ADMINISTRATIVO

La reciente modificación de la Ley Orgánica de Protección de Datos: una modulación del régimen sancionador a la luz de la experiencia

Tribuna

La reforma de la LO 15/1999, de Protección de Datos Personales -EDL 1999/63731-, por la disposición final quincuagésima sexta de la Ley 2/2011, de 4 marzo, de Economía Sostenible -EDL 2011/8038-, esencialmente circunscrita al régimen sancionador previsto en aquella, ha llamado la atención en numerosos foros, y no solo al de los estudiosos en la materia sino, también, al de todas aquellas personas, físicas y jurídicas, que actúan como responsables de ficheros y tratamientos.

Aunque desde la perspectiva de técnica legislativa puede resultar censurable modificar la normativa de protección de datos mediante una Ley de Economía Sostenible (1) -EDL 2011/8038-, sobre todo teniendo en cuenta que aquella reviste rango de Ley Orgánica y la reforma se efectúa a través de una disposición final de tal LES (2), lo cierto es que tal modificación, en general, y desde la perspectiva de sus contenidos, ha merecido favorable acogida. Valoración positiva que deriva de la simplificación de tipos y mejora técnica de los mismos que se produce con la nueva redacción de los arts. 43 y ss. de tal LOPD -EDL 1999/63731- y, sobre todo, de los criterios más favorables que, respecto de las sanciones hasta ahora contempladas en materia de protección de datos, se instauran con tal Ley de Economía Sostenible. Máxime cuando, como a continuación se expondrá, tal régimen sancionador más beneficioso está ya siendo aplicado por las sentencias dictadas por la Audiencia Nacional, desde el mismo momento en que entró en vigor la repetida Ley 2/2011, es decir, desde el 5 de marzo de 2011, y ello a pesar del criterio en contra de la defensa de la Administración.

Se trata de un cambio legislativo que viene a corregir muchas de las disfunciones que la aplicación de los distintos tipos sancionadores presentaba en la práctica. Reforma que se basa en la experiencia de los últimos años, tanto en el ámbito administrativo como en el judicial, siendo destacable la referente a las elevadas cuantías de las sanciones en la redacción originaria de tal LOPD -EDL 1999/63731-, que fue objeto de numerosas críticas y que ha sido, en gran medida, suavizada tras la reforma. Cambio legislativo, en fin, que parece subir a la ley la experiencia recogida en los últimos años.

Trataré de exponer, en las siguientes líneas, los hitos más importantes de tal reforma, distinguiendo entre los que afectan a las infracciones leves, las graves y las muy graves, haciendo después referencia a la aplicación retroactiva de la meritada modificación del régimen sancionador de protección de datos personales, y concluyendo sobre los nuevos criterios de graduación y de atenuación de las sanciones, con especial mención a la novedosa figura del apercibimiento. Suscitando, al hilo de todo ello, algunas de las cuestiones que, a pesar de los pocos meses transcurridos desde la nueva redacción de la Ley Orgánica de Protección de Datos -EDL 1999/63731-, se plantean o pueden plantearse con su aplicación.

I. Infracciones leves

Son las contempladas en el ordinal 2 del art. 44 LOPD -EDL 1999/63731-, cuyos tipos se reducen de cinco a cuatro.

De ellas merece especial mención el nuevo apartado d) por cuanto hasta ahora la transmisión de datos a un encargado de tratamiento sin dar cumplimiento a los deberes formales establecidos en el art. 12 -EDL 1999/63731-, únicamente podía ser sancionada, en su caso, como infracción muy grave de cesión o comunicación inconsentida de datos personales, lo cual resultaba perturbador en muchos supuestos. Se produce por ello, con tal nuevo apartado, una modulación de la responsabilidad en los supuestos de contratación irregular de un encargado de tratamiento, distinguiéndose entre los casos en que dicha cesión o comunicación indebida de datos personales a tercero realmente se produce, contemplados actualmente como infracción grave del apdo. k) del art. 44,3, de aquellos otros en que el incumplimiento se debe, exclusivamente, a la falta de algún requisito formal en la contratación (3).

Y es también remarcable que, a partir de la referida modificación legislativa, desaparece el incumplimiento del deber de secreto como infracción leve (prevista en el antiguo art. 44,2,e) -EDL 1999/63731-, pues ahora dicha vulneración del art. 10 LOPD solo podrá constituir, en su caso, la infracción grave del art. 44,3,d).

