TEXTO DEFINITIVO DE LA LOPD - CONFIDENCIALIDAD EN INTERNET

General

La disposición final quincuagésima sexta de la Ley de Economía Sostenible —que entró en vigor el pasado 6 de marzo tras su publicación un día antes en el BOE— ha venido a introducir cambios en los arts. 43, 44, 45, 46 y 49 Ley Orgánica de Protección de Datos (en adelante LOPD), que se enmarcan en el Título VII, referido a las infracciones y sanciones.

Uno de los artículos donde se concentran varias de las principales modificaciones es el art. 44, que tiene que ver con los tipos de infracciones. Éste incluye cambios en la tipificación de las infracciones, suprimiendo algunos supuestos y modificando e introduciendo otros. Por ejemplo, en lo que respecta a las infracciones leves, se elimina del listado el hecho de no atender por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda, así como incumplir el deber de secreto establecido en el art. 10 de la Ley, salvo que constituya infracción grave.

Con la nueva redacción se considera infracción leve no remitir a la AEPD las notificaciones previstas en la Ley o en sus disposiciones de desarrollo y el incumplimiento del deber de información del afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado. Se incorpora asimismo una nueva infracción leve: la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el art. 12 de la Ley.
Respecto de las infracciones graves ya no figura como tal proceder a la creación de ficheros de titularidad privada o iniciar la recogida de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. Tampoco mantener datos personales inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la LOPD ampara. De igual forma, no se considera infracción grave no inscribir el fichero de datos de carácter personal en el Registro General de Protección de Datos cuando haya sido requerido para ello por el director de la Agencia.
Por otra parte, se transforman algunos supuestos ya existentes, figurando como infracción grave tratar datos personales sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la Ley y sus disposiciones de desarrollo; así como tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el art. 4 de la Ley, salvo que sea constitutivo de infracción muy grave.
Igualmente, quedan fijadas como infracciones graves el impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición (antes sólo se hablaba de acceso y oposición); vulnerar el deber de secreto acerca del tratamiento de los datos de carácter personal al que se refiere el art. 10 de la Ley, o no atender los requerimientos o apercibimientos de la AEPD, o no proporcionar a aquella cuantos documentos e informaciones sean solicitados por la misma.

Aunque quizá la inclusión más destacada en el listado de infracciones graves es la que hace referencia a la comunicación o cesión de datos sin legitimación, cuyo tratamiento sólo se considerará infracción muy grave cuando afecte a los apartados 2, 3 y 5 del art. 7 de la Ley, que trata de los datos especialmente protegidos.

En relación con las infracciones muy graves, se elimina la citada referencia a la comunicación o cesión de datos personales fuera de los casos en que estén permitidas, así como las letras f) y siguientes, que consideraban muy grave tratar datos personales de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación; la vulneración del deber de secreto sobre datos de salud (apartados 2 y 3 del art. 7), así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas; no atender u obstaculizar, sistemáticamente, el ejercicio de derechos de acceso, rectificación, cancelación y oposición, y no atender de forma sistemática el deber legal de notificar la inclusión de datos personales en un fichero.
Finalmente, se modifican las letras relacionadas con el tratamiento o cesión de los datos referidos a datos de salud (apartados 2, 3 y 5 del art. 7); la no cesación en el tratamiento ilícito de datos cuando existiese un requerimiento del director de la Agencia para ello, y la transferencia internacional de datos con destino a países que no proporcionan un nivel de protección equiparable sin autorización del director, introduciendo la salvedad de que no será infracción muy grave en los supuestos en los que conforme a la Ley y sus disposiciones de desarrollo dicha autorización no resulte necesaria.

El otro gran bloque donde se ubican las modificaciones más importantes es en el art. 45, que recoge el tipo de sanciones. Se sube el suelo y se baja el techo de las infracciones leves, de tal forma que si antes la mínima penalización de una infracción leve eran 600 euros, ahora son 900, y si antes el tope eran 60.000 euros, ahora son 40.000. Este techo de 40.000 para las leves sitúa el suelo de las infracciones graves en 40.001 euros, manteniendo el máximo en 300.000 euros. Las muy graves siguen siendo sancionadas con multa de 300.001 a 600.000 euros.

Dentro de este mismo artículo se introducen nuevos criterios a tener en cuenta a la hora de graduar la cuantía de las sanciones. Así, se incluye la posibilidad de valorar el volumen de negocio o la actividad del infractor, así como la acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad tenía implantados procedimientos adecuados en la recogida y tratamiento de datos personales, tratándose de una anomalía no debida a una falta de diligencia exigible al infractor.

También hay cambios respecto de los criterios para atenuar la cuantía de la sanción (que en virtud del art. 45.5 permiten aplicar la escala inferior en gravedad de las sanciones), como el hecho de que la entidad infractora haya regularizado la situación irregular de forma diligente; la apreciación de que la conducta del afectado haya podido inducir a la comisión de la infracción; el reconocimiento espontáneo de la culpabilidad por el infractor, o que se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, sin que sea imputable a la entidad absorbente.
Además, se crea un nuevo apartado en el art. 45 (el sexto) que introduce la medida del apercibimiento. Se trata de una medida excepcional y limitada —que se da cuando concurran de forma significativa los citados criterios de atenuación— que permite avisar de la irregularidad y requerir la adopción de las medidas que resulten oportunas en un plazo determinado. No obstante, esta medida está reservada a casos en que los hechos sean constitutivos de infracciones leves o graves, y cuando el infractor no hubiese sido sancionado o apercibido con anterioridad.

En relación con el apercibimiento, hay que tener en cuenta que si éste no se cumple en el plazo establecido, provocará la apertura de un procedimiento sancionador por dicho incumplimiento.

A juicio de la Agencia Española de Protección de Datos, estas modificaciones «recogen en gran medida la experiencia acumulada por la AEPD con el objetivo de aportar mayor seguridad jurídica y mayor precisión en la aplicación de la norma, así como ampliar los criterios de modulación y adecuación de las sanciones».

La información al usuario sobre lo que publica en Internet es nula, según el director de la AEPD

La información que se ofrece al usuario sobre qué se hace con sus datos personales en las redes sociales o cuál puede ser el alcance de lo que publica en Internet es «extremadamente deficiente, por no decir nula», ha señalado Artemi Rallo, director de la Agencia Española de Protección de Datos (AEPD).

En el marco de la Cumbre Anual de la Asociación Internacional de Profesionales de la Privacidad (IAPP) celebrada en Washington, Rallo ha añadido que la naturaleza cambiante de las nuevas tecnologías deja al usuario desconcertado ante las posibilidades que ofrecen, y prácticamente ciego ante «políticas de privacidad que nadie lee, o que son sencillamente ilegibles». Ante ese panorama, redes como «Facebook tienen que hacer de la información al usuario la columna vertebral que legitime su servicio», ha indicado.

Pero la expansión descontrolada de las tecnologías de la información hace cada vez más difícil «luchar contra las brechas» en la privacidad, por lo que Rallo considera clave que tanto las sociedades de protección de datos como la industria no se dediquen sólo a reaccionar, y tomen en cambio «medidas preventivas». En ese sentido, la AEPD tiene esperanzas en la revisión que la Comisión Europea está haciendo de su Directiva Europea de Protección de Datos, para incorporar más medidas que hagan responsables a las empresas ante sus violaciones de privacidad.