Pistoletazo de salida para la modificación del régimen sancionador de la LOPD

Miniatura noticia

Que el régimen sancionador establecido en la LOPD para el sector privado es el más duro de Europa no lo duda nadie. Son muchos los foros en los que desde hace tiempo se viene solicitando una revisión del mismo, tanto en lo referente a la redefinición de la tipificación de las infracciones, como en cuanto a la cuantificación de las sanciones y a la introducción de criterios objetivos para su moderación. Pero lo cierto es que nadie daba se había atrevido a coger el toro por los cuernos y abrir este melón.Pero la situación ha cambiado, porque, aprovechando la llegada del Proyecto de Ley de Economía Sostenible al Senado, el Grupo Parlamentario Catalán en el Senado de Convergència i Unió, entre otras (hay, por ejemplo, otra muy interesante propuesta de modificación de la LAU por la que se calificaría como arrendamiento para uso distinto de vivienda los arrendamientos de vivienda con opción de compra, de forma que los mismos no se regirían por el Título II de norma, sino por lo que libremente pacten las partes, de forma que el contenido del contrato se adecúe a la finalidad pretendida por las partes que, en el caso del promotor/vendedor, no pasa en muchas ocasiones por tener un inquilino cinco años, sino por vender la vivienda), ha presentado una enmienda de adición por la que se propone añadir al proyecto de referencia una Disposición Final nueva para la modificación del Título VII de la LOPD, es decir, de las infracciones y sanciones contempladas en dicha norma.

Siendo criticable la vía elegida, porque qué manía la de nuestros políticos la de legislar aprovechando que el Pisuerga pasa por Valladolid, nuestro aplauso por esta iniciativa, puesto que introduce ¡por fín! en el marco parlamentario el debate sobre la adecuación a la realidad social y económica del régimen sancionador en materia de protección de datos personales.Entendemos que la propuesta de CIU representa el pistoletazo de salida para buscar un consenso en este tema, que ya salió a colación durante la pasada comparecencia anual del Director de la AEPD ante la Comisión Constitucional del Congreso de los Diputados, precisamente a preguntas del representante del grupo catalán y también del grupo popular, y que no fue vista con malos ojos por Artemi Rallo, si bien recalcó que la competencia no era de la AEPD, sino del Parlamento, donde está ahora la pelota.¿Y abierto el melón, será difícil alcanzar un consenso? No debería, porque de las opiniones pulsadas todo el mundo está de acuerdo en la necesidad de la reforma; y porque, tal y como establece la Disposición Final Segunda de la LOPD, su título VII tiene carácter de Ley ordinaria, no orgánica, de forma que no se necesita para su modificación de mayorías cualificadas.¿Y en cuanto al contenido de la modificación? Ya veremos cómo queda el tema después del paso por el Senado y la vuelta al Congreso del anteproyecto. Como punto de partida, la propuesta de CIU, que contiene propuestas interesantes, como la propuesta de tipificación como infracción leve de la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de la LOPD; o la introducción de criterios atenuadores de la responsabilidad; o la posibilidad, caso de no tener “antecedentes infractores eleopedianos”, de que la comisión de una infracción leve o grave no conlleve aparejada la imposición de sanción, sino la obligatoriedad de implementar las medidas correctoras que la AEPD disponga. No obstante, no nos gusta que esta última posibilidad se contemple con meramente carácter excepcional y que quede su aplicación al arbitrio de la AEPD. Pero esto acaba de empezar y hay tiempo y posibilidades para mejorar la propuesta.

Para empezar, os dejamos un cuadro comparativo entre la redacción actual y la propuesta por CIU para los artículos afectados por la reforma. Y puedes descargar el texto completo de la enmienda en el enlace en el siguiente párrafo.

Descargar Boletín del Senado con la propuesta de CIU de modificación de la LOPD

¿Y vosotros qué opináis? En Privacidad Práctica nos interesaría conocer vuestro parecer sobre este asunto, así que os animamos a que dejéis vuestros comentarios, a ver si entre todos logramos tener una línea de debate interesante.

