www.arturosoria.com / eprofecias /

  La potestad sancionadora de la APD

por Fernando Plaza
publicado el 19 Mayo 2001

Índice de contenidos

I Evolución normativa
II El efectivo ejercicio de la potestad sancionadora por la APD.
II Conclusión

I Evolución normativa

El Convenio 108 del Consejo de Europa, en Estrasburgo, a 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

Allá por 1981 cuando se debería estar gestando la entrada del Spectrum de 8 k en el mercado doméstico ya algunas personas se preocupaban de la seguridad de los datos de carácter personal frente a las nuevas tecnologías, que por supuesto aun no eran llamadas así.

El objeto y fin de este Convenio era velar por el derecho a la vida privada y ya en su artículo décimo, que recibió el nombre de "Sanciones y recursos" hablaba de que las Partes del Convenio se comprometían a establecer sanciones contra las infracciones de los principios básicos para la protección de datos enumerados en el propio tratado. Este artículo 10 quedaba enmarcado dentro del título II "Principios Básicos para la Protección de Datos" y es que no se puede concebir un principio básico sin una sanción pareja a su incumplimiento.

En el artículo 13.1 el Convenio hacia referencia a la obligación de concederse mutua asistencia para el cumplimiento del Convenio. A tal fin sería necesario conforme al artículos 13.2.a) que las Partes designaran una o más autoridades.

Suecia fue el primer estado en adherirse al Convenio, seguida de Francia. España ratificaría el Convenio el 27 de enero de 1984. Después la seguirían Noruega y la República Federal Alemana, quienes designarían ya sus autoridades competentes a los efectos del artículo 13.2.b). La entrada en vigor del Convenio fue el día 1 de octubre de 1985, día primero del mes siguiente a la expiración del periodo de tres meses después de la de la fecha en que cinco Estados miembros del Consejo de Europa hubieron expresado su consentimiento para quedar vinculados por el Convenio (Art. 22.2).

Ley Orgánica 5/1992, de 29 de octubre , de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, LORTAD

Procede hacer mención a esta Ley Orgánica en este momento ya que hemos elegido un criterio cronológico para aproximarnos a la temática de este trabajo "La potestad sancionadora de la Agencia de Protección de Datos". No obstante obviamos su comentario ya que a pesar de haber sido un importante hito en el proceso legislativo español de esta materia, ha sido ya derogada por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPDAT) que comentaremos llegado el momento.

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Fueron setenta y dos los "Considerando" que precedían al articulado de esta directiva, de entre los que habría destacar el número dos que comienza diciendo "Considerando que los sistemas de tratamiento de datos están al servicio del hombre", pues es ese el principal objetivo de todas estas regulaciones, que las herramientas creadas por y al servicio de la persona no se conviertan en sus peor enemigo.

También es de destacar el Considerando 62 en el cual se contempla como esencial la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros. Completado por el Considerando 63 donde se prevé que "dicha autoridad debe disponer de los medios necesarios para cumplir sus función (...)", dentro de las cuales entendemos que se encuentra la potestad sancionadora, si bien no se cita concretamente en este considerando.

Ya en el articulado podemos ver como en el artículo 24 "Sanciones" dentro del Capítulo III "Recursos judiciales, responsabilidad y sanciones", se prevé que los Estados miembros han de adoptar las medidas adecuadas para garantizar la plena aplicación de las disposiciones de las Directiva, en particular, sanciones en caso de incumplimiento.

Posteriormente el Capítulo VI esta dedicado en parte a las denominadas Autoridades de Control, a las que se hacían referencia en el considerando 62. Éstas, conforme al artículo 28 pueden ser una o varias y su misión es vigilar la aplicación en sus territorios de las disposiciones adoptadas por los Estados Miembros en aplicación de la Directiva.

En el artículos 28 párrafo dos se hace mención a su independencia y en el 28.3 a sus poderes efectivos de intervención y en concreto el poder de dirigir advertencias y "amonestaciones" al responsable del tratamiento y por supuesto capacidad procesal en caso de infracción.

A mi entender no queda totalmente claro si la Directiva concibe que esa autoridad ha de tener o no potestad sancionadora, es decir, si esa potestad se puede considerar incluida dentro del término "amonestación", que aparentemente tiene un significado más leve.

