CAPÍTULO X

EL RÉGIMEN SANCIONADOR EN MATERIA DE PROTECCIÓN

DE DATOS

1. INDICACIONES DEL REGLAMENTO (UE) 2016/679

El RGPD establece en los artículos 83 y 84 un régimen sancionador
más severo que el de la Directiva 95/46/CE. Opta claramente por la
multa pecuniaria como opción principal. No obstante, el art. 84 RGPD
prevé que los Estados miembros puedan imponer “otras sanciones”
cuando la conducta no sea merecedora de multa, adoptando las medi-
das necesarias para garantizar su observancia.
En cualquier caso, las sanciones deben ser efectivas, proporcionadas y
disuasorias (art. 84.1 RGPD). La responsabilidad de la actuación san-
cionadora corresponde a cada autoridad de control (AEPD, en nuestro
caso).
En el art. 83 se fijan las condiciones para la imposición de multas ad-
ministrativas por las infracciones del RGPD. Aquí no se indica cómo el
Derecho de los Estados miembros puede precisar o regular situaciones
sobre tratamiento
A este respecto un sector de la doctrina considera que la normativa re-
glamentaria europea no cumple con los criterios que exige el principio
de tipicidad de las infracciones y sanciones, pues no se tipifican las in-
fracciones, y el escalón de las sanciones económicas es tan amplio que
no puede ser considerado como una verdadera tipificación151.
Desde luego, el RGPD no contiene el típico elenco de infracciones con
sus respectivas sanciones, sino que su art. 83 solo fija los límites máxi-
mos de 10 millones o 20 millones de euros y unas condiciones gene-
rales para la imposición de multas administrativas que podrán impo-
nerse junto con las medidas previstas en el art. 58.2 RGPD. En aras de

151
LÓPEZ ÁLVAREZ, L. F.: “Protección de datos personales: adaptaciones necesarias al
nuevo Reglamento europeo”, cit., pág. 178.

171
 J OSÉ L U IS GOÑI SEIN

una mayor seguridad jurídica, sería deseable una mayor concreción

normativa por parte del Derecho de los Estados miembros.
Con el objetivo de disuadir a las empresas de dejar de cumplir con su
obligación, la nueva normativa trae consigo un incremento en el lími-
te del importe de las multas. El RGPD establece dos niveles, frente a
los tres que ha contemplado tradicionalmente la legislación española.
Aparte distingue entre infracciones cometidas por empresas y por per-
sonas físicas.
Las infracciones de las disposiciones del RGPD se sancionarán de la
manera siguiente:
a) Multa administrativa hasta un máximo de 10.000.000 euros o, en
caso de que se trate de empresa, del 2 % del volumen de negocio total
anual del ejercicio financiero anterior, debiendo optar entre las dos
opciones por la de mayor cuantía, cuando se vulnere alguna de las
siguientes obligaciones:
– Las del responsable y encargado del tratamiento, previstas en los
artículos 8, 11, 25 a 29, 42 y 43 del RGPD.
–Las de organismos de certificación, previstas en los artículos 42 y
43 del RGPD.
– Las de la autoridad de control (en realidad se refiere a los organis-
mos de supervisión del cumplimiento de un código de conducta),
previstas en el art. 41.4 RGPD, si no adopta medidas en caso de
infracciones de código de conducta.
b) Multa administrativa hasta un máximo de 20.000.000 euros o, en
caso de que se trate de empresa, del 4 % del volumen de negocio total
anual del ejercicio financiero anterior, debiendo optar entre las dos
opciones por la de mayor cuantía, cuando se vulnere alguna de las
siguientes obligaciones:
– Los principios básicos de tratamiento, incluidas las condiciones
para el consentimiento de la RGPD (artículos 5, 6, 7 y 9).
– Los derechos de los afectados, previstos en los arts. 12 a 22 del
RGPD: (trasparencia y modalidades, información y acceso a datos
personales, derecho de rectificación y supresión, derecho de opo-
sición y decisiones individuales automatizadas).
– Las normas sobre transferencia de datos personales a un destina-
tario en un tercer país o a una organización internacional (artícu-
los 44 a 49 del RGPD).

