Normativa de Protección de Datos IV: Régimen sancionador

Publicado el de labinoteca

¿Qué ocurre si, a pesar de todos los mecanismos de control existentes, un responsable trata unos datos personales de una forma que viola los derechos del titular de dichos datos? En ese caso, entra en acción el régimen sancionador (o disciplinario) para parar y corregir, si corresponde, el daño causado.

En este último post de la serie de entradas (I, II y III) sobre la normativa de protección de datos (PD) en el ámbito español nos centraremos en el régimen sancionador. El legislador europeo decidió delegar a los Estados la obligación de desarrollar un sistema para sancionar a aquellos que infringen las normas sobre PD. Por ello, el RGPD, en parte, pero sobretodo la LOPD configuran un régimen disciplinario que tiene las siguientes funciones:

  1. Determina el sujeto activo (quién puede sancionar) y el sujeto pasivo (quién puede ser sancionado)
  2. Tipifica las infracciones que comportan una sanción económica y las clasifica de mayor a menor gravedad.
  3. Cuantifica los importes máximos de las sanciones en función del tipo de sanción cometida.
  4. Determina los plazos de prescripción de las infracciones y las sanciones.
  5. Detalla el procedimiento a seguir para sancionar a un supuesto infractor.

¿Quién sanciona y quién puede ser sancionado?

Sujeto Activo

La autoridad de control tiene el deber de sancionar cuando se haya producido una infracción de la normativa. Ésta puede iniciar un procedimiento sancionador de oficio o a solicitud del interesado.

190819 CAP1.PNG

Sujeto Pasivo

Las personas que pueden ser sancionadas son aquellas que la Ley considera sujetos responsables. Estos son:

  • Responsable y encargado del tratamiento
  • Representante del responsable del tratamiento
  • Entidades de certificación y de supervisión

Tipología de infracciones y sanciones

Mientras que el RGPD clasifica las infracciones en función de la cuantía de la multa que le puede caer al infractor, la LOPD distingue las infracciones (igual que en el derecho administrativo) en muy graves, graves y leves. En concreto vemos, en la siguiente tabla, como el RGP asigna a un determinado incumplimiento un importe máximo de castigo económico:

190819 CAP3.PNG

Después de ver los importes máximos nos interesa saber qué se tiene en cuenta a la hora de determinar la cuantía final. Para ello la autoridad de control debe considerar los factores agravantes (antecedentes del responsable, naturaleza de la infracción, etc) y los atenuantes (cooperación con la autoridad de control, medidas tomadas para palias daños y prejuicios, etc) que hubiera.

Prescripción de las infracciones y sanciones

Prescripción: plazo de tiempo que debe pasar para que algo que tiene consecuencias legales (por ejemplo, un delito o una pena) deje de tenerlas.

Los plazos de prescripción de las infracciones y sanciones relativas a PD los marcan las normativas específicas de cada Estado de la UE. En el caso de España son las siguientes:

190819 CAP2

¿Cuándo se empieza a contar la prescripción?

  • En el caso de las infracciones: desde el día en que se comete. El plazo se interrumpe con la iniciación del procedimiento sancionador.
  • En el caso de las sanciones: desde el día siguiente al que sea ejecutable la resolución por la cual se impone la sanción. El plazo se interrumpe por la iniciación del procedimiento de ejecución

Procedimiento sancionador

La normativa estipula que existen 3 formas en las que puede ser iniciado un procedimiento sancionador :

  1. Por la no atención de una solicitud de ejercicio de derechos.
  2. Por la posible existencia de una infracción. Esta vía puede darse de oficio (es decir, impulsada por la autoridad de control) o por reclamación del interesado.
  3. Por la comunicación por parte de una tercera autoridad de control.

Para garantizar los derechos de defensa y audiencia a los interesados la normativa fija una serie de fases y requisitos que las autoridades de control deben seguir:

  1. Actuaciones de carácter previo
    • Examinar la competencia de la autoridad de control
    • Evaluar la admisión a trámite de la reclamación, que previamente ha puesto el interesado. La resolución de esta evaluación debe hacerse en 3 meses. Si pasado este tiempo no hay resolución se prosigue y se inicia el procedimiento.
    • Requerimiento al delegado de PD para que solucione en 1 mes los elementos que puedan ser causa de sanción.
  2. Actuaciones previas de investigación: tienen una duración máxima de 12 meses y son optativas, siempre que no se traten de un tratamiento que impliquen un uso masivo de datos. En ese caso, serán obligatorias.
  3. Acuerdo de inicio del procedimiento sancionador
  4. Alegaciones, pruebas y audiencia de los interesados.
  5. Resolución y notificación

Conclusión

Con esta entrada hemos visto brevemente el régimen sancionador relativo a la normativa de protección de datos. De esta forma completamos el puzle que es el sistema de protección de los datos personales en el ámbito de España. Si explorásemos las diferentes legislaciones de PD de los distintos Estados de la UE veríamos que cada uno de ellos se ha dotado de una normativa similar. El RGPD cumple dos funciones: por un lado inspira la normativa específica de todos los países miembros y, por otro, las coordina estableciendo una relación jerárquica entre el Comité Europeo de PD y las autoridades de control de cada Estado.

Por todo ello, podemos llegar a la conclusión que una empresa que trate datos personales de ciudadanos de la UE deberá conocer en primer lugar el RGPD y, en segundo, la legislación del país correspondiente para saber que obligaciones tiene y cuáles son las consecuencias de no cumplirlas.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s