Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Página 2 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 3 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 4 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
En líneas generales, y citando fuentes de la AEPD, se considera que las reformas aportan
mayor seguridad jurídica, contribuyendo a lograr una mayor precisión en la aplicación de la
norma. Además, se amplían las opciones para adoptar medidas preventivas mediante la
incorporación del apercibimiento y se amplían los criterios de modulación y adecuación
de las sanciones.
En esta línea, se enmarcan modificaciones como la mejora de la tipificación de las
infracciones vinculándolas a la vulneración de los principios específicos que garantizan la
protección de datos personales, y que – por ejemplo – permitirán que las cesiones ilícitas de
datos pasen a equiparase a otras infracciones graves como el tratamiento de datos sin
consentimiento, equilibrando bienes jurídicos protegidos que están incluidos en la misma
definición de “tratamiento de datos”. El tratamiento o la cesión de datos sólo se tipificarán
como infracciones muy graves cuando afecten a datos especialmente protegidos. Del
mismo modo, se establece un régimen homogéneo y se armonizan las infracciones relativas al
impedimento u obstaculización del ejercicio de los derechos recogiéndose en un mismo tipo para
todos ellos.
Asimismo, las modificaciones introducidas en el artículo 45 de la LOPD (“Tipo de
sanciones”), permitirán ampliar y objetivar los criterios que permiten modular o adecuar la
imposición de sanciones económicas a la trascendencia de la infracción cometida, en función de
las circunstancias concurrentes.
Página 5 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
A tal efecto, se destaca que la modificación del artículo 45.4 sistematiza y amplía los criterios
de graduación que ha de ser tenidos en cuenta por el órgano sancionador para la modulación de
las sanciones, incorporando como novedades la posibilidad de valorar la diligencia profesional
sobre el tratamiento de datos exigible al infractor (no es lo mismo la diligencia profesional
exigible a una gran corporación que a una PYME), su volumen de negocio y el tipo de actividad
que desarrolla; así como la acreditación de una conducta diligente en el cumplimiento de la LOPD
y su normativa de desarrollo, debiéndose la infracción a una mera anomalía en el funcionamiento
de los procedimientos implantados.
La valoración del volumen de negocio y el tipo de actividad permitirá una aplicación más
proporcionada en el caso de las personas físicas, pequeñas empresas, profesionales, autónomos o
entidades sin ánimo de lucro.
En cuanto a los criterios de atenuación (artículo 45.5 de la LOPD) – que permiten la aplicación
de la escala inferior en grado de las sanciones (permitiendo sancionar las muy graves con las
multas de las graves y las de éstas con la cuantía de las leves) – se objetivan generando
mayor seguridad jurídica, incluyendo criterios tales como la concurrencia significativa de varios
de los criterios que permiten imponer una sanción menor; la regularización diligente de la
infracción en que se haya incurrido; la inducción por el propio afectado a la comisión de la
infracción; el reconocimiento espontáneo de la culpabilidad; o el hecho de producirse el
incumplimiento en una fusión por absorción, siendo la infracción anterior a la misma sin que
pueda imputarse a la entidad absorbente.
Además, mediante la incorporación de un nuevo apartado 6 al artículo 45 de la LOPD, se
amplían las opciones para adoptar medidas preventivas en el cumplimiento de la Ley a
través de la figura del apercibimiento como medida no sancionadora.
El apercibimiento, como medida excepcional y limitada, que deberá fundarse en la especial
concurrencia de los criterios previstos para la atenuación de las sanciones, podrá permitir advertir
de la irregularidad cometida y requerir la adopción de las medidas que permitan, en cada caso,
corregir la situación o evitar la repetición de dicha conducta.
No obstante, sólo podrá aplicarse en los supuestos en que los hechos no sean constitutivos
de infracciones muy graves, y cuando el sujeto responsable no haya sido sancionado o
apercibido con anterioridad.
El apercibimiento, además, no implicará una exención en todo caso de la responsabilidad que
pudiera derivarse de la irregularidad cometida dado que, en caso de que el mismo no sea
atendido y no se adopten las medidas correctoras que en cada caso puedan resultar pertinentes,
la conducta del sujeto responsable será constitutiva de una infracción de la legislación vigente en
materia de protección de datos de carácter personal.
Una vez expuestas las principales novedades introducidas en la LOPD tras la entrada en vigor de
la Ley de Economía Sostenible, en los siguientes epígrafes explicaremos las distintas infracciones
y sanciones, graduación, procedimientos y otras características destacadas en materia de
protección de datos de carácter personal. Significar que, según el artículo 43.1 de la LOPD,
tanto los responsables de los ficheros como los encargados de los tratamientos están
sujetos al régimen sancionador establecido tanto en la LOPD como en su normativa de
desarrollo.