172
 LA NUEVA REGULACIÓN EUROPEA Y ESPAÑOLA DE PROTECCIÓN DE DATOS Y SU APLICACIÓN AL ÁMBITO DE LA EMPRESA

– Cualquier obligación en virtud del Derecho de los Estados miem-

bros que se adopte con arreglo al capítulo IX sobre situaciones
específicas de tratamiento.
– Las resoluciones, limitaciones temporales o definitivas de trata-
miento, y suspensiones de los flujos de datos ordenados por la
autoridad de control con arreglo al art. 58.2 del RGPD, así como
no facilitar el acceso con incumplimiento del art. 58.1 del RGPD.
En el art. 83.2 RGPD se definen los criterios que la Autoridad de con-
trol (AEPD) deberá utilizar en la graduación de las sanciones en el
ejercicio de la función sancionadora. El GTA 29 ha adoptado una serie
de “Directrices sobre la aplicación y la fijación de multas administrati-
vas a efectos del Reglamento 2016/67” en el WP 253, del 3 de octubre
de 2017152.
Uno de los principios es que la “infracción del Reglamento debe dar lu-
gar a la imposición de «sanciones equivalentes». La imposición de san-
ciones equivalentes en todos los Estados miembros y la cooperación
efectiva entre las autoridades de control de distintos Estados miem-
bros se consideran una forma de «evitar divergencias que dificulten
la libre circulación de datos personales dentro del mercado interior».
La Autoridad de control graduará las sanciones teniendo en cuenta las
circunstancias previstas en el art. 83.2 RGPD: a) la naturaleza, grave-
dad y duración de la infracción teniendo en cuenta la naturaleza, al-
cance o propósito de la operación de tratamiento, así como el número
de los sujetos lesionados y el nivel de los daños y perjuicios sufridos; b)
la intencionalidad o negligencia; c) las medidas adoptadas para paliar
el daño sufrido por los interesados; d) el grado de responsabilidad del
titular y del responsable del tratamiento teniendo en cuenta las me-
didas técnicas y organizativas adoptadas; e) eventuales infracciones
anteriores; f) el grado de cooperación con la autoridad de control; g)
la categoría de datos personales violados; h) la forma en que la au-
toridad de control tuvo conocimiento de la infracción y la eventual
notificación por parte del titular y del responsable del tratamiento; i)
el cumplimiento de las medidas ordenadas previamente por la auto-
ridad de control; j) la adhesión a códigos de conducta o sistemas de
certificación voluntaria; k) cualquier otro factor agravante o atenuante
como, por ejemplo, beneficios financieros obtenidos o pérdidas evita-
das, como consecuencia de la infracción.

152
En línea: https://www.apda.ad/system/files/aplicacion_y_la_fijacion_de_multas_ad-
ministrativas.pdf [Consultado el 13 de agosto de 2018].

173
J OSÉ L U IS GOÑI SEIN

El Reglamento obliga a los Estados miembros a adoptar disposiciones

legislativas al respecto y a comunicar a la Comisión, fijando como fe-
cha límite de notificación el 25 de mayo de 2018. El Estado español no
ha podido dar cumplimiento al referido mandato, porque hasta julio
de este año no ha aprobado la disposición legislativa sobre la materia
(Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la
adaptación del Derecho español a la normativa de la Unión Europea
en materia de protección de datos).