Era el objetivo de esta directiva el obligar a los Estados miembros a revisar sus legislación e incluir en ella los principios de esta directiva. En el caso concreto de España esta directiva como bien señala el Dr. Ull Pont nos obligaba a revisar nuestra legislación sobre la materia y en particular la LORTAD, antes del 24 de octubre de 1998. Un después de agotarse el plazo establecido en la Directiva saldrá a la luz la ley orgánica que a los efectos de este trabajo comentamos a continuación.

Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos.

Es este reglamento el encargado de pormenorizar las funciones y potestades de la Agencia de Protección de Datos. Así podemos ver como es el Director de la Agencia de Protección de Datos el encargado de iniciar, impulsar la instrucción y resolver los expedientes sancionadores referentes a los responsables de los ficheros privados (art 12.2.i ).

Es de resaltar que las Comunidades Autónomas pueden crear sus propias Agencias de Protección de Datos y así lo ha hecho la Comunidad de Madrid (Ley 13/1995 de 21 de abril, de regulación del uso de la informática en el tratamiento de datos personales por la Comunidad de Madrid, modificada por la Ley 13/1997 de 16 de junio). Esta Agencia de Protección de Datos a cuya creación se hace referencia en el artículo 27 de la citada ley perteneciente al Capítulo III "De los Órganos de Protección de Datos de la Comunidad de Madrid" tiene como funciones la iniciación de procedimientos disciplinarios contra quienes estime responsables de las infracciones al régimen de protección de datos personales" (Art. 28. l )

Las leyes antes mencionadas también han sido desarrolladas en el DECRETO 22/1998, de 12 de febrero, por el que se aprueba el Estatuto de la Agencia de Protección de Datos de la Comunidad de Madrid. En este Estatuto se deposita de nuevo en el Director de la Agencia la mencionada proposición de incoación de los procedimientos disciplinarios antes mencionados.

La Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPDAT). Esta ley sustituyo a la Ley Orgánica 5/1992 (LORTAD) ampliando el contenido de su protección.

El artículo 37, Funciones, enmarcado dentro del Título VI "Agencia de Protección de Datos" en su apartado g) hace mención expresa a la potestad sancionadora de la APD "en los términos previstos por el Título VII de la presente Ley",

Ese Título VII al que hace referencia el artículo 37. g) recibe el nombre de "Infracciones y Sanciones", en éste se concreta hasta dónde pueden llegar las sanciones que la APD puede imponer y por qué motivos. Las infracciones como es habitual quedan divididas en tres grandes grupos leves (art 44.2), graves (44.3) y muy graves (44.4) y las sanciones correspondientes a cada una van de las 100.000 a los 10.000.000 pesetas para las leves, de 10.000.0000 a los 50.000.0000 para las graves y de los 50.000.000 a los 100.000.000 de pesetas para los muy graves.

La graduación (Art. 45.4) va en concordancia a:

  • La naturaleza de los derechos personales afectados.
  • Al volumen de los tratamientos efectuados.
  • A los beneficios obtenidos.
  • La intencionalidad y reincidencia.
  • Daños y perjuicios causados a las personas interesadas y terceras.
  • Cualquier otra circunstancia relevante.

Incluso si estas circunstancias fueran muy atenuantes se podría pasar a la escala correspondiente al tipo de infracción precedente en gravedad. No pudiéndose hacer lo contrario en caso de no existir circunstancias atenuantes o existiendo circunstancias agravantes.

La infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año (art. 47.1)
Las resoluciones de la Agencia de Protección de Datos u órganos correspondiente de la Comunidad Autónoma agotan la vía administrativa (Art. 48.2)., como cualquier otro acto dictado por el Director de la Agencia en el ejercicio de las funciones públicas de la Agencia. Contra el cabe por tanto la interposición de los recursos contenciosos -administrativos procedentes (Art. 1.4).

II El efectivo ejercicio de la potestad sancionadora por la APD

Analizamos a continuación cual ha sido el ejercicio de la actividad sancionadora de la APD recientemente. Para ello recogemos aquí una serie de titulares recogidos de Internet, haciendose referencia a la fuente de la noticia mediante la inclusión de la URL donde se encontró la noticia.


La agencia de Protección de Datos sanciona a Telefónica.

29 de septiembre de 2000

Como se recordará, a finales de febrero de este año la Agencia de Protección de Datos instruyó de oficio expediente sancionador contra Telefónica de España, S.A., con ocasión de varias noticias aparecidas en la prensa y asimismo denunciadas por esta Asociación sobre la posibilidad de acceder a los datos personales de cualquier cliente de esta empresa a través de una dirección de Internet. (No confundir con el caso de Terra). En el día de hoy se ha recibido en la Asociación de Internautas, resolución que pone fin al procedimiento sancionador y agota la vía administrativa, por lo que contra la misma sólo cabe Recurso Contencioso Administrativo ante la Audiencia Nacional o potestativamente Recurso de Reposición ante la propia Agencia.

