Infracciones y sanciones de la LOPD

Infracciones en la LOPD

El artículo 43 de la LOPD establece como responsables sujetos al régimen sancionador a:

1. Los responsables y los encargados de los tratamientos de los ficheros privados.
2. Los responsables de los ficheros públicos que, como se verá más adelante, se rigen por su propio procedimiento.

El artículo 44.2 de la LOPD establece cuales son infracciones leves:

1. No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.
2. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.
3. El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.
4. La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.

El artículo 44.3 de la LOPD establece cuales son las infracciones graves:

1. Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el Boletín Oficial del Estado o diario oficial correspondiente.
2. Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la normativa sobre protección de datos.
3. Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la LOPD y en el RLOPD, salvo cuando sea constitutivo de infracción muy grave.
4. La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la LOPD.
5. El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
6. El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.
7. El incumplimiento de los restantes deberes de notificación o requerimiento al afectado, impuestos por la normativa sobre protección de datos.
8. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que se establecen en el RLOPD.
9. No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.
10. La obstrucción al ejercicio de la función inspectora.
11. La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.

El artículo 44.4 de la LOPD establece cuales son infracciones muy graves:

1. La recogida de datos en forma falaz o capciosa.
2. Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de la LOPD, salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.
3. No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.
4. La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a la normativa sobre protección de datos dicha autorización no resulta necesaria.

Infracciones cometidas por las administraciones públicas

Cuando las infracciones que se establecen en la LOPD fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador (La Agencia Española de Protección de Datos o las Agencias Autonómicas) dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción.

Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados, si los hubiera. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las administraciones públicas.

Las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores se deberán comunicar al órgano sancionador. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

Por último, cabe destacar que los procedimientos sancionadores abiertos contra las administraciones públicas no conllevan sanción económica.

Las sanciones según la LOPD

Los tipos de sanciones pueden ser:

1. Leves: 900-40.000€
2. Graves: 001-300.000€
3. Muy graves: 001-600.000€

La cuantía de las sanciones que impone el artículo 45.4 de la LOPD se gradúa atendiendo a una serie de criterios que se detallan a continuación:

1. El carácter continuado de la infracción.
2. El volumen de los tratamientos efectuados.
3. La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
4. El volumen de negocio o actividad del infractor.
5. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
6. El grado de intencionalidad.
7. La reincidencia por comisión de infracciones de la misma naturaleza.
8. La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
9. La acreditación de que, con anterioridad a los hechos constitutivos de infracción, la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
10. Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Atenuación a la hora de aplicar las sanciones

El artículo 45.5 de la LOPD establece que el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso del que se trate, en los siguientes supuestos:

1. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado anterior.
2. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
3. Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
4. Cuando el infractor haya reconocido espontáneamente su culpabilidad.
5. Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.

La medida del apercibimiento

El artículo 45.6 de la LOPD regula que esta nueva medida, de carácter excepcional y limitada, deberá fundarse en la especial concurrencia de los criterios previstos para la atenuación de sanciones, podrá permitir advertir de la irregularidad cometida y requerir la adopción de las adecuadas medidas que permitan, en cada caso, corregir la situación o evitar la repetición de dicha conducta.

Con esta medida, el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:

1. Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en la LOPD.
2. Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

El artículo 45.7 de la LOPD establece que en ningún caso podrá imponerse una sanción más grave que la fijada en la LOPD para la clase de infracción en la que se integre la que se pretenda sancionar.

El artículo 45.8 de la LOPD habilita al gobierno a actualizar periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios.