La Ley de Economía Sostenible podría reformar la Ley de Protección de Datos
La más que inminente Ley de Economía Sostenible incluye, entre sus múltiples enmiendas, una interesante modificación de la LOPD; así, se propone entre otras cosas, la posibilidad de que las infracciones leves y graves queden impunes, o una reforma del elenco de infracciones, despenalizando determinadas conductas o añadiendo nuevos tipos.
El proyecto de Ley de Economía Sostenibles ha cobrado estos meses una relevancia importante por las cláusulas relativas a la defensa de los derechos de propiedad intelectual («Ley Sinde» se conoce este proyecto en Internet, en alusión a la actual Ministra de Cultura). No obstante, el Grupo Parlamentario Catalán en el Senado de Convergència i Unió (GPCIU) ha presentado una enmienda de adición (esto es, que se añada una nueva disposición final en este caso), con la intención de reformar diversos artículos de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
En concreto se quieren reformar los artículos 43, 44, 45, 46, y 49.
¿Qué podría cambiar en las próximas semanas?
Examinemos las reformas más importantes:
1º: El artículo 44. Contiene todo el elenco de infracciones; este artículo es muy importante porque nos dice qué conductas son constitutivas de infracción y su grado (leve, grave o muy grave).
En relación a las infracciones leves, lo más relevante es que desaparecen dos infracciones: en primer lugar, dejará de considerarse infracción «No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda«.
Y en segundo lugar, desaparece la posibilidad de incumplir el deber de secreto como infracción leve. En la actualidad, y dependiendo de la naturaleza de los datos divulgados sujetos a este deber de secreto, la infracción puede ser leve (en todos los casos), grave (en determinados supuestos) y hasta muy grave en unos pocos supuestos. Ahora desaparece la infracción leve, de forma que, como veremos a continuación, toda infracción del deber de secreto pasará a ser grave, así que tampoco será posible vulnerar el deber de secreto de forma muy grave.
Se añade una nueva infracción leve: «La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.«. Esto supone una cristalización de la doctrina que ha venido manteniendo la Agencia Española de Protección de Datos (AEPD). Esta infracción supone penalizar la conducta consistente en facilitar datos de carácter personal a un encargado del tratamiento por parte del responsable del fichero sin que medie el contrato y forma que exige el artículo 12 de la LOPD.
¿Qué sucede ahora en esta situación? Ahora sucede que, si no existe el contrato mencionado, se entiende que lo que se ha producido es una cesión de datos de carácter personal, y como no va a existir el consentimiento para la cesión, al cedente (responsable del fichero) se le imputa una infracción muy grave, pero además, al cesionario una infracción grave por tratar los datos personales cedidos sin consentimiento (claro, si el que tiene el deber de obtener el consentimiento no lo hace, cuando los ceda llegarán ya intoxicados). Esta solución que la ha aplicado la AEPD en diversas ocasiones es una auténtica aberración se mire por donde se mire: la AEPD estaba creando un nuevo tipo infractor: facilitar los datos sin que medie contrato (vulneración del principio de legalidad y tipicidad más elemental).
Ahora se castiga expresamente no firmar ese contrato del artículo 12.
Respecto a las infracciones graves, lo más relevante es el hecho de considerar que las cesiones de datos serán castigadas como infracción grave y no como muy grave, dejando la calificación de «muy grave» para casos muy concretos. En la actualidad, toda cesión de datos sin consentimiento es una infracción muy grave.
Se añade una nueva infracción grave: «El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo» donde podrán encajar diversas conductas desobedientes.
En relación a las infracciones muy graves se simplifican y reducen significativamente: en la actualidad hay 9 conductas castigadas como infracción muy grave, con la reforma pasarían a 4.
Desaparece la cesión de datos en general, constituyendo infracción muy grave únicamente cuando los datos objeto de cesión se refieran a los indicados en los apartados 2, 3 y 5 del artículo 7.
