Potestad sancionadora de la Agencia Española de Protección de Datos

agpdPor Javier Villegas Flores

El artículo 131.3 Ley 30/92, de de junio, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, señala que “en la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones Públicas se deberá guardar la debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada, considerándose especialmente los siguientes criterios para la graduación de la sanción a aplicar:

A) La existencia de intencionalidad o reiteración.

B) La naturaleza de los perjuicios causados.

C) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme.”

La AEPD, ente de derecho público con personalidad jurídica propia, tiene entre sus funciones la del ejercicio de la potestad sancionadora, de acuerdo al Título VII de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), que regula los tipos de infracciones y las sanciones correspondientes, y cuya aplicación se lleva a efecto a través del procedimiento sancionador establecido en el Capítulo III del Título IX del Reglamento de Desarrollo de la LOPD (RLOPD).

Es el ejercicio de esta actividad de policía de la Agencia el punto más controvertido de la regulación española en materia de protección de datos, pues impone sanciones en muchos casos desproporcionadas a la gravedad de los hechos, o la actuación de los sujetos infractores, dando lugar a situaciones de flagrante desequilibrio, sobre todo si ponemos la lupa en el derecho comparado, tanto internacional (es la legislación más restrictiva de la Unión Europea) como interno:

Así, Samuel Parra señala en su blog que la amputación del dedo de un menor que trabajaba ilegalmente, manipulando maquinaria peligrosa sin las medidas de seguridad legalmente establecidas, dio lugar a una sanción para la empresa responsable de 30.000 €, según la normativa de Prevención de Riesgos Laborales, mientras que el envío de cartas a domicilios de antiguos compañeros de colegio por parte de un particular, incumpliendo las exigencias legales de protección de datos, tuvo como consecuencia una multa de 60.000 €.

Tampoco ayuda demasiado  a empatizar con la actitud de la AEPD el hecho de que la misma se autofinancie con el importe de las sanciones aplicadas. Si bien es verdad que son los Presupuestos Generales del Estado los que financian al ente público, y la cuantía recaudada en concepto de multas va a parar a una cuenta no dedicada a gastos corrientes de la misma, la percepción general es que es el afán recaudatorio, por encima del ánimo educador, lo que prima en la actuación de la AEPD.

En cualquier caso, no dudamos que la imposición de multas no consiga el efecto deseado en muchos casos, pero la impresión es que más que concienciación lo que genera es pánico en las empresas, que muchas veces no saben como actuar, y que en no pocos casos se ven incapaces de llevar a cabo todas las medidas de seguridad que exige la normativa, debido a la imposibilidad material o económica de su puesta en práctica.

La situación se agrava con la aplicación por parte de la AEPD del art. 130 de la Ley 30/92, que admite que “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”. Por tanto, la mera falta del deber de cuidado puede dar lugar a sanción, sin entrar a valorar la culpabilidad del infractor, al que se le impone una obligación de resultado tal y como ha señalado la Audiencia Nacional en Sentencia de 6 de febrero de 2008.

La reforma del régimen sancionador de la LOPD, operada recientemente con la aprobación de la Ley de Economía Sostenible, ha paliado en parte esta situación, y purga algunos de los excesos de la normativa anterior, situando más el enfoque en el fomento del respeto a la protección de datos, incentivando los mecanismos de advertencia y seguimiento a través de la figura del apercibimiento (en caso de infracciones leves o graves por parte de infractores “primerizos”), que requiere la adopción de las correspondientes medidas, y permitiendo la graduación de la imposición de multas en función de las circunstancias concurrentes en la infracción.

Es éste, bajo nuestro punto de vista, el enfoque necesario que debe adoptar la legislación española, que en momentos tan críticos como los que vivimos actualmente no puede permitirse un régimen sancionador tan gravoso, sobre todo si lo comparamos con el de otros países cuya situación económica y tejido empresarial goza de una situación bastante más saludable que la nuestra.

Debemos aprovechar las sinergias positivas que ha dejado a su paso la aplicación de un régimen sancionado tan duro, para abrir el camino a una nueva etapa en la que la educación y la concienciación, acompañadas como no de una proporcionada aplicación de medidas punitivas siempre aparejadas de instrumentos correctores y aseguradores, sean los que guíen la senda del objetivo marcado: el respeto al derecho fundamental consagrado en el artículo 18 de la Constitución Española.

El Observatorio

El Observatorio Iberoamericano de Protección de Datos, nace como una iniciativa personal, sin ánimo de lucro, de Daniel A. López Carballo, como foro de encuentro, donde poder compartir comentarios, ideas y conocimientos, en el ámbito de la privacidad, protección de datos y habeas data, sobre los diferentes países iberoamericanos.