II. Infracciones graves

Lo primero que llama la atención del nuevo apdo. 3 del art. 44 LOPD -EDL 1999/63731- es la mayor taxatividad y certeza de los tipos que integran las infracciones graves, que se vinculan, tras la modificación, con la lesión de específicos principios de protección de datos.

En este sentido, la anterior cláusula general del apdo. d) de tal art. 44,3 -EDL 1999/63731-, que era el aplicado por la AEPD en la mayoría de los casos, preveía como tal infracción la de tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la Ley. Fórmula genérica que fue objeto de numerosas críticas, dada su imprecisión, hasta el punto de llegar a suscitarse dudas sobre su constitucionalidad, por vulneración del principio de legalidad, en su vertiente material (art. 25 CE -EDL 1978/3879-), por ausencia de predeterminación normativa de las conductas punibles y de sus correspondientes sanciones (SSTC 142/1999 -EDJ 1999/19194-, 123/2001 -EDJ 2001/6252- y 100/2003 -EDJ 2003/15672-, entre otras).

Inconstitucionalidad que fue planteada a la Sala de lo Contencioso-administrativo de la Audiencia Nacional y resuelta a partir de la Sentencia de 7 noviembre 2002 (rec. 751/2001) -EDJ 2002/126278-, que zanjó las dudas existentes en los siguientes términos : En el caso que nos ocupa no procede someter a la consideración de las partes el posible planteamiento de la cuestión de inconstitucionalidad pues, aun reconociendo que existen fórmulas de definición de infracciones más certeras y precisas que las empleadas en algunos apartados de la LO 15/1999 -EDL 1999/63731-, y en concreto en este art. 44,3,d) que ahora nos ocupa, esta Sala considera que la redacción dada al precepto no es tan genérica o imprecisa como para considerar que no cumple aquella exigencia constitucional de predeterminación suficiente del ilícito, tal y como ha sido definida y perfilada en la jurisprudencia constitucional.

Dudas que tras la reforma llevada a cabo por la Ley de Economía Sostenible -EDL 2011/8038-, ya no cabe plantearse, pues tal apdo. d) del art. 44,3 -EDL 1999/63731- se segrega ahora en los actuales apartados b), c) y d) del mismo precepto, referidos, respectivamente, al tratamiento de datos personales sin recabar el consentimiento de la persona afectada cuando el mismo sea necesario (art. 6), al tratamiento o uso de dichos datos con conculcación de los principios y garantías establecidos en el art. 4 de la Ley, y a la vulneración del deber de guardar secreto acerca del tratamiento al que se refiere el art. 10 de la misma LOPD.

Obsérvese, por otra parte, que el nuevo apdo. c) del art. 44,3 -EDL 1999/63731- tipifica como infracción grave no sólo la conculcación de principios y garantías establecidos en el art. 4 LOPD, sino también en las disposiciones que lo desarrollan, lo que sin duda hace referencia al preceptivo requerimiento de pago que, de conformidad con la Instrucción 1/1995 de la Agencia, se exige con carácter previo a la inclusión de los datos personales en un fichero sobre solvencia patrimonial y crédito (4), cuyo incumplimiento se considera lesivo de tal principio de calidad de datos personales, según unánime y consolidada doctrina.

Siendo igualmente destacable, dentro de tales infracciones graves, la prevista en el apdo. i) del art. 44,3 -EDL 1999/63731-: No atender los requerimientos o apercibimientos de la AEPD o no proporcionar a aquella cuantos documentos e informaciones sean solicitados por la misma, en cuanto relacionada con la nueva figura del apercibimiento del apdo. 6 del art. 45, que permite a la Agencia de Protección de Datos, siempre que concurran las específicas circunstancias contempladas en el precepto, sustituir la apertura del procedimiento sancionador por un apercibimiento al sujeto responsable, con acreditación, en su caso, de la adopción de las pertinentes medidas correctoras.

No obstante, la novedad más importante que se introduce en el nuevo elenco de infracciones graves, es la del apdo. k) del art. 44,3 -EDL 1999/63731-, que gradúa como tal, y no como infracción muy grave (del anterior art. 44,4,b), la comunicación o cesión de datos, sin contar con legitimación para ello, en los términos previstos en la Ley (art. 11 LOPD) y sus disposiciones reglamentarias de desarrollo.