2. EL CONTENIDO NORMATIVO DEL REAL DECRETO-LEY 5/2018, DE 27

DE JULIO
El objeto de este Real Decreto-ley es la adecuación de nuestro ordena-
miento al Reglamento europeo en aquellos aspectos concretos que, sin
rango orgánico, no admiten demora, como es el régimen sancionador.
Se trata de una parte del Proyecto de Ley Orgánica de Protección de
Datos de Carácter Personal que ha sido desgajada del mismo, y a la que
se ha dado una nueva redacción, bastante distinta. Es la relativa a la
regulación de las infracciones y sanciones, que tiene poco que ver con
el listado inicialmente previsto en el Proyecto de LOPD.
En términos generales, la citada regulación se ocupa de tres aspectos:
1)- Inspección en materia de protección de datos (Capítulo I):
Se identifica al personal competente para el ejercicio de los poderes
de investigación que el Reglamento General de Protección de Datos
otorga en su artículo 58.1 a las autoridades de control. En él se re-
gula el modo en que podrán ejercerse dichos poderes, qué personas
ejercerán la actividad de investigación e inspección y en qué consis-
tirán esas atribuciones expresamente establecidas en el Reglamento
europeo desde el punto de vista del ordenamiento español. Asimismo,
se determina el régimen aplicable al personal de las autoridades de
supervisión de otros Estados miembros que participen en actuaciones
conjuntas de investigación.
2)- Régimen sancionador en materia de protección de datos (Capítulo
II): De ello daré inmediata cuenta en el apartado siguiente.
3)- Procedimientos en caso de posible vulneración de la normativa de
protección de datos (Capítulo III).
El RD-Ley regula en este punto los procedimientos tramitados por la
Agencia Española de Protección de Datos en los supuestos en los que
un afectado reclame que no ha sido atendida su solicitud de ejercicio
174
LA NUEVA REGULACIÓN EUROPEA Y ESPAÑOLA DE PROTECCIÓN DE DATOS Y SU APLICACIÓN AL ÁMBITO DE LA EMPRESA

de los derechos reconocidos en los artículos 15 a 22 del Reglamento

(UE) 2016/679, así como en los que aquélla investigue la existencia de
una posible infracción de lo dispuesto en el mencionado reglamento y
la normativa española de protección de datos.
Se ocupa, así, de regular la aplicación de las especialidades del régi-
men procedimental del Reglamento General de Protección de Datos,
partiendo, como se explica en el Preámbulo, de la existencia de tres
tipos de tratamientos a los que aplicarían distintas normas procedi-
mentales: a) los tratamientos transfronterizos, definidos por el artículo
4.23 del Reglamento General de Protección de Datos, b) los transfron-
terizos con relevancia local en un Estado miembro, a los que se refiere
el artículo 56 del mismo, y c) aquéllos que tendrían la condición de
exclusivamente nacionales, entre los que figuran en todo caso los pre-
vistos en el artículo 55 de la norma europea. El Reglamento europeo
prevé una serie de trámites específicos para los dos primeros supuestos
entre los que se encuentran los necesarios para determinar la compe-
tencia de la autoridad de control principal, así como los que permiten
la adopción de una decisión consensuada entre las autoridades prin-
cipal e interesadas en el procedimiento. En estos casos la regulación
europea establece la obligación de que la autoridad principal someta
los distintos proyectos de decisión a las restantes autoridades, que dis-
pondrán de plazos tasados para la emisión de “observaciones perti-
nentes motivadas”, y prevé el sometimiento de la resolución al Comité
Europeo de Protección de Datos en caso de no alcanzarse un acuerdo
entre todas ellas.
En este marco, el Real Decreto-Ley traslada al Derecho español estas
previsiones, estableciendo el procedimiento que ha de seguirse en caso
de plantearse una reclamación ante la Agencia Española de Protec-
ción de Datos, así como en los supuestos en que, sin haber recibido
reclamación, tenga la condición de autoridad principal respecto de la
reclamación recibida en otro Estado Miembros o considere que ha de
intervenir como interesada en un procedimiento ya abierto.
Dicha norma procedimental contempla fases específicas como la ad-
misión a trámite de las reclamaciones o la posibilidad de archivo pro-
visional del expediente en los supuestos en que la Agencia Española de
Protección de Datos no tramite la reclamación pero pueda tener que
resolver sobre la misma. Asimismo, incluye la suspensión en los su-
puestos en que proceda recabar el parecer de las autoridades de otros
Estados miembros durante todo el tiempo previsto para su obtención,
dado que en caso contrario existe una muy alta probabilidad de ca-

175
 J OSÉ L U IS GOÑI SEIN

ducidad de los procedimientos, con las consecuencias negativas que

ello conlleva no sólo para la aplicabilidad en España de las normas
de protección de datos, sino para la garantía del derecho fundamental
de los ciudadanos europeos en su conjunto en aquellos casos en que
la Agencia Española de Protección de Datos tuviera la condición de
autoridad de control principal.

