El domingo 6 de marzo de 2011, entró en vigor laLey 2/2011, de 4 de marzo, de Economía Sostenibleque, entre otras muchas, modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
La modificación afecta a determinados artículos importantes que dan un tratamiento más favorable a los posibles infractores.
Uno de los cambios más reseñable se refiere al importe de las sanciones. Con la nueva redacción la cuantía mínima de las sanciones graves se reduce de 60.101 a 40.001 €, dato importante si se tiene en cuenta que constituyen algo más del 70% de las impuestas por la Agencia de Protección de Datos. Sin embargo, la cuantía mínima para las infracciones leves se incrementa de 601 € a 900 €. Las muy graves permanecen como estaban, de 300.001 a 600.000 €.
Se modifican también los criterios aplicables para la graduación de las sanciones. Es decir, dentro del tipo de sanción (leve, grave o muy grave) cuál es el importe de la sanción a imponer dentro de horquilla que se recoge en la ley. Por fin, se ha añadido un criterio de graduación como es tener en cuenta el volumen de negocio o actividad del infractor que antes no se aplicaba. Es evidente que no es igual que la infracción sea cometida por una entidad bancaria, por ejemplo, que por una pequeña tienda de barrio.
Además, también se tendrán en cuenta, el carácter continuado de la infracción, el volumen de los tratamientos, la vinculación de la actividad del infractor con la realización de tratamientos de datos, los beneficios obtenidos con la infracción, el grado de intencionalidad, la reincidencia, la naturaleza de los perjuicios causados, la acreditación de que el infractor tenía implantados medios adecuados y que el hecho sea debido a un fallo y no a falta de diligencia, o cualquier otra circunstancia que sea relevante.
También se establece la posibilidad de aplicar a una infracción la cuantía relativa a la clase de infracción que le preceda en gravedadcuando se aprecie una disminución de la culpa o de la conducta antijurídica si concurren varios de los criterios que se aplican para la graduación de las sanciones, cuando se haya regularizado la situación irregular de forma diligente, cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción, cuando se haya reconocido espontáneamente la culpabilidad, o cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso.
También se cambian y reordenan las conductas que constituyen infracciones aclarando supuestos antes poco definidos y se rebaja la calificación de algunas de las más habituales.
Se consideran infracciones leves, no remitir a la Agencia Española de Protección de Datos las notificaciones previstas en la Ley, no solicitar la inscripción del fichero, incumplir el deber de información al afectado cuando los datos sean recabados del mismo y la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales exigidos mediante el contrato escrito de tratamiento por cuenta de terceros.
Son infracciones graves, la creación o recogida de datos de ficheros de titularidad pública sin autorización de disposición general publicada en el diario oficial correspondiente; tratar datos sin recabar el consentimiento del afectado; tratar datos o usarlos con conculcación del principio de calidad, salvo que sea infracción muy grave; la vulneración del deber de guardar secreto; impedir u obstaculizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición; el incumplimiento del deber de información al afectado cuando los datos no hayan sido recabados del propio interesado; el incumplimiento de los deberes de notificación o requerimiento al afectado; mantener los ficheros, locales, programas o equipos sin las debidas condiciones de seguridad; no atender los requerimientos y peticiones de documentos e información de la Agencia Española de Protección de Datos; la obstrucción del ejercicio de su función inspectora; y la cesión de los datos sin legitimación para ello, salvo que sea infracción muy grave.
Excepcionalmente se establece la posibilidad, previa audiencia de los interesados, de que la Agencia Española de Protección de Datos podrá no abrir un procedimiento sancionador, sino apercibir al infractor y exigirle que acredite la adopción de las medidas correctoras necesarias en el plazo que se determine. Esto podrá ocurrir siempre se trate hechos constitutivos deinfracción leve o grave, y que el infractorno haya sido sancionado o apercibido con anterioridad.
Con esta nueva modificación de la normativa se resalta la importancia del deber de diligencia en el cumplimiento de las normas, reglas y procedimientos que cualquier entidad debe establecer para proteger los ficheros que contienen datos de carácter personal y la privacidad de los ciudadanos.
Francisco Tovar Barge
Lever Consulting, S.L.L.
