Criterios de graduación de las sanciones en la normativa de protección de datos.

por Jorge Campanillas Ciaurriz

publicado el 5 febrero 2010

Categorías: Abogados LOPD / LOPD / Protección de Datos / Resoluciones

Siempre hemos criticado las graves sanciones que conllevan el incumplimiento de la normativa de protección de datos de carácter personal. No creo que haga falta recordar, tras 10 años de aplicación de la LOPD, que las sanciones por infracciones de la normativa van desde los 600 Euros hasta los 600.000 Euros dependiendo de la gravedad del asunto. Calificándose las infracciones en leves, graves y muy graves. Ante esta espada de Damocles que cuelga sobre nuestras cabezas por la facilidad existente para cometer un error en el cumplimiento de la normativa, así como la, también, fácil forma de denunciar los hechos ante la Agencia Española de Protección de Datos son muchos los denunciados que se acogen, en último término, al art. 45.5 de la LOPD. Artículo que establece la posibilidad de la graduación de la sanción:

Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediantamente en gravedad a aquella en que se integra la considerada en el caso de que se trate.

La AGPD, personalmente creo, que conocedora de la situación de la economía actual, de la inestabilidad actual de las empresas, del tamaño de las mismas, o del daño que puede hacer la imposición de sanciones tan graves en su propia imagen, gradúa las sanciones a veces de una forma un tanto curiosa. Si cogemos diferentes resoluciones de la Agencia veremos a que nos estamos refiriendo (ojo, con ello, no quiero criticar a la AGPD, aunque a veces se lo merezca, sino que creo que entiende que en algún caso la gravedad de los asuntos no merecen tal castigo pecuniario), veamos:

• Infracción del artículo 6.1 de la LOPD, tipificada como GRAVE: Multa de 3000 Euros. En este caso, los hechos que se sancionaron fueron por la publicación en Internet sin el consentimiento de los afectados de los resultados de unos campeonatos. La Agencia aplica el art. 45.5 al entender que queda acreditada la ausencia de intencionalidad de la misma.

• Infracción del artículo 9 de la LOPD, tipificada como GRAVE: Multa de 6.000 € Típico caso de documentos incorrectamente tirados a la basura por una entidad financiera. La Agencia, con buen criterio, rebaja la sanción por: Valorando las circunstancias del presente caso, donde se ha establecido en los hechos probados que se trató de un hecho puntual; que la entidad ha reconocido su responsabilidad y que la documentación procedió de dicha sucursal, que dispone de documento de seguridad, que ha realizado dos auditorías para adecuar el Banco a la normativa de protección de datos, se imparte a los trabajadores instrucciones sobre la destrucción de documentación, disponiendo la entidad de medidas de seguridad. Debe entenderse que operan dichas circunstancias atenuantes de la responsabilidad; aplicadas ya por esta Agencia, en otros procedimientos similares relativos a la localización en la vía pública de documentación con datos de carácter personal. Es decir, si has hecho todo lo posible por cumplir con la normativa, se verá, en cierta forma, recompensado. Aunque ya sabemos que el cumplimiento de las medidas de seguridad es una obligación de resultado.
  

• Infracción del artículo 11.1 de la LOPD, tipificada como MUY GRAVE: Multa de 60.101,21 €. Este caso se produjo, en medio de un divorcio, un centro médico facilitó datos del historial clínico sin la autorización del paciente en este caso a la expareja. La Agencia rebaja la sanción puesto que: A este respecto cabe apreciar una cualificada disminución de la culpabilidad, por cuanto “la única intención que presidió el comportamiento del personal del centro fue prestar un buen servicio y de este modo, no provocar un perjuicio mayor ni para la paciente ni para el centro hospitalario.” Es decir, hubo una vulneración flagrante del deber de secreto, pero atenúa la sanción porque la intención ¿fue dar un buen servicio?.

Está claro que, en el caso de que nos vayan a sancionar, tendremos que hacer todo lo posible por intentar que se nos aplique la graduación de la sanción establecida en el artículo 45.5 de la LOPD.