880 - Regulación y contenido del procedimiento sancionador por vulneración de la normativa de protección de datos

Tiempo de lectura: 4 min

Tiempo de lectura: 4 min

Texto

Relacionados:

Legislación

Voces

Jurisprudencia

Vademecum: Datos

Fecha última revisión: 12/09/2023

Resumen:

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD) regulan el procedimiento sancionador por infracción de la normativa de protección de datos, incluyendo la imposición de multas administrativas. Están sujetos a este régimen responsables, encargados, representantes de responsables o encargados no establecidos en la UE, entidades de certificación y entidades acreditadas de supervisión de códigos de conducta. Las infracciones se clasifican en leves (1 año de prescripción), graves (2 años de prescripción) y muy graves (3 años de prescripción).

El considerando (148) del RGPD indica que el régimen o sistema de infracciones debe configurarse como un sistema de refuerzo en la aplicación de las normas del RGPD. Así, cualquier infracción debe ser castigada con sanciones, incluidas las multas administrativas. «(...) Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías».

Asimismo, el RGPD (considerando 150) señala que con el fin de ampliar y reforzar las sanciones administrativas por infracción del RGPD, cada autoridad de control debe estar facultada para imponer multas administrativas. Es el artículo 83 del RGPD el que apunta las condiciones generales para la imposición de las multas, el límite y los criterios para su fijación. En este sentido, el primer apartado del mencionado artículo establece: «Cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias».

Partiendo de lo anterior, la LOPDGDD, a lo largo de su título IX, «procede a describir las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones. La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea. La ley orgánica regula los supuestos de interrupción de la prescripción partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos», tal y como dispone la mencionada ley en su propio preámbulo.

Regulación del procedimiento sancionador en la LOPDGDD

Así se configura el título IX, bajo la rúbrica «Régimen sancionador», presentando carácter de ley ordinaria (como se indica en el D.F. 1ª de la LOPDGDD) y siguiendo el siguiente esquema en cuanto a regulación:

TÍTULO IX «Régimen sancionador»

Art. 70. Sujetos responsables.

Art. 71. Infracciones.

Art. 72. Infracciones consideradas muy graves.

Art. 73. Infracciones consideradas graves.

Art. 74. Infracciones consideradas leves.

Art. 75. Interrupción de la prescripción de la infracción.

Art. 76. Sanciones y medidas correctivas.

Art. 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.

Art. 78. Prescripción de las sanciones.

Sujetos responsables en el régimen sancionador en protección de datos

Conforme al artículo 70 de la LOPDGDD, están sujetos al régimen sancionador:

Los responsables de los tratamientos.
Los encargados de los tratamientos.
Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
Las entidades de certificación.
Las entidades acreditadas de supervisión de los códigos de conducta.

Y no están sujetos, los delegados de protección de datos.

Clasificación de las sanciones previstas en la LOPDGDD

De manera sucinta, debemos saber que las infracciones se dividen en:

Leves:
- Se regulan en el art. 74 de la LOPDGDD.
- Son aquellas de carácter meramente formal.
- Prescriben al año.
Graves:
- Se regulan en el art. 73 de la LOPDGDD.
- Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el art. 83, apartado 4, del RGPD y en el art. 73 de la LOPDGDD.
- Prescriben a los dos años.
Muy graves:
- Se regulan en el art. 72 de la LOPDGDD.
- Son aquellas que suponen una vulneración sustancial de los hechos mencionados en el art. 83, apartado 5, del RGPD y en el art. 72 de la LOPDGDD.
- Prescriben a los tres años.