contrato, al comunicar a los trabajadores la denuncia, o, en su caso, el preaviso de la extinción del mismo, deberá acompañar una propuesta ... Leer Más »

El Sistema de Suministro Inmediato de Información, ¿una ventaja o un inconveniente?

El Sistema de Suministro Inmediato de Información, ¿una ventaja o un inconveniente?

Por Laura Vicente, abogada del Departamento de Derecho Fiscal de Ceca Magán Abogados El Real Decreto 596/2016, de 6 de diciembre, modifica el Reglamento del IVA, el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y el Reglamento por el que se regulan las obligaciones de facturación El sistema de gestión del Impuesto sobre el ... Leer Más »

Ver más contenidos en esta categoría >>

Logo Header Menu
Right Menu Icon