MÓDULO - L.O.P.D.

U.D. 9 - Infracciones y Sanciones

IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.

IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

Página 2 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

U.D.9 - INFRACCIONES Y SANCIONES

1. MODIFICACIÓN DEL RÉGIMEN SANCIONADOR: LA LEY DE ECONOMÍA SOSTENIBLE. ··

··········································································································································· 5
2. TIPOS DE INFRACCIONES Y SANCIONES (ARTS. 44, 45, 46 Y 49 LOPD Y ART. 121
RLOPD).··································································································································· 7
2.1 GRADUACIÓN DE LAS SANCIONES. ················································································ 8
2.1.1 Apercibimiento de sanción. ···················································································································· 9
2.1.2 Infracciones de las Administraciones públicas.··············································································· 9
2.1.3 Potestad de inmovilización de ficheros. ··························································································· 10
2.1.4 Prescripción de infracciones y sanciones. ······················································································· 11
3. PROCEDIMIENTO SANCIONADOR (ART. 48 LOPD Y ARTS. 120 A 129 RLOPD). ········· 11
3.1 CUESTIONES GENERALES DEL PROCEDIMIENTO. ··························································· 11
3.2 ACTUACIONES PREVIAS. ······························································································· 12
3.3 INICIACIÓN Y EJECUCIÓN DEL PROCEDIMIENTO. ··························································· 15
4. RESUMEN DE LA UNIDAD. 0.··························································································· 16

Página 3 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

Página 4 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

U.D. 9 - INFRACCIONES Y SANCIONES

1. MODIFICACIÓN DEL RÉGIMEN SANCIONADOR: LA LEY DE ECONOMÍA SOSTENIBLE.

El Título VII de la LOPD ha venido a regular el régimen de infracciones y sanciones por

incumplimiento de la normativa en materia de protección de datos de carácter personal. Y
decimos que “ha venido a regular” porque, tras el entrada en vigor el 6 de marzo de 2011 de la
Ley 2/2011, de 4 de marzo, de Economía Sostenible, el título que regula las infracciones y
sanciones en materia de protección de datos de carácter personal ha sufrido una profunda
modificación.
La Disposición final quincuagésima sexta (56ª) de la Ley de Economía Sostenible introduce
modificaciones, de mayor o menor calado, en los siguientes artículos:
 Artículo 43.- Responsables.
 Artículo 44.- Tipos de infracciones.
 Artículo 45.- Tipo de sanciones.
 Artículo 46.- Infracciones de las Administraciones públicas.
 Artículo 49.- Potestad de inmovilización de ficheros.

En líneas generales, y citando fuentes de la AEPD, se considera que las reformas aportan
mayor seguridad jurídica, contribuyendo a lograr una mayor precisión en la aplicación de la
norma. Además, se amplían las opciones para adoptar medidas preventivas mediante la
incorporación del apercibimiento y se amplían los criterios de modulación y adecuación
de las sanciones.
En esta línea, se enmarcan modificaciones como la mejora de la tipificación de las
infracciones vinculándolas a la vulneración de los principios específicos que garantizan la
protección de datos personales, y que – por ejemplo – permitirán que las cesiones ilícitas de
datos pasen a equiparase a otras infracciones graves como el tratamiento de datos sin
consentimiento, equilibrando bienes jurídicos protegidos que están incluidos en la misma
definición de “tratamiento de datos”. El tratamiento o la cesión de datos sólo se tipificarán
como infracciones muy graves cuando afecten a datos especialmente protegidos. Del
mismo modo, se establece un régimen homogéneo y se armonizan las infracciones relativas al
impedimento u obstaculización del ejercicio de los derechos recogiéndose en un mismo tipo para
todos ellos.
Asimismo, las modificaciones introducidas en el artículo 45 de la LOPD (“Tipo de
sanciones”), permitirán ampliar y objetivar los criterios que permiten modular o adecuar la
imposición de sanciones económicas a la trascendencia de la infracción cometida, en función de
las circunstancias concurrentes.