ART REDACCIÓN ACTUAL MODIFICACIÓN PROPUESTA
43.2 Cuando se trate de ficheros de los que sean responsables las Administraciones públicas se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en el art. 46, apartado 2. Cuando se trate de ficheros de titularidad pública se estará, en cuanto al procedimiento y a las sanciones, a lo dispuesto en los artículos 46 y 48 de la presente Ley.
44.2 Son infracciones leves:a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.b) No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.c) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el art. 5 de la presente Ley.e) Incumplir el deber de secreto establecido en el art. 10 de esta Ley, salvo que constituya infracción grave. Son infracciones leves:a) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo.b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos.c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado.d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley.
44.3 Son infracciones graves:a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente.b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.e) El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.i) No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.j) La obstrucción al ejercicio de la función inspectora.k) No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia Española de Protección de Datos.l) Incumplir el deber de información que se establece en los arts. 5, 28 y 29 de esta Ley, cuando los datos hayan sido recabados de persona distinta del afectado. Son infracciones graves:a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín oficial del Estado” o diario oficial correspondiente.b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave.d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley.e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado.g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por esta Ley y sus disposiciones de desarrollo.h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.i) No atender los requerimientos o apercibimientos de la Agencia Española de Protección de Datos o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma.j) La obstrucción al ejercicio de la función inspectora.k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en esta Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave.
4.4 Son infracciones muy graves:a) La recogida de datos en forma engañosa y fraudulenta.b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del art. 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del art. 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del art. 7.d) No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso.e) La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.f) Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del art. 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.h) No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.i) No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero. Son infracciones muy graves:a) La recogida de datos en forma engañosa o fraudulenta.b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la Agencia Española de Protección de Datos para ello.d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria.”
45.1 a 45.3 1. Las infracciones leves serán sancionadas con multa de 601,01 a 60.101,21 euros.2. Las infracciones graves serán sancionadas con multa de 60.101,21 a 300.506,05 euros.3. Las infracciones muy graves serán sancionadas con multa de 300.506,05 a 601.012,10 euros. 1. Las infracciones leves serán sancionadas con multa de 600 a 30.000 euros.2. Las infracciones graves serán sancionadas con multa de 30.001 a 300.000 euros.3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.
45.4 La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:a) El carácter continuado de la infracción.b) El volumen de los tratamientos efectuados.c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.d) El volumen de negocio o actividad del infractor.e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.f) El grado de intencionalidad.g) La reincidencia por comisión de infracciones de la misma naturaleza.h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
45.5 Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. 5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia. de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.e) Cuando se hay producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.”
45.6 7   Pasan a ser respectivamente 45.7 y 8
45.6 Nuevo Excepcionalmente el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos:a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.”
46.1 Cuando las infracciones a que se refiere el art. 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia Española de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera.
46.2 2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas. El órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas
46.3 Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
  En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia Española de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas. En los supuestos, constitutivos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación o transferencia internacional posterior pudiera suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, el órgano sancionador podrá, mediante resolución motivada, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas

11 comentarios

  1. Luis Salvador Montero
    31 de enero de 2011 @ 18:53

    Como siempre, enhorabuena por el comentario…

    Sin entrar en el tema de la cuantificación de las sanciones que puedo ver más o menos bien, me desconcierta la propuesta de “nuevo 45.6” por el cual, una misma conducta, en unos casos acabará en sanción, y en otros, “excepcionalmente” en un mero apercibimiento al incumplidor para que cese en su actuación o tome las medidas oportunas para cumplir, aunque esto, por desgracia, ya lo ha hecho en otras ocasiones la Agencia (por ejemplo, con los hospitales privados -de las diferencias en trato con los públicos, mejor ni hablamos- que incumplían y cuyo incumplimiento salió a la luz con objeto del estudio de cumplimiento que realizó el pasado año la Agencia…)

    En cualquier caso, habrá que estar a la aprobación o no de la enmienda de adición propuesta.

    Saludos cordiales, Luis Salvador Montero.

