Protección de datos: inspecciones y sanciones

  • Protección de datos: inspecciones y sanciones

  • Procedimientos a seguir por la AEPD para realizar inspecciones e imponer sanciones

  • Normativa del Real Decreto-ley 5/2018, de 27 de julio. Medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

 

1.- Protección de datos: inspecciones y sanciones: planteamiento

En nuestro caso, la protección de datos: inspecciones y sanciones, corresponde a la Agencia Española de Protección de Datos (AEPD). Por tanto, esta entidad está legitimada para la investigación y sanción de los incumplimientos que se produzcan en materia de protección de datos en el estado.

Sin embargo, la entrada en vigor del Reglamento Europeo de Protección de Datos, ha provocado la necesidad de adaptar la normativa de inspecciones y sanciones de las entidades de control, remitiendo el Reglamento Europeo, a la legislación de cada estado miembro.

Así pues, con el fin de regular el sistema de inspección y procedimiento sancionador, por quedar desplazadas numerosas normas de la Ley Orgánica de Protección de Datos (LOPD) y su Reglamento, se ha dictado la normativa que vamos a estudiar a continuación.

 

2.- Nueva normativa sobre Protección de datos: infracciones y sanciones

A fin de paliar esta situación, se ha publicado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Protección de datos: inspecciones y sanciones

Protección de datos: inspecciones y sanciones

Como indica su título, se trata de medidas urgentes para que la labor inspectora y sancionadora de la AEPD, tenga soporte legal.

Efectivamente, reza en su preámbulo:

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), es plenamente aplicable en España desde el pasado 25 de mayo”.

En consecuencia la norma estudiada establece el ámbito inspector de la AEPD, así como su alcance. Por otro lado, establece el procedimiento sancionador.

Se establecen los responsables, plazos de prescripción y procedimiento a seguir para tramitar sanciones.

 

 3.- Actividad investigadora de la Agencia Española de Protección de Datos

En primer lugar, señalaremos que dicha actividad, se llevará a cabo por los funcionarios de la Agencia; aunque también por funcionarios ajenos a ella, que expresamente hayan sido habilitados su Director.

De igual modo, se prevé  la investigación conjunta entre varios Estados Miembros (art. 62 del Reglamento UE). En este caso, las autoridades y personal de otros estados que colaboren con la AEPD, se someterán a la normativa española y a la dirección y en presencia del personal de la AEPD.

El RD, considera a los funcionarios que investiguen estos casos como agentes de la autoridad; obligados, por tanto a guardar secreto sobre las informaciones que conozcan.

 

4.- Contenido de la actividad investigadora: facultades de los agentes

Los agentes de investigación, podrán:

  1. Recabar información
  2. Realizar inspecciones
  3. Requerir la exhibición o el envío de documentos y datos necesarios
  4. Examinar los datos y documentos en el lugar en que se encuentren, o donde se realicen los tratamientos
  5. Obtener copias
  6. Inspeccionar los equipos físicos y lógicos
  7. Requerir la ejecución de tratamientos, programas, procedimientos de gestión y soporte del tratamiento investigado.

Sin embargo, para entrar en domicilios deben cumplir las normas procesales y obtener autorización judicial previa.

 

5.- Sanciones: sujetos responsables

Conforme al Reglamento (UE) 2016/679 y la normativa española de protección de datos serán responsables de las sanciones:

  • Los responsables  y encargados de los tratamientos.
  • Los representantes de los responsables o encargados de los tratamientos (si no están establecidos en el territorio de la UE).
  • Las entidades de certificación.
  • Las entidades acreditadas de supervisión de códigos de conducta.

De esta forma, expresamente se establece que el régimen sancionador, no se aplica al Delegado de Protección de Datos (DPO).

 

6.- Infracciones

Protección de Datos: Inspecciones y sanciones

Protección de datos: inspecciones y sanciones

Cita el RD como infracciones las contenidas en el Reglamento UE: art. 83, apartados 4, 5 y 6.

Con respecto al enunciado de dichas sanciones, dejamos al final un enlce a dicha norma para poder acceder a las mismas.