3. RÉGIMEN DE INFRACCIONES Y SANCIONES DEL REAL DECRETO-LEY

5/2018
En la LOPD, las infracciones y sanciones establecidas (arts. 43 y 44)
por incumplimiento de la Ley de Protección de Datos se clasificaban
en tres niveles:
a) I nfracciones leves: dicha consideración tenían, entre otras, el
incumplimiento del deber de información al afectado acerca del
tratamiento de sus datos de carácter personal cuando los datos
sean recabados del propio interesado; la transmisión de los datos
a un encargado del tratamiento sin dar cumplimiento a los debe-
res formales establecidos (LOPD art. 12).
b) Infracciones graves: se tipificaban como tales, entre otras, tratar
datos de las personas sin recabar el consentimiento de las perso-
nas afectadas, cuando sea necesario; tratar datos o usarlos con
conculcación de los principios y garantías establecidas en el art.
4 LOPD; la vulneración del deber de guardar secreto acerca del
tratamiento de los datos de carácter personal al que se refiere el
art. 10 LOPD; el impedimento o la obstaculización del ejercicio
de los derecho de acceso, rectificación, cancelación y oposición;
incumplir el deber de informar cuando los datos no hayan sido
obtenidos del propio interesado; mantener ficheros, locales, pro-
gramas o equipos sin las debidas condiciones de seguridad; no
atender los requerimiento o apercibimientos de la AEPD; la co-
municación cesión de datos de carácter personal sin contar con
legitimación para ello.
c) Infracciones muy graves: la recogida de datos de forma engaño-
sa o fraudulenta; tratar o ceder datos de carácter personal espe-
cialmente protegidos; no cesar en el tratamiento ilícito de datos
cuando existe requerimiento previo del Director de la AEPD; la
trasferencia internacional de datos de carácter personal con des-
tino a países que no proporcionan un nivel de protección equipa-
rable sin autorización del Director de la AEPD.

176
 LA NUEVA REGULACIÓN EUROPEA Y ESPAÑOLA DE PROTECCIÓN DE DATOS Y SU APLICACIÓN AL ÁMBITO DE LA EMPRESA

Cuantía de las sanciones:

a) Las multas por infracciones leves oscilaban entre 900 y 40.000
euros;
b) Las multas por infracciones graves, entre 40.001 y 300.000 euros;
y
c) Las multas por infracciones muy graves, oscilaban entre 300.001
a 600.000, donde se establecía el techo.
Esta materia ha sido modificada por el Real Decreto-ley 5/2018, de 27
de julio, de medidas urgentes para la adaptación del Derecho español
a la normativa de la Unión Europea en materia de protección de datos,
que establece un nuevo régimen de infracciones y sanciones.
a) Sujetos. El art. 3.1 del RD-Ley considera posibles sujetos respon-
sables de las infracciones en materia de protección de datos a: 1) Los
responsables de los tratamientos; 2) Los encargados de los tratamien-
tos; 3) Los representantes de los responsables o encargados de los tra-
tamientos no establecidos en el territorio de la Unión Europea; 4) Las
entidades de certificación; 5) Las entidades acreditadas de supervisión
de los códigos de conducta. No está sujeto al régimen sancionador en
esta materia el delegado de protección de datos (art. 3.2 RD-Ley)
b) Infracciones: Se reemplazan los tipos infractores actualmente con-
tenidos en la Ley Orgánica 15/1999 (LOPD) por la remisión a las con-
ductas tipificadas en los apartados 4, 5 y 6 del artículo 83 del Regla-
mento (UE), lo que resulta de todo punto llamativo. En este sentido, el
RD-Ley tan solo indica, en su artículo 4, que “constituyen infracciones
las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los
apartados 4, 5 y 6 de su artículo 83”. Por tanto, no se procede a una des-
cripción minuciosa de las conductas típicas, ni se categorizan en leves,
graves y muy graves, como tradicionalmente se ha hecho y pretendía
hacer el Proyecto de LOPD que está en trámite parlamentario.
c) Sanciones. No hay apartado específico dedicado a regular las san-
ciones. Implícitamente, se toma en consideración la diferenciación
que establece el Reglamento (UE) al fijar la cuantía de las sanciones.
La categorización de las sanciones solo se introduce a los solos efectos
de determinar los plazos de prescripción.
d) Prescripción de infracciones y sanciones: Sobre esto guarda silencio
el RGPD. y se hacía necesario una regulación específica. El artículo 5
establece un doble plazo de prescripción para infracciones:

177
 J OSÉ L U IS GOÑI SEIN

1) “Las infracciones previstas en los apartados 5 y 6 del artículo 83 del

Reglamento (UE) 2016/679 prescribirán a los tres años.
2) L
 as infracciones previstas en el artículo 83.4 Reglamento (UE)
2016/679 prescribirán a los dos años”.
A su vez el artículo 6 contempla un triple plazo de prescripción de
sanciones: “Las sanciones impuestas en aplicación del Reglamento (UE)
2016/679 prescriben en los siguientes plazos:
a) L
 as sanciones por importe igual o inferior a 40.000 euros, prescri-
ben en el plazo de un año;
b) L
 as sanciones por importe comprendido entre 40.001 y 300.000
euros prescriben a los dos años;
c) L
 as sanciones por un importe superior a 300.000 euros prescriben
a los tres años.
Ambos cómputos se interrumpen: el de la infracción por la iniciación,
con conocimiento del interesado, del procedimiento sancionador; y el
de la sanción, por la iniciación, con conocimiento del interesado, del
procedimiento de ejecución. Ambos plazos vuelven a transcurrir si el
procedimiento es paralizado durante seis meses por causa no imputa-
ble al presunto infractor o sancionado respectivamente.

4. PROCEDIMIENTO SANCIONADOR
La Agencia Española de Protección de Datos podrá abrir un procedi-
miento sancionador tras el procedimiento de reclamación de tutela
por el afectado o también a través del inicio del procedimiento que
tenga por objeto la determinación de la posible existencia de una in-
fracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normati-
va española de protección de datos.
El procedimiento podrá también tramitarse como consecuencia de la
comunicación a la AEPD por parte de la autoridad de control de otro
Estado miembro de la Unión Europea de la reclamación formulada
ante la misma, cuando la AEPD tuviese la condición de autoridad de
control principal para la tramitación de un procedimiento conforme
a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679.
Si el procedimiento por infracción se fundase en una reclamación
formulada ante la Agencia Española de Protección de Datos, ésta de-
cidirá, con carácter previo, sobre su admisión a trámite, conforme a

178
 LA NUEVA REGULACIÓN EUROPEA Y ESPAÑOLA DE PROTECCIÓN DE DATOS Y SU APLICACIÓN AL ÁMBITO DE LA EMPRESA

lo señalado anteriormente respecto del procedimiento de ejercicio de

derechos (art. 8.2 RD-Ley 5/2018).
Una vez admitida a trámite la reclamación, así como en los supuestos
en que la AEPD actúe por propia iniciativa, especialmente en el su-
puesto de tratamiento masivo de datos personales, con carácter previo
al acuerdo de inicio, podrá existir una fase de actuaciones previas de
investigación a fin de lograr una mejor determinación de los hechos
y las circunstancias que justifican la tramitación del procedimiento.
Este periodo de investigación no podrá durar más de doce meses a
contar desde la fecha del acuerdo de admisión a trámite o del inicio de
actuación de oficio.
Concluidas, en su caso, las actuaciones previas de investigación, co-
rresponderá al Director de la Agencia Española de Protección de Da-
tos, cuando así proceda, dictar acuerdo de inicio de procedimiento
para el ejercicio de la potestad sancionadora, en que se concretarán
los hechos, la identificación de la persona o entidad contra la que se
dirija el procedimiento, la infracción que hubiera podido cometerse y
su posible sanción (art. 12.1 RD-Ley 5/2018153).
El procedimiento tendrá una duración máxima de nueve meses a con-
tar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de
acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad,
y en consecuencia, el archivo de actuaciones (art. 8.2 RD-Ley 5/2018).

153
Art. 12.2 RD-Ley 5/2018: “Cuando la Agencia Española de Protección de Datos os-
tente la condición de autoridad de control principal y deba seguirse el procedimiento
previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de
inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo”.

179