    Responder

    • Alfonso Pacheco
      1 de febrero de 2011 @ 06:41

      Buenos días, Luís.
      A mi el 45.6 nuevo me parece una buena propuesta, siempre y cuando pierda su carácter excepcional y se objetivice su aplicaciób, huyendo de la discrecionalidad de la AEPD en su aplicación. Creo que es un primer paso para la búsqueda de la racionalidad en la aplicación del régimen sancionador de la LOPD. No puede ser que a la Pyme, por ser objeto de una denuncia por una actuación puntual, le metas un rejón de 30.000.-€, por ejemplo, de buenas a primera. A cualquiera de nosotros nos hunden el chiringuito. Este es uno de los grandes absurdos a corregir en el mundo eleopediano, tan elevado a los altares y tan falto de mesura.
      Saludos,
      Alfonso

      Responder

      • Luis Salvador Montero
        1 de febrero de 2011 @ 09:32

        Cito de tu contestación: “…siempre y cuando pierda su carácter excepcional y se objetivice su aplicación, huyendo de la discrecionalidad de la AEPD en su aplicación…”

        Luego, ya de plantear una enmienda a la Ley, déjala lo sufientemente matizada para evitar este carácter excepcional, y, sobre todo, como muy bien dices, la discrecionalidad de la Agencia en su interpretación y aplicación…

        Yo no digo que no me parezca bien la medida, sino que le enmienda, la trata, en mi opinión, como un “parche mal puesto” cuando lo lógico a estas alturas, sería cambiar la cámara de la rueda por cuatro euros más 😉 No entiendo que se tiren dos folios tipificando infracciones y luego en cuatro líneas, abran la puerta a esta doble vara de medir que seguro será muy bien utlizada por la DPA ;))))

        Anoche leía en Twitter otro comentario que en cierto modo comparto, sobre la enmienda que criticaba, el uso del volumen de negocio de la empresa infractora como un criterio de regulación de las sanciones y de la aplicación de este 45.6 propuesto… O sea, que si, por ejemplo, “Viviendas Orientables Las Lechuguinas, S.L.U.” me frie a correos electrónicos y tiene un volumen de negocio de 12.000 euros anuales, y nunca fue sancionada por “conductas similares”, la apercibo y punto, pero si es la FNAC, le meto 30.000… No lo entiendo (ni creo que la FNAC lo entienda), puesto que el derecho vulnerado, es exactamente el mismo, y la conducta del infractor idéntica. Pero es sólo mi opinión.

        Buen día.

        Responder

        • Alfonso Pacheco
          1 de febrero de 2011 @ 11:36

          Hola Luís.
          No es un tema sencillo, pero si creo que hay coincidencia generalizada en que de algún modo debe cambiarse el régimen sancionador y buscar otros criterios. Me parece que los tiros en este tema irían por considerar como excepcional infracciones cometidas por sujetos sin actividad económica, como puede ser una Comunidad de Propietarios, a los que la AEPD venía en su caso imponiendo en temas relativos a videovigilancia sanciones mínimas de 600.-€. Pero no creo que deba limitarse a estos casos la aplicación de esa norma, sino que esa excepción debiera tender a ser la norma general

          Responder

  2. Álvaro Del Hoyo
    1 de febrero de 2011 @ 08:52

    Buenas,

    Interesante iniciativa.

    Para eliminar la posible discrecionalidad de la AEPD en el establecimiento del importe de las sanciones quizás fuera mejor deshacerse del actual modelo de establecimiento del importe de las sanciones con un mínimo y un máximo por tipo de infracción para pasar a uno basado en la cantidad mayor entre

    a) en caso de ser viable su cálculo, multiplicar por un factor el beneficio obtenido con la infracción,
    b) aplicar un porcentaje para cada tipo de infracción sobre el volumen de negocio o actividad del infractor,
    c) una cantidad prefijada para cada tipo de infracción.

    Asimismo, en su caso habilitar a la AEPD para imponer sanciones de amonestación pública, con publicación en el Boletín Oficial del Estado y en dos periódicos de difusión nacional, una vez que la resolución sancionadora tenga carácter firme.

    Tenemos un buen ejemplo en la Ley General de Telecomunicaciones.

    Por otra parte, aunque esto ya afecta a una parte de la LOPD con carácter orgánico, quizás fuera oportuno aclarar la diferencia entre actos constitutivos de una mera vulneración del deber de secreto o de una cesión ilícita.

    En el caso de los datos especialmente protegidos puede caber la duda de si ante una fuga de datos nos aplicarán la infracción grave por vulneración de secreto o la muy grave por cesión no autorizada. ¿Ha de darse en el caso de la cesión ilícita un elemento volitivo de entregar a un tercero o al menos de conocimiento de la entrega de los datos?

