El correcto tratamiento de los datos de carácter personal ha de ser una prioridad para los responsables de los ficheros y los encargados del tratamiento de los mismos, puesto que la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) establece un estricto régimen sancionador para éstos, así como uno especial para las administraciones públicas.
El presente artículo divulgativo únicamente desea llamar la atención a todas aquellas personas responsables a ojos de las normas, sobre la necesidad de llevar un estricto control de tratamiento de los datos de carácter personal.
Tipología de las infracciones y sanciones
El régimen sancionador de la LOPD clasifica las infracciones en leves, graves y muy graves e impone multas de 900 a 40.000 euros por la comisión de las primeras, multas de 40.001 a 300.000 euros para las segundas y, por último, multas de 300.001 a 600.000 euros para las infracciones graves.
Comportamientos constitutivos de infracciones
Apreciada la severidad de las sanciones arriba expuesta, procede exponer los comportamientos constitutivos de dichas infracciones, así como la gravedad atribuida a los mismos.
a) Infracciones leves
La LOPD contempla cuatro supuestos de infracciones leves consistentes en: (i) la no remisión a la Agencia Española de Protección de Datos (en adelante, la AEPD) las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, (ii) la no solicitud de la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, (iii) el incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado y (iv) la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
b) Infracciones graves
En cuanto a las infracciones graves, la LOPD establece once supuestos que van, entre otros, desde la creación de ficheros de titularidad pública sin la debida autorización, al tratamiento de de datos de carácter personal sin la previa obtención del consentimiento del afectado (cuando éste es necesario), pasando por el impedimento u obstaculización de los derechos ARCO de los afectados (acceso, rectificación, cancelación y oposición) o determinados actos de no colaboración u obstaculización a la actividad de la AEPD.
c) Infracciones muy graves
Las infracciones graves recogen los siguientes cuatro supuestos:
(i) la recogida de datos de forma engañosa o fraudulenta
(ii) el tratamiento o cesión de determinados datos de carácter personal bajo determinadas circunstancias
(iii) no cesar el tratamiento ilícito de Datos tras haber recibido un requerimiento del Director de la Agencia Española de Protección de Datos para ello
(iv) la transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.
Graduación de las penas y el apercibimiento
Expuesta la mayoría de las conductas sancionadas, llama la atención el amplio marco que establece la norma para la imposición de la multa. La LOPD una lista abierta de criterios que permiten al órgano sancionador (la AEPD) graduar la multa como el grado de intencionalidad, el carácter continuado, el volumen de negocio o actividad del infractor, etc., así como unos determinados supuestos que permiten el establecimiento de la cuantía de la multa aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad (es decir, de muy grave a grave y de grave a leve).
Por último, el órgano sancionador bajo puede excepcionalmente apercibir al infractor, evitando la imposición de una multa, bajo una serie de condiciones:
- Que los hechos fuesen constitutivos de una infracción leve o grave
- Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si desea información adicional sobre la Ley de Protección de Datos en España,