El procedimiento sancionador en la AEPD

Por Eulalia Martínez Román. Socio Responsable del Área de Audiovisual, Media & PI de Olleros Abogados

A pesar de que España no fue de los primeros países en adecuar su legislación al Convenio Europeo para la Protección de Datos de Carácter Personal[1], actualmente es uno de los Estados con las normas más restrictivas en esta materia, con un gran índice de imposición de sanciones.

Antes de comenzar a desarrollar el procedimiento sancionador[2] es necesario aclarar que, si bien la mayor parte de las cuestiones problemáticas afectan a datos que se encuentran en ficheros digitales, la legislación de protección de datos se refiere a todos y cada uno de los datos personales que se encuentren en poder de una empresa, ya estén en soporte papel o digital. Hay que mostrar, por tanto, un especial cuidado a la hora de utilizar, guardar y destruir documentos en formato papel.

Asimismo, no hay obviar la Directiva 95/46 de Protección de Datos y la futura publicación del Reglamento General de Protección de Datos que se está tramitando en la Unión Europea y que afectará de manera directa a las legislaciones nacionales de los Estados Miembros.

El procedimiento sancionador puede iniciarse de tres formas diferentes: (i) Previa denuncia de una persona física o jurídica, (ii) Petición razonada de una Administración Pública, (iii) De oficio, por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción. Dentro de estas posibilidades, el supuesto más frecuente es el de la denuncia, que está pensado para aquellas personas, físicas o jurídicas, que consideren vulnerados sus datos por una entidad y quieran ponerlo en conocimiento de la AEPD para que tome las medidas oportunas.

Las infracciones que afectan a la protección de datos

– Dentro de las leves podemos encontrar infracciones como:

La falta de inscripción del fichero de datos en el Registro General de Protección de Datos o de los cambios sufridos por él mismo.
La falta de cláusula informativa al recabar datos de carácter personal en el caso de que no sea necesario el consentimiento del afectado. Infracción especialmente frecuente en datos recabados en soporte papel que omiten este tipo de cláusulas.
Transmitir sin contrato que lo justifique los datos a un encargado de tratamiento (aquel que accede y maneja los datos por prestación de servicios al responsable del fichero).

– Las infracciones graves se dividen en las siguientes:

Crear ficheros de titularidad pública sin autorización correspondiente.
Falta de consentimiento de los afectados cuando sea necesario para recabar sus datos personales, esto es, cuando los datos no hayan sido recabados por el afectado.
Incumplir el Principio de Calidad del artículo 4 de la Ley, en relación con la corrección y actualización de los datos así como su uso de acuerdo con la finalidad para la que fueron recabados y no otra distinta.
Impedir u obstaculizar el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) a los interesados.
Vulnerar el deber de secreto con respecto a los datos personales.
Comunicar o ceder los datos sin contar con legitimación para ello.
No implantar correctamente las medidas de seguridad.
No atender los requerimientos de la AEPD u obstruir su función inspectora.

– Por último, las infracciones muy graves se clasifican en:

La recogida y tratamiento de datos de forma fraudulenta o engañosa.
Tratar o ceder datos especialmente protegidos como la condición sexual, la ideología, filiación sindical, salud y otros que posiblemente puedan generar cualquier tipo de discriminación.
No cesar en el tratamiento ilícito o reincidir en el mismo tras un requerimiento de la AEPD.
Efectuar transferencias internacionales a un país cuyo nivel de protección es inferior al del estado español sin la autorización de la AEPD.

No hay que olvidar que, además de las infracciones recogidas en la LOPD, la Agencia se considera competente para conocer, en su caso, de las infracciones derivadas del artículo 38 de la LSSI.

El plazo de prescripción de las infracciones será de un año para las leves, dos para las graves y tres para las muy graves. Del mismo modo prescriben las infracciones de la LSSI, excepto para el caso de las leves que se reduce el plazo a seis meses. Este plazo comenzará a contar desde la fecha de comisión de la infracción, aunque la ley no menciona qué ocurriría en el caso de un uso prolongado de los datos que pueda dar lugar a una infracción continuada.

Las actuaciones previas

Las actuaciones previas se realizan con anterioridad a la iniciación del procedimiento sancionador, bien tras la oportuna denuncia, por petición razonada de un órgano administrativo, o bien por iniciativa propia de la AEPD a causa de una sospecha de comisión de infracción. Su finalidad es determinar si concurren las circunstancias necesarias que justifiquen el inicio de un procedimiento sancionador por la AEPD, así como para concretar, si finalmente se opta por comenzar el procedimiento.

En el caso de que la inspección comience a causa de una denuncia o petición razonada de una Administración, la AEPD podrá solicitar a estos cuanta documentación estime oportuna con el fin de motivar el posterior procedimiento sancionador. Las pruebas son requisito indispensable para la apertura de este procedimiento; de no hallarse ningún indicio o documento que sustente la denuncia se archivarán las actuaciones sin ejercer la potestad sancionadora.

Dentro de la AEPD se encuentra el área de Inspección de Datos, sección encargada de las actuaciones previas al procedimiento sancionador. Excepcionalmente, el Director de la Agencia podrá designar otros funcionarios que no correspondan a esta área para actuaciones específicas, siempre que reúnan las condiciones de idoneidad y especialización necesaria. Para ello será necesario que la autorización habilitante del Director reúna dos características, a saber: la identificación expresa del funcionario y las actuaciones concretas que debe realizar.

Con carácter general, la LOPD enuncia el contenido de la potestad sancionadora otorgando la facultad a los funcionarios correspondientes para inspeccionar los ficheros de datos y recabar cualquier tipo de información, así como realizar actuaciones presenciales, si lo estimasen oportuno, sin la obligación de preaviso a los investigados.

De este modo, las actuaciones inspectoras pueden concretarse en:

Obtención de información, regulada en el artículo 124 RDLOPD
Actuaciones presenciales, desarrolladas en el artículo 125 RDLOPD

Dentro de la obtención de información se habilita a los inspectores para:

Requerir la exhibición o el envío de los documentos y datos.
Examinarlos en el lugar en que se encuentren depositados.
Obtener copia de ellos.
Inspeccionar los equipos físicos y lógicos.
Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación accediendo a los lugares donde se hallen instalados.

Tras las oportunas investigaciones, el inspector levantará acta donde quede constancia de las actuaciones practicadas. Dicha acta deberá emitirse por duplicado y firmarse por el inspector y el inspeccionado, dejando constancia, en su caso, de las alegaciones que el segundo considere convenientes. La firma del investigado no puede considerarse como acta de conformidad sino que tan solo hará referencia a la recepción del acta por el mismo. En el caso de que se negase a firmar, el inspector simplemente lo hará constar en el acta.

Finalizada la inspección, el Director de la Agencia analizará el contenido de las actas levantadas y de las actuaciones realizadas con el fin de decidir si es preciso iniciar un procedimiento sancionador. No existiendo ningún indicio suficiente que motive infracción, el Director dictará resolución de archivo de las actuaciones notificándose al inspeccionado y, si lo hubiese, al denunciante o administración peticionaria. Por otro lado, si se aprecia existencia de indicios susceptibles de infracción, dictará acuerdo de inicio del procedimiento sancionador para particulares, o de infracción si el inspeccionado es una Administración Pública.

...