 

7.- Prescripción de las infracciones

Las infracciones art. 83 del Reglamento UE prescriben por el transcurso de:

7.1.- TRES AÑOS: (apartados 5 y 6) por infracciones de:

  • a).- Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento (arts. 8, 11, 25 a 39, 42 y 43).
  • b).- Los derechos de los interesados a tenor de los (arts. 12 a 22).
  • c).- Transferencias de datos personales a un destinatario en un tercer país o una organización internacional (arts. 44 a 49).
  • d).- Obligaciones impuestas por las normas que los estados miembros legislen, con arreglo al capítulo IX;
  • e).- Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control (art. 58, 2), o el no facilitar acceso (art. 58, 1).
  • f).- El incumplimiento de las resoluciones de la autoridad de control (art. 58, 2).

 

7.2.- DOS AÑOS: (apartado 4), incumplimiento de:

  • a).- Las obligaciones del responsable y del encargado (arts. 8, 11, 25 a 39, 42 y 43).
  • b).- Las obligaciones de los organismos de certificación (arts. 42 y 43).
  • c).- Las obligaciones de la autoridad de control (art. 41, 4).

 

8.- Interrupción de la prescripción:

  • a).- Se interrumpe por la iniciación, del procedimiento sancionador, con conocimiento del interesado. Consecuentemente, el plazo de prescripción se reinicia si el expediente sancionador permanece más de seis meses paralizado; siempre que  dicha demora no sea imputable al presunto infractor.
  • b).- Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.

 

9.- Prescripción de las sanciones

9.1.- Plazos de prescripción de las sanciones

Prescriben las sanciones impuestas según su cuantía, en los siguientes plazos:

  • a) un año-> sanciones por importe igual o inferior a 40.000 €.
  • b) dos años-> sanciones por importe entre 40.001 y 300.000 €.
  • c) tres años-> sanciones por un importe superior a 300.000 €.

9.2.- Cómputo del plazo de prescripción de sanciones

El cómputo del plazo de prescripción de las sanciones, comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución que la impone, o haya transcurrido el plazo para recurrirla.

Se interrumpe la prescripción de sanciones la iniciación, con conocimiento del interesado, del procedimiento de ejecución. Vuelve a transcurrir el plazo si el mismo está paralizado durante más de seis meses, por causa ajena al infractor.

 

10.- Procedimiento a seguir por vulneración de la normativa de PD

"Protección de Datos: inspecciones y sanciones,abogado bizkaia,abogado bilbao,protección de datos,

Protección de datos: inspecciones y sanciones

Los procedimientos tramitados por la AEPD se seguirán:

->1.- en el caso de que un afectado reclame no haberse atendido a su solicitud de ejercicio de sus derechos (los reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

->2.- en los que la AEPD investigue la existencia de una posible infracción de la normativa de protección de datos.

Los procedimientos tramitados por la AEPD se regirán por las siguientes normas, por este orden:

  • 1º.- El Reglamento (UE) 2016/679.
  • 2º.- La normativa española de protección de datos.
  • 3º.- Por lo dispuesto en las normas generales sobre los procedimientos administrativos (con carácter subsidiario).

 

11.- Iniciación y duración del procedimiento

11.1.- Iniciación y duración del procedimiento por falta de atención del ejercicio de derechos

Si el procedimiento se refiere exclusivamente a la falta de atención de una solicitud de ejercicio de derechos (arts. 15 a 22 del Reglamento (UE) 2016/679), se iniciará por acuerdo de admisión a trámite.

El plazo para resolver este procedimiento será de seis meses, desde la fecha de notificación al reclamante del acuerdo de admisión a trámite. Si transcurren los seis, sin resolución se considera estimada su reclamación (silencio administrativo positivo).

11.2.- Iniciación y duración del procedimiento por infracciones  al Reglamento UE2016/679

Cuando el procedimiento determina una posible infracción del Reglamento (UE 2016/679) y la normativa española de PD, se inicia mediante acuerdo de inicio, adoptado:

  • por iniciativa de la AEPD
  • como consecuencia de una reclamación

Cuando fuesen de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, que se notificará al interesado.