Página 6 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 7 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 8 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 9 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 10 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
GRAVES 2 años
LEVES 1 año
SANCIONES
GRAVES 2 años
LEVES 1 año
Por lo que respecta a las infracciones, el plazo de prescripción comenzará a contarse desde
el día en que dicha infracción se hubiera cometido. Interrumpirá la prescripción la
iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el
plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis
meses por causas no imputables al presunto infractor.
En cuanto a las sanciones, el plazo de prescripción comenzará a contar desde el día
siguiente a aquél en que adquiera firmeza la resolución por la que se impone la sanción.
La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del
procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado
durante más de seis meses por causa no imputable al infractor.
Página 11 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Como aproximación al procedimiento sancionador establecido por la LOPD, significar que, al igual
que el resto de procedimientos tramitados por la AEPD, éste se regirá supletoriamente por la
Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común. Las normas de procedimiento
administrativo son de aplicación específica al régimen de representación en este tipo de
procedimientos.
Es de destacar que las disposiciones contenidas en este capítulo, y que expondremos a
continuación, son de aplicación a los procedimientos relativos al ejercicio por la AEPD de la
potestad sancionadora que le viene atribuida por la LOPD, en la Ley 34/2002, de 11 de julio,
de Servicios de la Sociedad de la Información y de Comercio Electrónico, y en la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones.
Página 12 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Acedis Formación
http://www.acedis.com
info@acedis.com
Página 13 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde existir
denuncia o petición razonada, desde que el Director de la AEPD acordase la realización de dichas
actuaciones.
El vencimiento del plazo sin que haya sido dictado y notificado el acuerdo de inicio de
procedimiento sancionador producirá la caducidad de las actuaciones previas.
Las actuaciones previas serán llevadas a cabo por el personal del área de Inspección de
Datos habilitado para el ejercicio de las funciones inspectoras. Los funcionarios que
ejerzan la inspección tienen la consideración de autoridad pública en el desempeño de sus
cometidos. Además, estarán obligados a guardar secreto sobre las informaciones que
conozcan en el ejercicio de sus funciones, incluso después de haber cesado en las mismas.
Los inspectores podrán recabar cuantas informaciones
precisen para el cumplimiento de sus cometidos. A tal fin
están habilitados para requerir la exhibición de los
documentos y datos y examinarlos en el lugar en
que se encuentren depositados, como para obtener
copia de los mismos, inspeccionar los equipos
físicos y lógicos, así como requerir la ejecución de
tratamientos y programas o procedimientos de
gestión y soporte del fichero o ficheros sujetos a
investigación, accediendo a los lugares donde se
encuentren instalados.
En el desarrollo de las actuaciones previas se podrán
realizar actuaciones presenciales, esto es, visitas de
inspección por parte de los inspectores designados,
en los locales o sede del inspeccionado, o donde se
encuentren ubicados los ficheros, en su caso. A tal efecto,
los inspectores habrán sido previamente
autorizados por el Director de la AEPD. Esta
autorización se limitará a indicar la habilitación del
inspector autorizado y la identificación de la persona u
órgano inspeccionado.
Las inspecciones pueden realizarse en el domicilio del inspeccionado, en la sede o local concreto
relacionado con el mismo o en cualquiera de sus locales, incluyendo aquéllos en los que el
tratamiento sea llevado a cabo por un encargado.
En estos supuestos, las inspecciones concluirán con el levantamiento de la
correspondiente acta, en la que quedará constancia de las actuaciones practicadas durante la
visita o visitas de inspección. El acta, que se emitirá por duplicado, será firmada por los
inspectores actuantes y por el inspeccionado, que podrá hacer constar en la misma las
alegaciones o manifestaciones que tenga por conveniente. En caso de negativa del inspeccionado
a la firma del acta, se hará constar expresamente esta circunstancia en la misma. En todo caso,
la firma por el inspeccionado del acta no supondrá su conformidad, sino tan sólo la recepción de
la misma.
Finalmente, se hará entrega al inspeccionado de uno de los originales del acta de
inspección, incorporándose el otro original a las actuaciones.
Una vez concluidas las actuaciones previas, éstas se someterán a la decisión del Director de
la AEPD. Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de
infracción alguna, el Director de la AEPD dictará resolución de archivo que se notificará al
investigado y al denunciante, en su caso.
Página 14 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Con carácter específico, el acuerdo de inicio del procedimiento sancionador debe contener
los siguientes extremos:
Página 15 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Como complemento a esta explicación, puede consultar aquí las resoluciones de los procedimientos
sancionadores tramitados por la AEPD.
Por último y para finalizar con esta unidad didáctica, destacar que las resoluciones de la AEPD u
órgano correspondiente de la Comunidad autónoma agotan la vía administrativa.
4. RESUMEN DE LA UNIDAD. 0.
Página 16 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 17 de 19
IMPLANTACIÓN Y AUDITORÍA DE L.O.P.D.
MÓDULO - L.O.P.D.
U.D. 9 - Infracciones y Sanciones
Página 18 de 19