Página 5 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

A tal efecto, se destaca que la modificación del artículo 45.4 sistematiza y amplía los criterios
de graduación que ha de ser tenidos en cuenta por el órgano sancionador para la modulación de
las sanciones, incorporando como novedades la posibilidad de valorar la diligencia profesional
sobre el tratamiento de datos exigible al infractor (no es lo mismo la diligencia profesional
exigible a una gran corporación que a una PYME), su volumen de negocio y el tipo de actividad
que desarrolla; así como la acreditación de una conducta diligente en el cumplimiento de la LOPD
y su normativa de desarrollo, debiéndose la infracción a una mera anomalía en el funcionamiento
de los procedimientos implantados.
La valoración del volumen de negocio y el tipo de actividad permitirá una aplicación más
proporcionada en el caso de las personas físicas, pequeñas empresas, profesionales, autónomos o
entidades sin ánimo de lucro.
En cuanto a los criterios de atenuación (artículo 45.5 de la LOPD) – que permiten la aplicación
de la escala inferior en grado de las sanciones (permitiendo sancionar las muy graves con las
multas de las graves y las de éstas con la cuantía de las leves) – se objetivan generando
mayor seguridad jurídica, incluyendo criterios tales como la concurrencia significativa de varios
de los criterios que permiten imponer una sanción menor; la regularización diligente de la
infracción en que se haya incurrido; la inducción por el propio afectado a la comisión de la
infracción; el reconocimiento espontáneo de la culpabilidad; o el hecho de producirse el
incumplimiento en una fusión por absorción, siendo la infracción anterior a la misma sin que
pueda imputarse a la entidad absorbente.
Además, mediante la incorporación de un nuevo apartado 6 al artículo 45 de la LOPD, se
amplían las opciones para adoptar medidas preventivas en el cumplimiento de la Ley a
través de la figura del apercibimiento como medida no sancionadora.
El apercibimiento, como medida excepcional y limitada, que deberá fundarse en la especial
concurrencia de los criterios previstos para la atenuación de las sanciones, podrá permitir advertir
de la irregularidad cometida y requerir la adopción de las medidas que permitan, en cada caso,
corregir la situación o evitar la repetición de dicha conducta.
No obstante, sólo podrá aplicarse en los supuestos en que los hechos no sean constitutivos
de infracciones muy graves, y cuando el sujeto responsable no haya sido sancionado o
apercibido con anterioridad.
El apercibimiento, además, no implicará una exención en todo caso de la responsabilidad que
pudiera derivarse de la irregularidad cometida dado que, en caso de que el mismo no sea
atendido y no se adopten las medidas correctoras que en cada caso puedan resultar pertinentes,
la conducta del sujeto responsable será constitutiva de una infracción de la legislación vigente en
materia de protección de datos de carácter personal.
Una vez expuestas las principales novedades introducidas en la LOPD tras la entrada en vigor de
la Ley de Economía Sostenible, en los siguientes epígrafes explicaremos las distintas infracciones
y sanciones, graduación, procedimientos y otras características destacadas en materia de
protección de datos de carácter personal. Significar que, según el artículo 43.1 de la LOPD,
tanto los responsables de los ficheros como los encargados de los tratamientos están
sujetos al régimen sancionador establecido tanto en la LOPD como en su normativa de
desarrollo.

Página 6 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

2. TIPOS DE INFRACCIONES Y SANCIONES (ARTS. 44, 45, 46 Y 49 LOPD Y ART. 121

RLOPD).

GRADO INFRACCIÓN MULTA

 No remitir a la AEPD las notificaciones previstas en la LOPD o en su
normativa de desarrollo.
 No solicitar la inscripción del fichero de datos de carácter personal en el
Registro General del Protección de Datos.
 El incumplimiento del deber de información al afectado acerca del De 900 a
LEVE
tratamiento de sus datos de carácter personal cuando los datos sean 40.000 €
recabados del propio interesado.
 La transmisión de los datos a un encargado del tratamiento sin dar
cumplimiento a los deberes formales establecidos en el artículo 12 de
la LOPD (ver apartado 3 de la unidad didáctica 3).