    En cualquier caso no entiendo esa rebaja de nivel de la infracción por vulnerar el secreto de datos especialmente protegidos, que entiendo requieren una especial diligencia. Al menos creo que en los criterios para la graduación de la sanción podría haberse añadido un apartado relativo a la naturaleza de los datos, quizás incluso diferenciando datos resultado de análisis de perfiles y datos especialmente protegidos. Y no dejarlo al cajón de sastre del apartado j) del nuevo art. 45.4 LOPD

    Veremos qué surge de todo esto.

    Un saludo

    Responder

    • Alfonso Pacheco
      1 de febrero de 2011 @ 11:29

      Hola Álvaro, gracias por tu interesante aportación.
      Sin duda, introduce nuevos elementos en este debate que espero animen a más gente a participar
      Un saludo,
      Alfonso

      Responder

  3. Luis Salvador Montero
    3 de febrero de 2011 @ 08:59

    Refelexiones en la ducha :D:

    Dandole vueltas y vueltas al asunto de la propuesta de nuevo 45.6, Alfonso, ¿no crees que, caso de aprobarse la enmienda, puede ser entendida por las empresas, en general, como una especie de “moratoria” para el cumplimiento de las normas en la materia?… quiero decir, si soy un pequeño empresario y sé que la primera no me van a sancionar precisamente porque soy pequeño y que sólo me van a apercibir para que abandone “el lado oscuro del incumplimiento”, hasta que no me aperciban, no tengo ningún interés en cumplir… y menos si adaptarme me cuesta dinero y estoy en una situación de crisis como la actual…

    Y si esto ocurre, ¿no supondría un retroceso en la “difusión” de la importancia del cumplimiento en la materia?…

    A ver cuando aprendo a ducharme dejando la mente “en blanco” 😉

    Un abrazo.

    Luis Salvador Montero

    Responder

    • Alfonso Pacheco
      3 de febrero de 2011 @ 10:53

      Don Luís, buenos días.
      Entiendo que habrá que esperar a ver en qué términos se aprueba la reforma y cómo se define o limita el tema de la excepcionalidad, concepto jurídico indeterminado y, por lo tanto, proclive a la generación de inseguridad jurídica. No creo que se interprete como moratoria. Mira lo que pasa ahora: si te pillan incumpliendo, crujido económico que te pego. ¿Ha generado esta “amenaza” que la gente corra a implantar la LOPD? Pues no. El grado de incumplimiento en el sector privado y en el público ya lo conocemos todos, cuando debería estar todo el mundo adecuado a la norma.
      Personalmente no creo que la excepcionalidad se aplique a aquellos supuestos en los que el responsable de ficheros no tiene hecho nada en materia de LOPD, no se tendrá bula. Aparte de los supuestos que comenté el otro día, se me ocurre que también se aplicará esta excepcionalidad para mitigar el carácter resultadista de las obligaciones que marca la Ley, es decir: tengo medidas de seguridad implantadas pero por lo que sea han resultado insuficientes. Ahí sí creo que en vez de sancionar se procederá al tirón de orejas a modo de lo que pasa en el sector público.
      Y con independencia de todo, si no hay sanción y si requerimiento de lo que no cabe duda es que para cumplir el requerimiento la implantación o complementación de lo que ya se tiene va a ser necesario, y para ello lo lógico será seguir contando con asesoramiento.

      Alfonso

      Responder

  4. Alejandro Espinosa
    11 de febrero de 2011 @ 20:53

    Hola a todos!
    La verdad es que me he pasado años pidiendo que se regule de algun modo el art 45 para evitar la discrecionalidad que solo puede crear inseguridad juridica ya que un mismo hecho es sancionado con importes distintos y la propuesta es todavia PEOR.
    Si como se ha dicho despues de 10 años y con la amenaza de sanciones muy importantes el 80% de las PYMES no cumplen la LOPD que pasara cuando la Agencia tire de excepcionalidad y todo se quede en un tiron de orejas? Os recuerdo que vivimos en el pais de Rinconete y Cortadillo y que la cultura empresarial española en estos temas es: “Me sale mas barato que me pongan una multa que cumplir”.

    Puestos en este plan, porque no olvidarnos de todas las entidades que no manejen datos de nivel alto, por ejemplo. En la practica diaria seria mucho mas logico eso que dar segundas oportunidades que solo contribuiran a un incumplimiento mayor todavia…

    En fin señores, empezamos a buscar otro negocio?? 😉

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*