Desaparece la posibilidad de vulnerar en el deber de secreto de forma muy grave cuando los datos hacian referencia a los mismos supuestos que el caso anterior.
Desaparece la infracción consistente en no atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero y obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición (conductas que podrán ser constitutivas de infracción grave pues encajarían en el nuevo tipo infractor de esta categoría).
La siguiente modificación es en relación a las cuantías de las sanciones; tranquilos, lo único que se hace es convertir las cifras en pesetas para poner su equivalencia en euros. Eso sí, han reducido ligeramente la cuantía mínima de la infracción leve, pues si hasta ahora era una multa de 100.000 pesetas, ahora lo es de 600 euros, cuando la conversión exacta debería ser de 601 euros (cuantía que viene aplicando la AEPD en sus sanciones, y no 600 euros). Y lo mismo para las cifras de 30.000, 60.000 y 600.000 euros.
Le toca el turno a los criterios para graduar las sanciones. Se han reformado y añadidos nuevos criterios para graduar las sanciones. Así, ahora se tendrá en cuenta:
- a) El carácter continuado de la infracción
- b) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
- c) El volumen de negocio o actividad del infractor. Es de elogiar este intento de ajustar las sanciones a la realidad económica del infractor. No obstante esto queda lejos de lo que la doctrina viene reclamando: un auténtico sistema de graduación de las sanciones al estilo de los días-multa. Lo cierto es que al gran infractor, a ese que mueve millones de euros anuales, le dará un poco igual que la sanción sea de 60.000 euros que de 300.000 euros.
- d) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. Otra interesante novedad sin duda.
Se añade ahora un auténtico elenco de atenuantes, eliminando así la actual mención del artículo 45.5.
Las atenuantes procederán:
- a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
- b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
- c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
- d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
- e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
Tengo dudas en relación a la d) ¿espontáneamente? ¿qué significa eso? ¿que el propio infractor se denuncie? ¿que desde el primer momento reconozca su culpabilidad?
Pero sin lugar a dudas, de todas las reformas propuestas, la más relevante es la relativa a la adición de un nuevo apartado 6 en el artículo 45. Se pretende añadir este precepto:
«Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento».
Los que se dediquen al mundo del derecho ya sabrán lo que significa la palabra «excepcionalmente» en una ley… lo mismo que «provisionalmente».
Este nuevo 45.6 deja en manos de la propia AEPD castigar las infracciones leves y graves, dejando como único límite que el infractor no hubiese sido sancionado o apercibido con anterioridad, aunque no dice el precepto si esa sanción o apercibimiento anterior debe ser de la misma naturaleza que la infracción de la que se pretenda no iniciar procedimiento sancionador.
Mucho me temo que, de terminar aprobándose este precepto, empezaremos a ver supuestos idénticos pero que en unos casos terminarán en una sanción y en otros en un apercibimiento, pues en mi opinión se debería haber detallado más en qué circunstancias procede obviar la potestad sancionadora de la administración y dejar sin sanción una conducta típica, antijurídica y punible.
No obstante, esto también puede beneficiar a las entidades que se encuentren ahora mismo o en las próximas semanas con una denuncia, pues se debería aplicar este criterio de forma retroactiva.
Por último, la facultad prevista en el artículo 49 relativa a la posibilidad de inmovilizar ficheros, se extiende a los casos de infracciones graves. Recordemos que en la actualidad sólo es de aplicación para infracciones muy graves.
Todos estos preceptos, a pesar de que estén en una Ley Orgánica, tienen carácter de ley ordinaria.
Comments
Pit
¡Ole la seguridad jurídica! ¡mas manga ancha para que los políticos hagan lo que les de la gana! ¿Por que no ponen directamente «El director de la Agencia hará lo que le salga de los huevos»? No seria muy dinsinto de ahora ¡Joder, que pais!
paco
Tanta tontería de reformas y luego nos envian a todos los españoles un sms rico al instante y aqui no ha pasado nada o multa de 2mil euros.
Telefonica o mil compañias nos bombardean con llamadas a todas horas y nada….
JUAN JOSE
Vaya con la clase política, utilización una ley para intentar cambiar otra que no les gusta por que se ponen multas. Al final, desvirtúan una ley que muchos van a aprovechar para saltársela a la torera. Esperemos que algunos cambios no se lleven a efecto por que si no huele mal.
vimes
¿Una norma inferior modificando una de rango superior? ¿Una Ley ordinaria modificando una Ley Orgánica? Me da que no pasa la primera criba de los tribunales.
Samuel Parra
Tal y como digo al final de mi artículo, los preceptos que se reforman tienen rango de ley ordinaria. No toda la LOPD es Ley Orgánica.
Jacobo
Pese a que nunca estuve de acuerdo con toda la LOPD, si estaba muy en acuerdo con la seguridad jurídica respecto a nuestros datos. Como bien citas la propia agencia ha demostrado tener dos perfiles a la hora de apercibir. Con estas modificaciones de lo que dices en la práctica hacen de esta ley lo que siempre han pretendido…. Que no valga para nada o mas bien que valga cuando a los políticos les interese
LSM
Y otra modificación más, que o no has querido comentar (me imagino) o se te ha pasado (lo dudo… mucho):
Actualmente, las infracciones leves PD, están graduadas con sanciones que van desde los 601.01 a los 60.101,01. Con la reforma que pretende introducir el Grupo Catalán, el límite superior, desciende hasta los 30.000 (igualándolo al de las leves por infracciones LSSI). Al mismo tiempo, las sanciones graves, ahora van desde los 60.101,01 a los 300.506,05€, con la enmienda propuesta, el limite superior permanece «casi invariable», pero el inferior se reduce sustancialmente, es decir, las sanciones graves en su menor «graduación», serían sancionadas con 30.101,01 euros menos que ahora…
Y en cuanto al resto de la enmienda… pues qué quieres que te diga: en la justificación de la misma dicen perseguir una mayor seguridad jurídica… La propuesta de 45.6, en mi humilde opinión, supondrá todo lo contario: un montón de recursos por que a una misma infracción le correspondan en un caso una sanción, y en otro, solo un apercibimiento…Pero esto también lo viene ya haciendo la Agencia (mira los casos de los hospitales privados «incumplidores» a raíz del estudio de octubre-noviembre 2010). Si esto es seguridad, que venga Dios y lo vea…
Saludos cordiales. Luis Salvador Montero
Samuel Parra
Hola Luis. Gracias por esos apuntes sobre la reducción de los máximos y mínimos en la infracciones graves y leves. Efectivamente, dado que el artículo ya superaba con creces los límites habituales, no quise mencionar ese punto, pero está genial que tú lo hayas apuntado 🙂
Por cierto, sí que te leo en el curso de la UMU 😉
JOSE
AL FINAL LO QUE HAY QUE HACER ES DAR DATOS DE DIRECCIÓN , TELEFONOS EY E-MAIL FALSOS SIEMPRE QUE SEA POSIBLE (FACTURAS POR EJEMPLO) DANDO UN NÚMERO BAILADO POR EJEMPLO Y CAMBIAR DE NUMERO DE TELEFONO Y DE E-MAIL CADA AÑO.
LA LEY SIRVE YA DE POCO Y SU APLICACIÓN DE MENOS AÚN.
Miguel Rico L.
Es necesario saber que la elección del presidente siempre fue una mierda de mentira… fue el teatro más costoso que siempre le malgastan más dinero… puedo decir que el supuesto presidente DE MI PAIS no es más que otro titere más de la estupidez de los politicos y enfermos al dinero… no espero que nadie ven a salvarnos.. solo pido que el planeta haga sus movimientos para saber quien es el manda…