11.3.- Actuaciones de investigación

Bien cuando se admita a trámite una reclamación, o bien cuando la AEPD actúe por propia iniciativa, previamente al acuerdo de inicio, podrá existir una fase de actuaciones de investigación.

Protección de datos: inspecciones y sanciones

Protección de datos: inspecciones y sanciones

11.4.- Duración máxima del procedimiento

El procedimiento tendrá una duración máxima de nueve meses, desde la fecha del acuerdo de inicio o, del proyecto de acuerdo de inicio. Si transcurre dicho plazo se producirá su caducidad y el archivo de actuaciones.

El procedimiento puede iniciarse por la comunicación de una autoridad de control de otro Estado miembro, de la reclamación formulada ante la misma. Pudiendo la AEPD tener la condición de autoridad de control principal (arts. 56 y 60 Rglto. UE 2016/679). En este caso de aplicación lo dispuesto en esta norma (art. 8 apartados 1 y 2).

11.5.- Suspensión de los plazos de tramitación

Cuando deba obtenerse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un organismo de la UE o de la/s autoridades de control de los Estados miembros. El plazo transcurre desde la solicitud de la AEPD, hasta la notificación del pronunciamiento que se dicte.

 

12.- Fase de admisión a trámite de las reclamaciones

La AEPD debe evaluar la admisibilidad a trámite de cualquier reclamación que reciba.

12.1.- La AEPD no admitirá las reclamaciones cuando:

  • no se refieran a cuestiones de protección de datos
  • carezcan claramente de fundamento
  • sean abusivas
  • no aporten indicios racionales de la existencia de infracción.

12.2.- Inadmisión a trámite de una reclamación

La AEPD inadmitirá a trámite una reclamación, cuando el responsable o encargado del tratamiento, previa advertencia de la Agencia, haya adoptado las medidas correctivas para encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:

  • a) No se haya causado perjuicio al afectado.
  • b) Que el derecho del afectado se garantice aplicando las medidas.

La AEPD podrá remitir la reclamación al delegado de protección de datos (DPO), o al organismo de supervisión establecido para aplicar los códigos de conducta. Dicha comunicación tiene como fin dar respuesta a la reclamación en el plazo de un mes. Cuando no se hubiera designado un DPO, ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, la AEPD puede remitir la reclamación al responsable o encargado del tratamiento, para que dé respuesta a la reclamación en igual plazo.

Protección de datos: inspecciones y sanciones AEPD

Protección de datos: inspecciones y sanciones

Tanto la admisión, como la inadmisión a trámite, el acuerdo de remisión de la reclamación a la Autoridad de control competente, deben notificarse al reclamante en el plazo de tres meses. Transcurrido este plazo, sin dicha notificación, se entenderá sigue la tramitación de la reclamación (tres meses desde entrada de la reclamación a la AEPD).

 

13.- Competencia territorial

La AEPD antes de iniciar cualquier actuación, debe examinar su competencia, determinado el carácter nacional o transfronterizo, del procedimiento a seguir. Salvo en los supuestos de comunicación a la AEPD de la reclamación formulada ante una autoridad de control de otro Estado, cuando la AEPD tenga la condición de autoridad de control principal.

Al analiza su competencia, si considera que no tiene la condición de autoridad de control principal, remitirá, sin más trámite, la reclamación a la Autoridad de control principal que considere competente. La AEPD debe notificar esta circunstancia al reclamante.

 

14.- Actuaciones de investigación previas

Admitida a trámite la reclamación y antes del acuerdo de inicio de procedimiento, la AEPD puede realizar actuaciones previas de investigación para determinar los hechos y las circunstancias del caso.

Las actuaciones previas de investigación no podrán tener una duración superior a doce meses (desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación).

 

15.- Acuerdo de inicio del procedimiento sancionador

Terminadas las investigaciones previas, corresponde al Director de la AEPD, dictar acuerdo de inicio de procedimiento, si así procede (art. 60 del Rglto. UE 2016/679).