El domingo 6 de marzo de 2011, entró en vigor laLey 2/2011, de 4 de marzo, de Economía Sostenibleque, entre otras muchas, modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
La modificación afecta a determinados artículos importantes que dan un tratamiento más favorable a los posibles infractores.
Uno de los cambios más reseñable se refiere al importe de las sanciones. Con la nueva redacción la cuantía mínima de las sanciones graves se reduce de 60.101 a 40.001 €, dato importante si se tiene en cuenta que constituyen algo más del 70% de las impuestas por la Agencia de Protección de Datos. Sin embargo, la cuantía mínima para las infracciones leves se incrementa de 601 € a 900 €. Las muy graves permanecen como estaban, de 300.001 a 600.000 €.
Se modifican también los criterios aplicables para la graduación de las sanciones. Es decir, dentro del tipo de sanción (leve, grave o muy grave) cuál es el importe de la sanción a imponer dentro de horquilla que se recoge en la ley. Por fin, se ha añadido un criterio de graduación como es tener en cuenta el volumen de negocio o actividad del infractor que antes no se aplicaba. Es evidente que no es igual que la infracción sea cometida por una entidad bancaria, por ejemplo, que por una pequeña tienda de barrio.
Además, también se tendrán en cuenta, el carácter continuado de la infracción, el volumen de los tratamientos, la vinculación de la actividad del infractor con la realización de tratamientos de datos, los beneficios obtenidos con la infracción, el grado de intencionalidad, la reincidencia, la naturaleza de los perjuicios causados, la acreditación de que el infractor tenía implantados medios adecuados y que el hecho sea debido a un fallo y no a falta de diligencia, o cualquier otra circunstancia que sea relevante.
También se establece la posibilidad de aplicar a una infracción la cuantía relativa a la clase de infracción que le preceda en gravedadcuando se aprecie una disminución de la culpa o de la conducta antijurídica si concurren varios de los criterios que se aplican para la graduación de las sanciones, cuando se haya regularizado la situación irregular de forma diligente, cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción, cuando se haya reconocido espontáneamente la culpabilidad, o cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso.
También se cambian y reordenan las conductas que constituyen infracciones aclarando supuestos antes poco definidos y se rebaja la calificación de algunas de las más habituales.
Se consideran infracciones leves, no remitir a la Agencia Española de Protección de Datos las notificaciones previstas en la Ley, no solicitar la inscripción del fichero, incumplir el deber de información al afectado cuando los datos sean recabados del mismo y la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales exigidos mediante el contrato escrito de tratamiento por cuenta de terceros.
Son infracciones graves, la creación o recogida de datos de ficheros de titularidad pública sin autorización de disposición general publicada en el diario oficial correspondiente; tratar datos sin recabar el consentimiento del afectado; tratar datos o usarlos con conculcación del principio de calidad, salvo que sea infracción muy grave; la vulneración del deber de guardar secreto; impedir u obstaculizar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición; el incumplimiento del deber de información al afectado cuando los datos no hayan sido recabados del propio interesado; el incumplimiento de los deberes de notificación o requerimiento al afectado; mantener los ficheros, locales, programas o equipos sin las debidas condiciones de seguridad; no atender los requerimientos y peticiones de documentos e información de la Agencia Española de Protección de Datos; la obstrucción del ejercicio de su función inspectora; y la cesión de los datos sin legitimación para ello, salvo que sea infracción muy grave.
Excepcionalmente se establece la posibilidad, previa audiencia de los interesados, de que la Agencia Española de Protección de Datos podrá no abrir un procedimiento sancionador, sino apercibir al infractor y exigirle que acredite la adopción de las medidas correctoras necesarias en el plazo que se determine. Esto podrá ocurrir siempre se trate hechos constitutivos deinfracción leve o grave, y que el infractorno haya sido sancionado o apercibido con anterioridad.
Con esta nueva modificación de la normativa se resalta la importancia del deber de diligencia en el cumplimiento de las normas, reglas y procedimientos que cualquier entidad debe establecer para proteger los ficheros que contienen datos de carácter personal y la privacidad de los ciudadanos.
Francisco Tovar Barge
Lever Consulting, S.L.L.