En esta resolución, el Director General de la Agencia de Protección de Datos sanciona a Telefónica de España, S.A. con una multa de 10.000.000 de pesetas por considerar los hechos constitutivos de una infracción del artículo 9 de la citada LOPD, tipificada como grave en el artículo 44.3h).

Fragmento copiado de fuente NetMagazine


La Agencia de Protección de Datos multa a Zeppelin por la fuga de datos del concurso televisivo Gran Hermano

8 de enero de 2001

La agencia de Protección de Datos (APD) ha multado a la productora Zeppelin, responsable del programa Gran Hermano emitido por la cadena de televisión Telecinco, con 180 millones de pesetas. El motivo: el libre acceso desde varios espacios web a las bases de datos de los aspirantes al concurso. Una fuga de datos que se produjo el pasado mes de julio y que supone el incumplimiento de cuatro artículos de la Ley Orgánica de Protección de Datos.

Fragmento copiado de fuente e-Business World


La Agencia de Protección de Datos multa a Terra

28 de marzo de 2001

"La Agencia de Protección de Datos ha impuesto una multa de 20 millones de pesetas a Terra por la fuga de nombres y contraseñas de 3.000 usuarios del portal que estuvieron disponibles en la Red en agosto pasado, informó ayer Telecinco

Fragmento copiado de fuente

La Agencia de Protección de Datos multa a Microsoft por uso indebido de los datos de sus clientes
18 de abril de 2001

La APD ha impuesto a la filial española de Microsoft una multa de diez millones de pesetas por la utilización sin el debido consentimiento de datos personales de clientes españoles de la empresa matriz en Estados Unidos. Este acción de la compañía está tipificado como una falta grave, imponiéndose la multa de menor cuantía establecida en diez millones de pesetas.

Fragmento copiado de fuente


La Agencia de Protección de Datos multa a la Asociación contra la Tortura.

3 de julio de 2001

"Que por el Director de la Agencia de Protección de Datos se sancione a la ASOCIACION CONTRA LA TORTURA con multa de 10.000.000 (diez millones) pesetas por la infracción de los artículos 6.1 y 7.5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como grave en el artículo 44.3 d) de dicha norma.
Que por el Director de la Agencia de Protección de Datos se sancione a la ASOCIACION CONTRA LA TORTURA con multa de 50.000.000 (cincuenta millones) "pesetas por la infracción del artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, tipificada como muy grave en el artículo 44.4 b) de dicha norma".

Fragmento copiado de fuente

III . Conclusión

La potestad sancionadora de la Agencia de Protección de Datos unida a su independencia es el reflejo de su poder y la mayor garantía que nos puede ofrecer. No podríamos estar seguros de que no se van a vulnerar a la ligera los principios recogidos en la LOPDAT sin la existencia de un institución pública como la APD.
No obstante tras la realización de este trabajo nos planteamos dos cuestiones:

¿Qué representan 100 millones de pesetas para empresas que facturan anualmente varios billones de pesetas?
Por supuesto que no es únicamente la sanción sino el descrédito que supone ser sancionado, que es muy superior. Pero aun así el techo de 100 millones para las infracciones muy graves puede que esté algo desfasado si tenemos en cuenta el proceso de globalización que estamos viviendo en este siglo y la magnitud de las empresas que están surgiendo fruto de las grandes fusiones, opas y privatizaciones.

Sigue existiendo mucha falta de información
Las empresas, especialmente la Pequeñas y Medianas (PYMES) desconocen cuales son las obligaciones que han de cumplir y por lo tanto cómo cumplirlas. Por otra parte no son sólo empresas grandes las que manejan datos muy personales (orientación sexual, enfermedades, religión...) y tal vez la APD este descuidando su labor informativa en estos ámbitos.


Índice de contenidos

I Evolución normativa
II El efectivo ejercicio de la potestad sancionadora por la APD.
II Conclusión


Fernando Plaza es el responsable de que en este web todo funcione corréctamente. De mayor le gustaría ser igualito que Grissom de la serie CSI Las Vegas.


Copyright 2000 - 2014 © Rent & Buy S.A.