Se equipara con ello tal cesión o comunicación indebida de datos personales a otras infracciones graves, como la de tratamiento inconsentido de dichos datos, equilibrando bienes jurídicos protegidos, y en línea con la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 octubre -EDL 1995/16021-, que no contiene una definición autónoma de cesión o comunicación de datos, sino que se refiere a ella dentro de la definición del "tratamiento de datos personales", en el art. 2,b) (5).

Identificación entre tratamiento y comunicación o cesión de datos personales que igualmente se produce en los supuestos de los datos especialmente protegidos de los apdos. 2, 3 y 5 del art. 7 de la Ley -EDL 1999/63731-: ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, y datos relativos a la comisión de infracciones penales o administrativas, como infracción muy grave, en el nuevo apdo. b) del art. 44,4.

Equiparación que, por lo demás, ha sido ya apreciada en algunas sentencias dictadas por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional tras la entrada en vigor de la reforma (así en las SSAN de 6 junio 2011 (rec. 166/2010) -EDJ 2011/104129-, 28 julio 2011 (rec. 468/2010) -EDJ 2011/205147- y 22 septiembre 2011 (rec. 639/2010) -EDJ 2011/231716-.

III. Infracciones muy graves

Además de ser también positiva la reducción y simplificación de los distintos tipos de infracciones muy graves llevada a cabo por la modificación legislativa que se analiza, que han pasado de nueve a cuatro, se desprende del nuevo apdo. 4 del art. 44 LOPD -EDL 1999/63731- que la gran mayoría de ellas van a consistir, o bien en tratar y ceder los denominados datos sensibles de los apdos. 2, 3 y 5 del art. 7 LOPD: ideología, afiliación sindical, religión, origen racial, salud, vida sexual y relativos a la comisión de infracciones penales o administrativas; o bien en la recogida de datos en forma engañosa o fraudulenta, violentando la prohibición del art. 4,7 LOPD. Supuesto, este último, respecto al que continúa siendo de plena aplicación la doctrina de la Sala de la Audiencia Nacional (de la SAN de 18 julio 2007 (rec. 359/2005) -EDJ 2007/108467-, confirmada en casación por la STS de 22 febrero 2011 (rec. 4790/2007) -EDJ 2011/11815-, a cuyo tenor la recogida de datos por medios fraudulentos, desleales o ilícitos es un tipo distinto y más grave que la simple recogida de datos sin consentimiento del afectado. Y ello dado que: La acción típica no sanciona la recogida de datos y tampoco su tratamiento sin consentimiento ni información del afectado, sino la recogida de datos "en forma engañosa y fraudulenta" por lo que el simple hecho de no justificar el origen de los datos no puede dar lugar a la aplicación de la referida sanción (...) se requiere la existencia de un especial elemento agravante o cualificador cuál es la existencia, o al menos la apariencia, del repetido engaño o fraude. Elemento cualificador que es precisamente el que distingue dicha infracción muy grave del art. 44,1,a) LOPD de la infracción grave del art. 44,3,d) de la misma Ley 15/1999, en la que se comprende, entre otros supuestos, el simple tratamiento de datos sin consentimiento de su titular.

Mereciendo igualmente especial mención la supresión del tipo agravado de vulneración del deber de secreto que, cuando afectaba a datos especialmente protegidos, se preveía en el apdo. g) del art. 44,4 -EDL 1999/63731-, en su redacción originaria.

IV. Aplicación retroactiva de la modificación legislativa

Uno de los mayores escollos planteados por la modificación legal que comentamos consiste en la posibilidad de aplicar o no retroactivamente tal nueva regulación, y ello tomando en consideración, sobre todo, la reducción de la cuantía de las multas aplicables a las infracciones graves, cuyo grado mínimo (impuesto en la gran mayoría de los supuestos), de conformidad con el art. 45,2 -EDL 1999/63731-, se reduce de 60.101,21 euros a 40.001 euros.

Aplicación retroactiva de dicha Ley de Economía Sostenible -EDL 2011/8038-, y a partir de su entrada en vigor (el 5 de marzo de 2011) que se ha llevado a cabo de manera unánime y reiterada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, ya desde las primeras sentencias dictadas a partir de su publicación (6), basándose en la necesidad de atender al principio constitucional de la eficacia retroactiva de la norma sancionadora más favorable, que deriva del art. 128,2 de la Ley 30/92, de 26 noviembre -EDL 1992/17271-.

Aplicación retroactiva de tal ley más beneficiosa que se razona, entre otras, en las SSAN de 13 mayo 2011 (rec. 329/2010) -EDJ 2011/79439- y 21 julio 2011 (rec. 584/2010) -EDJ 2011/205146-, en base a los siguientes argumentos:

La misma no solo resulta del art. 128,2 de la Ley 30/1992 -EDL 1992/17271- sino también del art. 9,3 CE -EDL 1978/3879-, así como del principio de legalidad penal (art. 25,1 CE) en relación con la seguridad jurídica, que igualmente se contiene en el art. 2,2 CP -EDL 1995/16398-, que ordena que dicha garantía prevalezca, incluso, sobre la firmeza de la sentencia condenatoria.

Y ello a tenor de la Jurisprudencia constitucional que ha declarado con reiteración que los principios y garantías básicos presentes en el ámbito del derecho penal son aplicables, con ciertos matices, al ejercicio de cualquier potestad sancionadora de la Administración Pública (STC 76/1990, de 26 abril -EDJ 1990/4435-).

Aplicación retroactiva que puede realizarse, además, directamente por el Tribunal, a pesar de la firmeza y ejecución de la resolución administrativa pues, como indica la STS de 18-3-2003 (rec. 5721/1998) -EDJ 2003/7041-, siendo una de las opciones posibles que en estos casos la jurisprudencia se hubiera pronunciado a favor de devolver las actuaciones administrativas para que los hechos fuesen calificados de nuevo por la Administración, sin embargo ha preferido seguir la de entrar directamente en el tema, teniendo siempre en cuenta el previo y oportuno debate entre las partes, basándose implícitamente en una razón de economía procesal (SSTS 13-3-1992 -EDJ 1992/2435- y 12-5-1989 -EDJ 1989/4988-). Ello, en definitiva, porque las limitaciones en la fiscalización de los actos administrativos inherentes al principio de jurisdicción revisora tienen carácter instrumental, y no pueden prevalecer frente a una garantía de orden sustantivo del ejercicio de la potestad sancionadora.

Modo de proceder, por último, que según la doctrina de la misma Sala, sí supone una aplicación íntegra o en bloque de la ley más beneficiosa, es decir, incluidas aquellas de sus normas que puedan resultar perjudiciales en relación con la ley anterior, que se desplaza en virtud de dicho principio, siempre que el resultado final suponga un beneficio para el reo (SSTC 75/2002, de 8 abril -EDJ 2002/8113- y 21/1993, de 18 enero -EDJ 1993/188-).

Razonamientos, los anteriores, que han llevado a la meritada Sala de la Audiencia Nacional a aplicar, retroactivamente, no solo la minorada cuantía mínima de las sanciones graves (aunque es el supuesto más frecuente) sino también las demás innovaciones derivadas de tal Ley de Economía Sostenible, en cuanto resulten más beneficiosas para el sancionado, tales como las nuevas circunstancias atenuantes del art. 45,5 -EDL 1999/63731- (SAN de 1 abril 2011, rec. 26/2010) -EDJ 2011/31042-, o la nueva figura del apercibimiento del apdo. 6 de dicho art. 45 (SAN de 17 junio 2011, rec. 601/2010 -EDJ 2011/120893-), o la calificación de la cesión o comunicación de datos personales como infracción grave y no muy grave (SAN de 28 julio 2011, rec. 468/2010 -EDJ 2011/205147-).

Cuestión sobre la que todavía no se ha pronunciado la Jurisprudencia del Tribunal Supremo y de la que derivan, no obstante, una serie de interrogantes, aun sin resolver, especialmente el concerniente a si tal retroactividad puede extenderse también a los procedimientos que ya tienen sentencia en primera instancia, pero se hallan pendientes de recurso de casación y, en su caso, a los procedimientos que se encuentran en fase de ejecución de sentencia, e incluso de ejecución de sentencia dictada por el Tribunal Supremo.

