Sanciones Por Uso Inadecuado De Los Datos

Infracciones y sanciones por irregularidades en el tratamiento de datos.

De acuerdo con la práctica usual, la LOPD se limita a tipificar unos supuestos genéricos de responsabilidad administrativa, recogiendo una gradación de infracciones que sigue la habitual distinción entre leves, graves y muy graves, y que toma como criterio básico le de los bienes jurídicos emanados.

Las sanciones, a su vez, difieren según los ficheros indebidamente utilizados sean públicos o privados: en el primer caso, procederá la responsabilidad disciplinaria, sin perjuicio del defensor del pueblo; para el segundo se prevén sanciones pecuniarias.

1) Régimen sancionador de la LOPD

• Personas sujetas al régimen sancionador: Las personas sujetas al régimen sancionador en materia de protección de datos, se reducen a los responsables de los ficheros y los encargados de los tratamientos. Quiere decir que, en principios las personas o empleados dentro de la organización del responsable del fichero o del encargado del tratamiento, no tiene ninguna responsabilidad en el tratamiento que estén llevando a cabo de los datos, siempre y cuando lo realicen en el marco de las funciones y obligaciones de su contrato con el responsable o el encargado del tratamiento.

No obstante, cuando el empleado el encargado del tratamiento lleva a cabo un actividad fuera del marco de su relación laboral o dentro de la misma pero vulnerando las instrucciones de su empleador, se está convirtiendo en un nuevo responsable puesto que está decidiendo sobre la finalidad, contenido y uso del tratamiento y desde este punto de vista si debería ser considerado sujeto al marco del régimen sancionador de la LODP.

• Infracciones de las personas de naturaleza privada: respecto a la comisión de las infracciones y la imposición de la correspondiente sanción, interesa destacar que con el responsable y el encargado del tratamiento sean personas físicas y/o jurídicas de naturaleza privada, las sanciones previstas en la ley son de naturaleza económica.

• Infracciones administrativas: por el contrario, cuando las infracciones fuesen cometidas en ficheros de los que sean responsables las administraciones públicas, el director de la agencia de protección de datos dictara una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de las infracciones. Esta resolución se le notificara al responsable del fichero, al órgano que dependa jerárquicamente y a los afectados si los hubiera.

2) Tipos de infracciones

Las infracciones tipificadas en la ley se clasifican como leves, graves y muy graves, en función de los hechos cometidos.

1) Infracciones leves:

a) No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales de tratamiento cuando legalmente proceda.

b) No proporcionar la información que solicite la APD en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.

c) No solicitar la inscripción del fichero de datos de carácter personal en el registro general de protección de datos, cuando sea constitutivo de infracción grave.

d) Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la LOPD

e) Incumplir el deber de secreto, salvo que constituya infracción grave.

2) Infracciones graves.

a) Proceder a la creación de ficheros de titulación pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general.

b) Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legitimo de la empresa.

c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que este sea exigible.

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituyan una infracción grave

e) Mantener los datos de carácter personal inexacto o no efectuar las rectificaciones o cancelaciones

...