Dicho acuerdo  reflejará:

  • ->Los hechos constitutivos de la posible infracción
  • ->La identificación de la persona o entidad contra la que se dirige el procedimiento
  • ->La infracción que hubiera podido cometerse
  • ->Su posible sanción.

 

16.- Medidas provisionales

Entre las facultades  de la AEPD está la de poder acordar motivadamente (durante las actuaciones previas de investigación, o iniciado un procedimiento sancionador) medidas provisionales para salvaguardar el derecho fundamental a la protección de datos que sean:

  1. ->Necesarias
  2. ->Proporcionadas
Procedimientos a seguir por la AEPD para realizar inspecciones e imponer sanciones

Protección de datos: inspecciones y sanciones

Conforme al artículo 66.1 del Rglto. UE 2016/679, pueden ser:

  • El bloqueo cautelar de los datos
  • La cesación de su tratamiento
  • La obligación inmediata de atender el derecho solicitado
  • Proceder a su inmovilización (si se incumple la orden de bloqueo cautelar, por los responsables o encargados de tratamiento.

Cuando se presente ante la AEPD una reclamación relativa (aún en parte) a la falta de atención en plazo de los derechos ARCO y OLP (arts. 15 a 22 Rglto. UE 2016/679, Derechos de Acceso Rectificación, Cancelación y Oposición de la LOPD, y Olvido, Limitación y Portabilidad del Rglo. UE), la Agencia podrá acordar en cualquier momento, incluso antes de la iniciación del procedimiento, la obligación de atender el derecho solicitado. Esto se realizará mediante resolución motivada y previa audiencia del responsable del tratamiento. El procedimiento continuará su tramitación, respecto del resto cuestiones objeto de reclamación.

 

17.- Publicación de resoluciones de la AEPD

También,  la normativa estudiada determina las resoluciones de la AEPD que se publicarán por la misma:

  1. ->Las que declaren haber lugar o no a la atención de los derechos reconocidos en el  Reglamento (Rglto. UE 2016/679, arts. 15 a 22)
  2. ->Aquellas que pongan fin a los procedimientos de reclamación
  3. ->Las acuerden archivar las actuaciones previas de investigación
  4. ->Cuantas sancionen con apercibimiento a las entidades a que se refiere el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
  5. ->Cuantas impongan medidas cautelares
  6. ->Las demás que disponga su Estatuto

 

18.- Comentarios

Según su propio texto, la normativa comentada está vigente desde el 31 de Julio de 2018, si bien,  los procedimientos iniciados con anterioridad, se regirán por la normativa anterior.

Ha de tenerse en cuenta que el RD deroga diversos preceptos de la LOPD 15/1999 (art. 40, 43, 44, 45, 47, 48 y 49 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal). Dejando vigente el artículo 46 sobre infracciones de las administraciones públicas.

Por supuesto que, si el nuevo sistema sancionador  es más favorable para el infractor, se aplicará éste y no el anterior.

Respecto de las infracciones y sanciones, el RD se remite al Reglamento Europeo, sin especificar más que el procedimiento a seguir, plazos, actuaciones, prescripción, etc…

La LOPD consideraba sujetos al régimen sancionador a:

  • los responsables de los ficheros y a
  • los a encargados de tratamiento.

Dicha responsabilidad se amplía además por el Rglto. EU a:

  • los organismos de certificación y a
  • los organismos de supervisión de códigos de conducta.

Por su parte el Real Decreto Ley comentado aumenta dicha lista para: los representantes de los responsables o encargados de los tratamientos establecidos fuera del territorio de la UE.

No se incluye dentro de los sujetos responsables a los Delegados de Protección de Datos (DPO) que están exentos de responsabilidad.

 

19.- Enlaces a las normas

Protección de Datos: inspecciones y sanciones,abogado bizkaia,abogado bilbao,protección de datos,* Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

* Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

* Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre

* Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

 

 

Contenido
1
Presentación
1
Gráficos
1
Conjunto
1
Promedio
  Cargando por favor espere yasr-loader
¿Ha sido útil? ¡ Con tu opinión mejoraremos! ¡Gracias!
[opiniones: 1 valoración media: 5]
Compártelo!

No Hay Comentarios

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *