¿Quiénes son sujetos responsables de infracciones en protección de datos dentro del sector público?

Están sujetos al régimen sancionador dispuesto en el RGPD y en la LOPDGDD:

• Los responsables de los tratamientos.
• Los encargados de los tratamientos.
• Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE.
• Las entidades de certificación.
• Las entidades acreditadas de supervisión de los códigos de conducta. 

A TENER EN CUENTA. No será de aplicación al DPD el régimen sancionador dispuesto en el título IX de la LOPDGDD (artículo 70.2 de la LOPDGDD).

El régimen dispuesto en el artículo 77 de la LOPDGDD será de aplicación a los tratamientos de los que sean responsables o encargados:

• Los órganos constitucionales o con relevancia constitucional y las instituciones de las CC. AA. análogas a los mismos.
• Los órganos jurisdiccionales.
• La AGE, las Administraciones de las CC. AA. y las entidades que integran la Administración local.
• Los organismos públicos y entidades de derecho público vinculadas o dependientes de las Administraciones públicas.
• Las autoridades administrativas independientes.
• El Banco de España.
• Las corporaciones de derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
• Las fundaciones del sector público.
• Las universidades públicas.
• Los consorcios.
• Los grupos parlamentarios de las Cortes Generales y las asambleas legislativas autonómicas, así como los grupos políticos de las corporaciones locales.

Cuando dichos responsables o encargados cometiesen alguna de las infracciones contenidas en los artículos 72 a 74 de la LOPDGDD, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

A TENER EN CUENTA. El artículo 77 de la LOPDGDD ha visto modificado su apartado segundo con la entrada en vigor el 10 de mayo de 2023 de la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos.

Sin perjuicio de lo dispuesto con anterioridad, el apartado tercero del precepto de referencia dispone que:

• La autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En dicho supuesto, el procedimiento y las sanciones a aplicar serán las dispuestas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
• Cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

A mayor abundamiento, los responsables enumerados en el apartado primero del artículo 77.1 de la LOPDGDD:

• Deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad (D.A. 1.ª.2. de la LOPDGDD).
• Podrán comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando (D.A. 10.ª de la LOPDGDD):
• Cuenten con el consentimiento de los afectados.
• Aprecien que concurre en los solicitantes un interés legítimo que prevalezca sobre los derechos e intereses de los afectados de acuerdo con lo dispuesto en el artículo 6.1 f) del RGPD.

CUESTIONES

1. ¿Qué medidas dispondrá la resolución de la autoridad de protección de datos cuando los responsables de cometer la infracción sean una Administración pública? ¿Y a quién se notificará?

Conforme al artículo 77.2 de la LOPDGDD, la resolución:

a)  Establecerá las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

b) Se notificará a:

- El responsable o encargado del tratamiento.

- El órgano del que dependa jerárquicamente (en su caso).

- Los afectados que tuvieran la condición de interesado (en su caso). 

2. ¿Qué deberá comunicarse a la autoridad de protección de datos y al defensor del pueblo?

A la autoridad de protección de datos: las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados 1 a 3 del artículo 77 de la LOPDGDD.

Al defensor del pueblo o a las instituciones análogas de las CC. AA.: las actuaciones realizadas y las resoluciones dictadas al amparo del artículo 77 de la LOPDGDD.

3. ¿Qué establece la LOPDGDD sobre la publicidad de la resolución?

Conforme a lo dispuesto en el artículo 77.6 de la LOPDGDD, si la autoridad competente es:

- La AEPD: publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 del artículo 77 de la LOPDGDD, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

- Una autoridad autonómica de protección de datos: se estará, en cuanto a la publicidad de esas resoluciones, a lo que disponga su normativa específica.