SANCIONES
Como no podía ser de otra manera, el Proyecto de Ley incorpora un régimen sancionador a aplicar en caso de vulneración del derecho fundamental a la protección de datos por incumplimiento de lo dispuesto en la Ley.
En un primer momento, llama la atención cómo, al hablar de sujetos potencialmente sancionables, la LOPD (LA LEY 4633/1999) del 99 se limitaba a los responsables del fichero y encargados del tratamiento, mientras que el Proyecto de Ley, en su artículo 70, añade, además, a los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, a las entidades de certificación y a las entidades acreditadas de supervisión de los códigos de conducta. Y deja, expresamente, fuera del régimen sancionador al DPO.
Por lo que se refiere a las infracciones, mantiene tanto la distinción de la LOPD (LA LEY 4633/1999) entre infracciones leves, graves y muy graves como los plazos de prescripción de las mismas en uno, dos y tres años y hace una enumeración de cada una de las tipologías.
De las infracciones del artículo 72 del Proyecto de Ley -las consideradas como muy graves- traemos a colación las que pueden resultar más llamativas o de mayor interés:
d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello
e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679 (LA LEY 6812/2007), sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica.
h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y 12 de esta ley orgánica.
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).
n) El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible.
De las infracciones contempladas en el artículo 73 y consideradas “graves”, destacamos las siguientes:
e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).
j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679 (LA LEY 6812/2007)
n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).
t) El tratamiento de datos de carácter personal sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y el artículo 34 de esta ley orgánica
De las consideradas como infracciones leves, contempladas en el artículo 74, destacamos las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).
g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).
m) La notificación incompleta o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679 (LA LEY 6812/2007).
p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 (LA LEY 6812/2007) y el artículo 34 de esta ley orgánica.
El Proyecto de Ley se remite a lo dispuesto en materia de sanciones en el Reglamento Europeo y en su artículo 76 incorpora algunos criterios de graduación de las sanciones entre los que cabe destacar: a) El carácter continuado de la infracción, la vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal y los beneficios obtenidos como consecuencia de la comisión de la infracción, la posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción y la existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
Por su parte, el apartado tercero del artículo 76 matiza que “Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679 (LA LEY 6812/2007)”
Por último, se indica que, cuando la AEPD haya impuesto a una persona jurídica una sanción que suponga una multa superior a un millón de euros los datos del infractor y la infracción cometida serán publicados en el BOE
|