 Proceder a la creación de ficheros de titularidad pública o iniciar la

recogida de datos de carácter personal para los mismos, sin
autorización de disposición general, publicada en el BOE o diario oficial
correspondiente.
 Tratar datos de carácter personal sin recabar el consentimiento de las
personas afectadas, cuando el mismo sea necesario conforme a lo
dispuesto en la LOPD y sus disposiciones de desarrollo.
 Tratar datos de carácter personal o usarlos posteriormente con
conculcación de principios y garantías establecidos por el artículo 4 de
la LOPD (“calidad de los datos”) y las disposiciones que lo desarrollan,
salvo cuando sea constitutivo de infracción muy grave.
 La vulneración del deber de guardar secreto acerca del tratamiento de
los datos de carácter personal al que se refiere el artículo 10 de la
LOPD (ver apartado 8 de la unidad didáctica 4).
 El impedimento o la obstaculización del ejercicio de los derechos ARCO
De 40.001
(acceso, rectificación, cancelación y oposición).
GRAVE a 300.000
 El incumplimiento del deber de información al afectado acerca del
tratamiento de sus datos de carácter personal cuando los datos no
€
hayan sido recabados del propio interesado.
 El incumplimiento de los restantes deberes de notificación o
requerimiento al afectado impuestos por la LOPD y sus disposiciones de
desarrollo.
 Mantener los ficheros, locales programas o equipos que contengan
datos de carácter personal sin las debidas condiciones de seguridad
determinadas por vía reglamentaria.
 No atender a los requerimientos o apercibimientos de la AEPD o no
proporcionar a aquélla cuantos documentos o informaciones sean
solicitados por la misma.
 La obstrucción al ejercicio de la función inspectora.
 La comunicación o cesión de datos de carácter personal sin contar con
legitimación para ello en los términos previstos en la LOPD y sus
disposiciones reglamentarias de desarrollo, salvo que la misma sea
constitutiva de infracción muy grave.

Página 7 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

 La recogida de datos de forma engañosa o fraudulenta.

 Tratar o ceder los datos de carácter personal especialmente protegidos
por los apartados 2, 3 y 5 de la LOPD, salvo en los supuestos en que la
misma lo autoriza, o violentar la prohibición de crear ficheros con la
finalidad exclusiva de almacenar datos de carácter personal que revelen
la ideología, afiliación sindical, religión, creencias, origen racial o étnico, De
MUY
o vida sexual (ver apartado 5 de la unidad didáctica 4). 300.001 a
GRAVE
 No cesar en el tratamiento ilícito de datos de carácter personal cuando 600.000 €
existiese un previo requerimiento del Director de la AEPD para ello.
 La transferencia internacional de datos de carácter personal con destino
a países que no proporcionen un nivel de protección equiparables sin
autorización del Director de la AEPD, salvo en los supuestos en los que
conforme a la LOPD y sus disposiciones de desarrollo dicha autorización
no resulte necesaria (ver apartado 5 de la unidad didáctica 5)

2.1 GRADUACIÓN DE LAS SANCIONES.

La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:

Página 8 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

En este sentido, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala

relativa a la clase de informaciones que preceda inmediatamente en gravedad a aquélla en que se
integra la considerada en el caso de que se trate (o sea, permitiendo sancionar las muy graves
con las multas de las graves y las de éstas con la cuantía de las leves), en los siguientes
supuestos:
a. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de
la antijuricidad del hecho como consecuencia de la concurrencia significativa de varios
de los criterios enunciados en el gráfico anteriormente expuesto.
b. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c. Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la
comisión de la infracción.
d. Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e. Cuando se haya producido un proceso de fusión por absorción y la infracción fuese
anterior a dicho proceso, no siendo imputable a la entidad absorbente.
En ningún caso se puede imponer una sanción más grave que la fijada por la LOPD para la clase
de infracción en la que se integre la que se pretenda sancionar.
Por último, se legitima al Gobierno para que actualice periódicamente la cuantía de las sanciones
de acuerdo con las variaciones que experimenten los índices de precios.

2.1.1 Apercibimiento de sanción.

Tal y como comentamos en el primer apartado de la presente unidad didáctica, de manera

excepcional el órgano sancionador podrá, previa audiencia de los interesados y atendida la
naturaleza de los hechos y la concurrencia significativa de los criterios expuestos en el epígrafe
anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al
sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la
adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre
que concurran los siguientes presupuestos:
 Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en
la LOPD.
 Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no es atendido en el plazo que el órgano sancionador determine,

procederá la apertura del correspondiente procedimiento sancionador por dicho
incumplimiento.

2.1.2 Infracciones de las Administraciones públicas.

La Ley de Economía Sostenible también ha venido a modificar el contenido del artículo 46 de la

LOPD, que versa sobre las infracciones cometidas por las Administraciones públicas en el
tratamiento de datos de carácter personal. En este sentido, se establece que cuando las
infracciones mencionadas en la tabla anteriormente expuesta fuesen cometidas en ficheros de
titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de
dicha naturaleza, el órgano sancionador debe dictar una resolución estableciendo las
medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción.
Dicha resolución debe ser notificada al responsable del fichero, al órgano del que dependa
jerárquicamente y a los afectados (en el caso de que los hubiera).

Página 9 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

El órgano sancionador puede proponer también la iniciación de actuaciones disciplinarias, en

el caso de que éstas procedan. El procedimiento y las sanciones a aplicar serán las establecidas
en la legislación sobre régimen disciplinario de las Administraciones públicas.
Las resoluciones que recaigan en relación con las medidas y actuaciones a las que nos referimos
en el presente epígrafe deben ser comunicadas al órgano sancionador.
Por último, significar que el Director de la AEPD está obligado a comunicar al Defensor del
Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de una
infracción cometida por parte de una Administración pública en materia de tratamiento de
datos de carácter personal conforme a lo establecido en el presente apartado.

2.1.3 Potestad de inmovilización de ficheros.

El artículo 49 de la LOPD, tras la nueva redacción otorgada por

la Ley de Economía Sostenible, establece que en los supuestos
constitutivos de infracción grave o muy grave en que la
persistencia en el tratamiento de los datos de carácter personal o
su comunicación o transferencia internacional posterior pudiera
suponer un grave menoscabo de los derechos fundamentales de
los afectados y en particular de su derecho a la protección de
datos de carácter personal, el órgano sancionador podrá, además
de ejercer la potestad sancionadora, requerir a los
responsables de los ficheros de datos de carácter personal,
tanto de titularidad pública como privada, la cesación en la
utilización o cesión ilícita de los datos.
El artículo 121 del RLOPD, antes de la entrada en vigor de la Ley de Economía Sostenible, ya
hacía hincapié en la posibilidad de inmovilización de los ficheros, estableciendo las pautas de lo
que debe ser el procedimiento de inmovilización. Sin duda, su aspecto más destacado reside en
que se estipula que el requerimiento deberá ser atendido en el plazo improrrogable de
tres días, plazo durante el cual el responsable del fichero puede formular las alegaciones que
tenga por convenientes en orden al levantamiento de la medida.
Si el requerimiento fuese desatendido, el órgano sancionador podrá, mediante resolución
motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las
personas afectadas.

Página 10 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

2.1.4 Prescripción de infracciones y sanciones.

Los plazos de prescripción establecidos en el artículo 47 de la LOPD responden a lo establecido

en la siguiente tabla

TIPO DE INFRACCIÓN/SANCIÓN PLAZO DE PRESCRIPCIÓN

MUY GRAVES 3 años

INFRACCIONES

GRAVES 2 años

LEVES 1 año

MUY GRAVES 3 años

SANCIONES
GRAVES 2 años

LEVES 1 año

Por lo que respecta a las infracciones, el plazo de prescripción comenzará a contarse desde
el día en que dicha infracción se hubiera cometido. Interrumpirá la prescripción la
iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el
plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis
meses por causas no imputables al presunto infractor.
En cuanto a las sanciones, el plazo de prescripción comenzará a contar desde el día
siguiente a aquél en que adquiera firmeza la resolución por la que se impone la sanción.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del
procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado
durante más de seis meses por causa no imputable al infractor.

3. PROCEDIMIENTO SANCIONADOR (ART. 48 LOPD Y ARTS. 120 A 129 RLOPD).

3.1 CUESTIONES GENERALES DEL PROCEDIMIENTO.

El artículo 48 de la LOPD establece que, para la determinación de las infracciones y la

imposición de las sanciones comentadas en el apartado anterior, debe establecerse el
correspondiente procedimiento usando mecanismos reglamentarios. En ejecución de este
mandato, el RLOPD desarrolla el procedimiento sancionador en el capítulo III del Título
IX.

Página 11 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

Como aproximación al procedimiento sancionador establecido por la LOPD, significar que, al igual
que el resto de procedimientos tramitados por la AEPD, éste se regirá supletoriamente por la
Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común. Las normas de procedimiento
administrativo son de aplicación específica al régimen de representación en este tipo de
procedimientos.
Es de destacar que las disposiciones contenidas en este capítulo, y que expondremos a
continuación, son de aplicación a los procedimientos relativos al ejercicio por la AEPD de la
potestad sancionadora que le viene atribuida por la LOPD, en la Ley 34/2002, de 11 de julio,
de Servicios de la Sociedad de la Información y de Comercio Electrónico, y en la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones.

3.2 ACTUACIONES PREVIAS.

Con anterioridad a la iniciación del procedimiento sancionador, se pueden realizar actuaciones

previas con el objeto de determinar si concurren circunstancias que justifiquen su
iniciación. En especial, estas actuaciones deben orientarse a determinar, con la mayor precisión
posible, los hechos que pudiesen justificar la incoación del procedimiento, identificar la
persona u órgano que pudiese resultar responsable y fijar las circunstancias relevantes
que pudieran concurrir en el caso concreto.
Las actuaciones previas se llevarán a cabo de oficio por la AEPD, bien por iniciativa propia o
como consecuencia de la existencia de una denuncia o una petición razonada de otro
órgano.
Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de una denuncia o
de una petición razonada de otro órgano, la AEPD acusará recibo de la denuncia o petición,
pudiendo solicitar cuanta documentación se estime oportuna para poder comprobar los hechos
susceptible de motivar la incoación del procedimiento sancionador.
Llegados a este punto, a continuación exponemos un formulario tipo de denuncia ante la AEPD
por parte de un afectado:

Página 12 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

Acedis Formación
http://www.acedis.com
info@acedis.com

DENUNCIA ANTE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

DATOS DEL RESPONSABLE DEL AFECTADO(1)
D. /Dª....................................................................................................., mayor de
edad, con domicilio en................................................................................,
nº............ C.P........................
Localidad.......................................................................................
Provincia......................................... Comunidad autónoma......................................
con D.N.I/Pasaporte:.........................................
DATOS DEL PRESUNTO RESPONSABLE
Nombre / Razón
social.................................................................................................... Oficina/
Servicio (en su caso):.........................................................................................
Domicilio...................................................................................................,
nº............, Localidad.......................................................,
Provincia................................................ C.P..........................., Comunidad
autónoma............................................................., C.I.F. / D.N.I............................
De acuerdo con lo previsto en la normativa vigente, pone en conocimiento del Director de
la Agencia Española de Protección de Datos los siguientes HECHOS:
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
............
que justifica con la DOCUMENTACIÓN ANEXA que se relaciona a continuación:
Documento nº
1.............................................................................................................
Documento nº
2.............................................................................................................
Documento nº
3.............................................................................................................
.....
En virtud de lo expuesto, SOLICITA que se dicte acuerdo de inicio de procedimiento
sancionador o de infracción de las Administraciones públicas o se incoen actuaciones con
objeto de determinar si concurren circunstancias que justifiquen tal iniciación y que, en
cualquier caso, se me notifique el acuerdo que se adopte, de conformidad con lo previsto
en el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real
Decreto 1720/2007, de 21 de diciembre,
En.................................................a........de............................de
Firmado:
SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS
C/ Jorge Juan, 6. – 28001 MADRID
(1)
La denuncia puede presentarse por el propio afectado, en cuyo caso acompañará copia del DNI, o cualquier
otro documento que acredite la identidad y sea considerado válido en derecho. También puede concederse la
representación legal a un tercero, en cuyo caso, además, se deberá aportar DNI y documento acreditativo de la

(Modelo de denuncia ante la AEPD por parte de un afectado)

Página 13 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde existir
denuncia o petición razonada, desde que el Director de la AEPD acordase la realización de dichas
actuaciones.
El vencimiento del plazo sin que haya sido dictado y notificado el acuerdo de inicio de
procedimiento sancionador producirá la caducidad de las actuaciones previas.
Las actuaciones previas serán llevadas a cabo por el personal del área de Inspección de
Datos habilitado para el ejercicio de las funciones inspectoras. Los funcionarios que
ejerzan la inspección tienen la consideración de autoridad pública en el desempeño de sus
cometidos. Además, estarán obligados a guardar secreto sobre las informaciones que
conozcan en el ejercicio de sus funciones, incluso después de haber cesado en las mismas.
Los inspectores podrán recabar cuantas informaciones
precisen para el cumplimiento de sus cometidos. A tal fin
están habilitados para requerir la exhibición de los
documentos y datos y examinarlos en el lugar en
que se encuentren depositados, como para obtener
copia de los mismos, inspeccionar los equipos
físicos y lógicos, así como requerir la ejecución de
tratamientos y programas o procedimientos de
gestión y soporte del fichero o ficheros sujetos a
investigación, accediendo a los lugares donde se
encuentren instalados.
En el desarrollo de las actuaciones previas se podrán
realizar actuaciones presenciales, esto es, visitas de
inspección por parte de los inspectores designados,
en los locales o sede del inspeccionado, o donde se
encuentren ubicados los ficheros, en su caso. A tal efecto,
los inspectores habrán sido previamente
autorizados por el Director de la AEPD. Esta
autorización se limitará a indicar la habilitación del
inspector autorizado y la identificación de la persona u
órgano inspeccionado.
Las inspecciones pueden realizarse en el domicilio del inspeccionado, en la sede o local concreto
relacionado con el mismo o en cualquiera de sus locales, incluyendo aquéllos en los que el
tratamiento sea llevado a cabo por un encargado.
En estos supuestos, las inspecciones concluirán con el levantamiento de la
correspondiente acta, en la que quedará constancia de las actuaciones practicadas durante la
visita o visitas de inspección. El acta, que se emitirá por duplicado, será firmada por los
inspectores actuantes y por el inspeccionado, que podrá hacer constar en la misma las
alegaciones o manifestaciones que tenga por conveniente. En caso de negativa del inspeccionado
a la firma del acta, se hará constar expresamente esta circunstancia en la misma. En todo caso,
la firma por el inspeccionado del acta no supondrá su conformidad, sino tan sólo la recepción de
la misma.
Finalmente, se hará entrega al inspeccionado de uno de los originales del acta de
inspección, incorporándose el otro original a las actuaciones.
Una vez concluidas las actuaciones previas, éstas se someterán a la decisión del Director de
la AEPD. Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de
infracción alguna, el Director de la AEPD dictará resolución de archivo que se notificará al
investigado y al denunciante, en su caso.

Página 14 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

En caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de una

infracción, el Director de la AEPD dictará acuerdo de inicio de procedimiento sancionador
o de infracción de las Administraciones públicas que se tramitará conforme a lo dispuesto
en el apartado siguiente.

3.3 INICIACIÓN Y EJECUCIÓN DEL PROCEDIMIENTO.

Con carácter específico, el acuerdo de inicio del procedimiento sancionador debe contener
los siguientes extremos:

 Identificación de la persona o personas presuntamente responsables.

 Descripción sucinta de los hechos imputados, su posible calificación y las

sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la
instrucción.

 Indicación de que el órgano competente para resolver el procedimiento es el

Director de la AEPD.

 Indicación al presunto responsable de que puede reconocer voluntariamente su

responsabilidad, en cuyo caso dictará directamente resolución.

 Designación de instructor y, en su caso, secretario, con expresa indicación del

régimen de recusación de los mismos.

 Indicación expresa del derecho del responsable a formular alegaciones, a la

audiencia en el procedimiento y a proponer las pruebas que estime procedentes.

 Medidas de carácter provisional que pudieran acordarse, en su caso, de

conformidad a lo ya comentado en el apartado dedicado a la inmovilización de

Los procedimientos sancionadores tramitados por la AEPD, en ejercicio de las potestades

que a la misma atribuyan ésta u otras Leyes, salvo los referidos a infracciones de la Ley 32/2003,
de 3 de noviembre, General de Telecomunicaciones, tendrán una duración máxima de seis
meses, computándose desde la fecha en la que se dicte el acuerdo de inicio hasta que se
produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de
notificación. El vencimiento del citado plazo máximo sin que se haya dictada y notificada
resolución expresa, producirá la caducidad del procedimiento y el archivo de las
actuaciones.
De la misma manera que sucede con el resto de sus resoluciones, con excepción de las
correspondientes a la inscripción de un fichero o tratamiento en el Registro General de Protección
de Datos y de aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo, la
AEPD hará públicas tanto las resoluciones relativas a sus procedimientos sancionadores
como aquéllas que correspondan al archivo de actuaciones inspectoras.

Página 15 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

La publicación de estas resoluciones debe realizarse preferentemente mediante su inserción en

el sitio web de la AEPD, dentro del plazo de un mes a contar desde la fecha de su
notificación a los interesados. Esta publicación se realizará aplicando los criterios de
disociación de los datos de carácter personal que a tal efecto se establezcan mediante
resolución del Director de la AEPD.

Como complemento a esta explicación, puede consultar aquí las resoluciones de los procedimientos
sancionadores tramitados por la AEPD.

Por último y para finalizar con esta unidad didáctica, destacar que las resoluciones de la AEPD u
órgano correspondiente de la Comunidad autónoma agotan la vía administrativa.

4. RESUMEN DE LA UNIDAD. 0.

 La entrada en vigor de la Ley 2/2001, de 4 de marzo, de Economía Sostenible ha

modificado sensiblemente el contenido del título VII de la LOPD, que es el que regula el régimen
de las infracciones y sanciones en materia de protección de datos de carácter personal.
 Tanto los responsables de los ficheros como los encargados de los tratamientos están
sujetos al régimen sancionador establecido tanto en la LOPD como en su normativa de desarrollo.
 Las infracciones se clasifican en tres grupos: leves, graves y muy graves, sancionadas con
multas económicas que van desde los 900 € hasta los 600.000 € en función del tipo de infracción
o infracciones cometidas.
 El órgano sancionador puede bajar un grado las sanciones impuestas, esto es, de muy
graves a graves o de graves a leves, en el caso de que aprecie una serie de supuestos tasados
que le hagan pensar que el infractor no ha tenido intención de vulnerar la normativa vigente en
materia de protección de datos de carácter personal.
 De manera excepcional, el órgano sancionador podrá no acordar la apertura del
procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo
que el órgano sancionador determine, acredite la adopción de las medidas correctoras que a cada
caso resulten pertinentes, siempre y cuando concurran los siguientes presupuestos:
 Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto
en la LOPD.
 Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
 Si el apercibimiento no es atendido en el plazo que se determine, procederá la apertura del
correspondiente procedimiento sancionador por dicho incumplimiento.
 Cuando las infracciones fuesen cometidas en ficheros de titularidad pública o en relación con
tratamientos cuyos responsables lo serían de ficheros de distinta naturaleza, el órgano
sancionador debe dictar una resolución estableciendo las medidas que procede adoptar para que
cesen o se corrijan los efectos de la infracción, sin perjuicio de la iniciación de las actuaciones
disciplinarias que pudiesen proceder.

Página 16 de 19
 IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

 En determinados casos, el órgano sancionador, además de ejercer la potestad

sancionadora, podrá requerir a los responsables de los ficheros, tanto de titularidad pública como
privada, la cesación en la utilización o cesión ilícita de los datos. Este requerimiento deberá ser
atendido en el plazo de tres días. De lo contrario, el órgano sancionador, previa resolución
motivada, podrá inmovilizar tales ficheros.
 Las infracciones muy graves prescriben a los tres años, las graves a los dos años y las leves
al año. El plazo comenzará a contarse desde el día en el que la infracción se hubiese cometido.
 Las sanciones muy graves prescriben a los tres años, las graves a los dos años y las leves al
año. El plazo comenzará a contarse desde el día siguiente a aquél en que adquiera firmeza la
resolución por la que se impone la sanción.
 El procedimiento sancionador está desarrollado en el Capítulo III del Título IX del RLOPD.
Asimismo, será de aplicación supletoria los establecido por la Ley 30/1992, de 26 de noviembre,
de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
 Con anterioridad a la iniciación del procedimiento sancionador, se pueden realizar
actuaciones previas con el objeto de determinar si concurren circunstancias que justifiquen su
iniciación. En especial, estas actuaciones deben orientarse a determinar, con la mayor precisión
posible, los hechos que pudiesen justificar la incoación del procedimiento, identificar la persona u
órgano que pudiese resultar responsable y fijar las circunstancias relevantes que pudieran incurrir
en el caso concreto.
 Las actuaciones previas se llevarán a cabo de oficio por la AEPD, bien por iniciativa propia o
como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano.
 Estas actuaciones previas tendrán una duración máxima de doce meses. El vencimiento del
plazo sin que haya sido dictado y notificado el acuerdo de inicio de procedimiento sancionador
producirá la caducidad de las actuaciones previas.
 Las actuaciones previas serán llevadas a cabo por el personal del área de Inspección de
Datos habilitado para el ejercicio de las funciones inspectoras. Los funcionarios que ejerzan la
inspección tienen la consideración de autoridad pública en el desempeño de sus cometidos.
Además, estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio
de sus funciones, incluso después de haber cesado en las mismas.
 Las inspecciones concluirán con el levantamiento de la correspondiente acta, que se emitirá
por duplicado (un original para el inspeccionado y el otro se incorporará a las actuaciones),
siendo firmada por los inspectores actuantes y por el inspeccionado.
 Los procedimientos sancionadores tramitados por la AEPD tendrán una duración máxima de
seis meses, computándose desde la fecha en la que se dicte el acuerdo de inicio hasta que se
produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de
notificación. El vencimiento del plazo producirá la caducidad del procedimiento y el archivo de las
actuaciones.
 La AEPD hará públicas tanto las resoluciones relativas a sus procedimientos sancionadores
como aquéllas que correspondan al archivo de las actuaciones inspectoras. La publicación debe
realizarse, de manera preferente , mediante la inserción de la resolución en la página web de la
AEPD dentro del plazo de un mes a contar desde la fecha de su notificación a los interesados.

Página 17 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones

Página 18 de 19