V. Nuevos criterios de graduación: circunstancias modificativas

Otra de las importantes novedades que derivan de la entrada en vigor de la Ley de Economía Sostenible -EDL 2011/8038-, es la del apdo. 4 del art. 45 LOPD -EDL 1999/63731- en el que se contemplan, de modo mucho más detallado que en la redacción originaria, una serie de circunstancias que pueden operar como atenuantes o agravantes de las infracciones administrativas cometidas en materia de protección de datos. Ampliación y especificación de criterios de graduación que sin duda coadyuvará a una mayor seguridad jurídica en la imposición de las sanciones, pero que a la vez requerirá un importante grado de motivación de imponerse tales sanciones por encima su grado mínimo.

Nuevos elementos de graduación no previstos en la redacción originaria de la Ley, pero que en la práctica sí han venido siendo aplicados como circunstancias agravantes o atenuantes de la conducta infractora, tanto en las resoluciones dictadas por la AEPD como en las sentencias dictadas por la Audiencia Nacional, y que son esencialmente los siguientes:

El carácter continuado de la infracción, que en su caso operará como circunstancia agravante.

La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. Circunstancia que otorga carácter normativo a la reiterada y consolidada doctrina de la Audiencia Nacional (SAN de 13 mayo 2011, rec. 303/2010 -EDJ 2011/91440-, entre otras muchas) que exige a las entidades que operan en el mercado de datos de carácter personal una especial diligencia y cuidado a la hora de llevar a cabo el uso o tratamiento de tales datos, o su cesión a terceros, especialmente cuando se trata de empresas habituadas o dedicadas, específicamente, a la gestión de datos de carácter personal.

El volumen de negocio o actividad del infractor, que posibilita una aplicación proporcional de la infracción cuando el responsable de la sanción no sea una gran empresa o corporación sino una persona física, un autónomo, una entidad sin ánimo de lucro u otro cuya capacidad económica sea muy inferior a la de los primeros.

Y la acreditación de la implantación previa de procedimientos adecuados de actuación en la recogida y tratamiento de datos, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia. Circunstancia que en principio podría considerarse redundante y superflua, pues es evidente que la infracción, cuando menos, habrá de atenuarse si ha habido diligencia, pero con la que parece reforzarse la necesidad de culpabilidad en la materia, máxime cuando a tenor del art. 130,1 de la Ley 30/1992 -EDL 1992/17271- (mera inobservancia), tal exigencia de culpabilidad, en derecho administrativo sancionador, puede en ocasiones quedar difuminada.

VI. Nuevos criterios de atenuación

También el apdo. 5 del art. 45 LOPD -EDL 1999/63731-, que supone la plasmación legislativa del principio de proporcionalidad en la específica materia de protección de datos, al permitir la imposición de la sanción en la escala inferior en grado a la correspondiente a la infracción cometida, ha sido objeto de una importante modificación tras la reforma, al delimitarse y ampliarse los supuestos en que tal atenuación de la sanción puede ahora operar.

Es cierto que tal art. 45,5 -EDL 1999/63731-, en su redacción originaria, contenía ya la plasmación legislativa del mismo principio de proporcionalidad pero basado, exclusivamente, en una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho. Con la reforma, además de efectuarse una redacción más específica de dicho supuesto, se añaden otros cuatro en los que tal aplicación de la sanción, en el grado inmediatamente inferior, puede llevarse a cabo.

La nueva letra a) del art. 45,5 -EDL 1999/63731- vuelve a reiterar la apreciación de una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho pero añadiendo que como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4. Con lo que el concepto jurídico indeterminado consistente en la cualificada disminución de la culpabilidad o de la antijuridicidad queda ahora definido y concretado al tener que derivar de la concurrencia, y de manera importante, de dos o más de los criterios de atenuación del apdo. 4 del mismo art. 45.

Apartado a) -EDL 1999/63731- que ha sido ya aplicado por la Sala de lo contencioso-administrativo de la Audiencia, en la SAN de 25 marzo 2011 (rec. 766/2009) -EDJ 2011/26175-, donde se rebaja el importe de la sanción de 60.101,21 a 10.000 euros, por concurrir, concretamente, las siguientes circunstancias: los beneficios obtenidos como consecuencia de la comisión de la infracción, el grado de intencionalidad, la reincidencia y la naturaleza de los perjuicios causados a personas interesadas o a terceras.

La letra b) del art. 45,5 -EDL 1999/63731- prevé, como segundo motivo de atenuación de la sanción, la regularización de situación irregular de forma diligente, debiendo entenderse, como situación irregular, aquella que específicamente dio lugar a la infracción. Y por regularización de forma diligente, la que se lleva a cabo de manera eficaz y sin dilación.

Apartado b) que igualmente ha sido aplicado por la Audiencia Nacional en las SSAN de 10 marzo 2011 (rec. 712/2009) -EDJ 2011/31021- y 1 abril 2011 (rec. 784/2009) -EDJ 2011/31030-, y las que se reduce la multa de 60.101, 21 a 10.000 euros.

Menor importancia práctica presentan los restantes motivos de atenuación, consistentes en la conducta del afectado (letra c -EDL 1999/63731-), el reconocimiento espontáneo de la culpabilidad (letra d) y que la infracción sea anterior a un proceso de fusión o absorción y cometida por la entidad absorbida (letra e).

Siendo remarcable, respecto de la circunstancia prevista en la letra c) -EDL 1999/63731-, que cuando la misma alude a que la conducta del afectado haya podido inducir a la comisión de la infracción, la posible atenuación ha de entenderse circunscrita, exclusivamente, a la conducta del perjudicado por la vulneración del derecho de protección de datos, que normalmente será el denunciante, y en ningún caso a las posibles conductas del infractor o de terceros.

VII. La nueva figura del apercibimiento

La posibilidad, excepcional, que se otorga al órgano sancionador de no acordar la apertura del procedimiento sancionador y, en su lugar, adoptar las pertinentes medidas preventivas no sancionadoras es probablemente la más trascendente novedad introducida por la modificación legislativa analizada. Se trata de una figura inspirada en otros ordenamientos comparados, que permite atajar las irregularidades en el tratamiento de datos personales sin que sea necesario, siempre, acudir a la vía de sanción.

Apercibimiento que, tal y como se configura, está otorgando una potestad discrecional del órgano sancionador al que, por un lado, se dota de un gran margen de apreciación pero que, a su vez, sólo puede ejercerse atendiendo al conjunto de circunstancias concurrentes que se especifican en dicho apdo. 6 del art. 45 -EDL 1999/63731-, y que son esencialmente las siguientes:

- Se trata de una medida excepcional, por lo que el órgano sancionador solo podrá aplicarla en determinados supuestos, y no como regla general.

- Opera, únicamente, respecto de las infracciones que no sean muy graves (leves o graves).

- Es necesario que el infractor no hubiese sido sancionado o apercibido con anterioridad.

- Se requiere la concurrencia significativa de los criterios del apartado anterior, es decir, del art. 45,5 -EDL 1999/63731-. No obstante, y de conformidad con el apdo. a) del dicho art. 45,5, han de entenderse también comprendidos los criterios previstos en el apdo. 4, al remitirse a él el apdo. 5.

- El sujeto responsable ha de acreditar la adopción de las pertinentes medidas correctoras que se le impongan. En este sentido la SAN de 17 junio 2011 (rec. 601/2010) -EDJ 2011/120893- ha declarado que: La aplicación de esta nueva previsión legal establece también que el órgano sancionador ha de adoptar las medidas correctoras que en cada caso resultasen pertinentes y el plazo para ello. Se trata de una medida ligada a la sanción de apercibimiento y razonable en cuanto exige modificar la conducta infractora para evitar que ésta se siga produciendo. La Sala considera que la adopción de tales medidas correctoras debe ser ponderada y adoptada por la Agencia de protección de datos en una nueva resolución que se pronuncie sobre estos extremos.

-De no adoptarse dichas medidas correctoras, los hechos constituirán la infracción grave del art. 44,3,i) LOPD -EDL 1999/63731-.

A pesar de la aparente claridad del precepto, suscita el mismo un gran número de interrogantes en la práctica, algunos de los cuales, no obstante y a pesar de los pocos meses de andadura de la reforma, han obtenido ya respuesta en las resoluciones de la Agencia de Protección de Datos.

Parece evidente, en primer término, que tal apercibimiento no es estrictamente una sanción y que no se tramita como tal, pues repárese en que no se integra en el elenco o descripción que de las sanciones en materia de protección de datos, se contienen en los apdos. 2, 3 y 4 del art. 44 LOPD -EDL 1999/63731-. Y asimismo parece también claro, y puesto que el mismo se acuerda mediante Resolución de la AEPD, que es susceptible de recurso en vía contencioso-administrativa ante la Audiencia Nacional (Disp. Adic. 4ª, 5º de la Ley 29/1998, de 13 julio) -EDL 1998/44323-.

Apercibimiento que igualmente viene siendo aplicado retroactivamente, en cuanto norma más beneficiosa, por la Agencia Española de Protección de Datos, a los procedimientos en trámite, algunas de cuyas resoluciones han sido recurridas ante la Sala de contencioso-administrativo de la AN. En este sentido se han dictado las SSAN de 17 junio 2011 (rec. 601/2010) -EDJ 2011/120893- y de 26 julio 2011 (rec. 728/2010) -EDJ 2011/198262-, en las que se han confirmado las resoluciones administrativas de apercibimiento, por concurrir los requisitos necesarios para aplicar tal previsión legal.

No obstante, siguen todavía pendientes algunas de las cuestiones suscitadas por tal nueva figura, entre ellas las que, con ánimo simplemente enunciativo, dadas las características de este estudio, se enumeran a continuación:

De un lado podría pensarse que es contradictorio comenzar el nuevo enunciado de tal apercibimiento aludiendo a su excepcionalidad para, a continuación regular, minuciosa y detalladamente, los criterios o presupuestos de aplicación del mismo. ¿Puede entonces el órgano sancionador dejar de aplicar el apercibimiento a pesar de concurrir todos dichos presupuestos?

Otro de los dilemas, de no fácil repuesta, hace referencia a la necesidad de conjugar la exigencia de que el infractor no hubiese sido sancionado o apercibido con anterioridad, a que alude el precepto, con los plazos de prescripción de las sanciones contemplados en el art. 47,4 de la misma LOPD (7) -EDL 1999/63731-.

Dejándose apuntado, como último interrogante, el siguiente: como los hechos, si el responsable no adopta las medidas correctoras derivadas del apercibimiento, constituirán la infracción grave del art. 44,3,i) LOPD -EDL 1999/63731-, ¿debe entenderse que la apertura del procedimiento sancionador por tal infracción lo será sin perjuicio de la sanción que corresponda por la comisión de la infracción leve o grave que se hubiera cometido y que dio lugar al apercibimiento desatendido?

Cuestiones que se dejan esbozadas y que sin duda acabarán obteniendo respuesta a través de los distintos pronunciamientos que, en lo sucesivo, vayan dictándose sobre la materia.

1.- Enmarcada en una estrategia de recuperación de la economía española con la finalidad de incentivar y acelerar el desarrollo de una economía más competitiva, más innovadora, capaz tanto de renovar los sectores productivos tradicionales como de abrirse decididamente a las nuevas actividades demandantes de empleos estables y de calidad (según su Exposición de Motivos).

2.- Ni siquiera fue debatida en el trámite parlamentario de elaboración de la Ley sino incluida, a última hora, mediante enmienda presentada en el Senado.

3.- Obsérvense las rigurosas y detalladas exigencias que el art. 12,2 LOPD -EDL 1999/63731- prevé para la válida celebración de un tratamiento de datos por cuenta de terceros.

4.- Requisito que continúa exigiéndose, en la actualidad, en art. 38,1,c) del RD 1720/2007 -EDL 2007/241465-, por el que se aprueba el Reglamento de desarrollo de la LOPD -EDL 1999/63731-.

5.- Considera como tal: Cualquier operación o conjunto de operaciones, efectuada o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo o supresión.

6.- Véanse las SSAN de 10 marzo 2011 (rec. 712/2009) -EDJ 2011/31021- y de 17 marzo 2011 (rec. 48/2010) -EDJ 2011/31023-, entre las primeramente dictadas.

7.- Precepto a cuyo tenor las sanciones por faltas muy graves prescriben a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

Este artículo ha sido publicado en la "Revista de Jurisprudencia", número 2, el 14 de junio de 2012.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación