domingo, 22 de mayo de 2011

Más sobre la reforma de la LOPD

Como les decía el otro día, creo que esta reforma puede beneficiar a las empresas cumplidoras, que han demostrado diligencia en el cumplimiento de la LOPD.

Ya saben que se ha modificado (ligeramente) la cuantía de las multas, que a partir de ahora serán las siguientes:

"1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros."

Sin embargo, lo realmente importante son los nuevos criterios de graduación, que operan de dos formas:

1º. Dentro de las cuantías correspondientes a un tipo de infracción (por ejemplo, de 40.001 a 300.000 euros  para las graves), se reducirá la multa impuesta teniendo en cuenta lo siguiente:

"a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora."

Les destaco que los criterios e), f) e i) permitirán imponer la multa en su grado inferior a aquellas empresas que demuestren un adecuado cumplimiento de la ley (a través de procedimientos internos, informes de auditorías, certificaciones, etc...) y que hayan cometido una infracción puntual de la que no obtienen beneficio alguno (por ejemplo, si un empleado de la compañía, por error, remite sin copia oculta un correo a varios destinatarios o si se envía un fax con información sobre un cliente a un número equivocado y lo recibe otra persona....).

Por otra parte, hay criterios que benefician a pequeñas empresas como el criterio b) y el d).

El legislador ha introducido algunos criterios especialmente vagosMe refiero a los apartados c) y j). Éste último casi permite a la Agencia poner las multas "a ojo".

Tengan en cuenta, por último, que estos criterios, entendidos en sentido contrario, señalan las circunstancias que la AEPD va a valorar a la hora de imponer una multa mayor: Si Usted no es reincidente, le bajará la multa, pero sí lo es, se la subirá. Si Usted tiene un volumen de negocio pequeño, puede estar tanquilo, pero si es una gran empresa, empiece a temblar...


2º. Además de lo anterior, la ley permite que, en lugar de la multa correspondiente a la infracción cometida, se imponga la del tipo inferior en ciertos supuestos. Es decir, la infracción muy grave, se puede sancionar como grave, y la grave, como leve:

"a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente."

Dicho en otras palabras, si ustedes quieren que se les aplique este beneficio, sean sinceros, reconozcan el incumplimiento, y soluciónenlo rápidamente. El criterio establecido en el apartado e) me gusta mucho: Va a hacer la vida más fácil a los que se dedican a hacer informes de "due diligence", aunque puede dar lugar a fraude de ley.

Por último,tras exponer estos criterios de graduación, la Ley introduce el denominado "apercibimiento", para cuya interpretación me remito al blog Descargas Legales.

4 comentarios:

Osete dijo...

Mira que explica bien las cosas. De todas formas, vamos a esperar los primeros apercibimientos y los sancionadores con gradación de sanción en base a este nuevo procedimiento.

Ad Edictum dijo...

Pues sí, todo depende de cómo se apliquen en la práctica. Parece que en la Agencia están un poco enfadados porque la reforma la ha hecho el gobierno sin consulta publica (creo que lo comentaba el otro día el Director en el congreso de la APEP). A mí me parece una reforma positiva: Desde luego, las infracciones están definidad con mucha mayor claridad. Me parece también posivo que la falta de contrato del art. 12 no se sanciones como cesión de datos, sino como una infracción leve.

David González Calleja dijo...

La reforma tiene sus cosas positivas, pero en cuanto a seguridad jurídica creo que se gana en algunos aspectos pero se pierde en otros. Por ejemplo, en lo de "cualquier otra circunstancia...", que se aplicará a antojo. O en la aplicación "excepcional" del apercibimiento.

Estoy de acuerdo en que el criterio de la fusión puede dar pie a fraudes, aunque la intención es buena.

Muchas gracias por su mención a mi blog.

Un saludo.

Ad Edictum dijo...

Gracias a Usted por su comentario. Bueno, sí, hay cuestiones muy imprecisas. Todo dependerá del criterio interpretativo que fijen Monsieur le Directeur, el Jefe del Sindicato y el resto de la cuchipandi de la AEPD.

En cualquier caso, el apercibimiento, se aplique como se aplique, sólo puede beneficiar a las empresas. Otras cosa es que se decida no aplicarlo nunca (es excepcional), en cuyo caso tampoco va a empeorar la situación en relación a lo que teníamos antes.

También debo decir que, bromas aparte, tanto Piñar como el actual Director han racionalizado bastante las multas, aplicando de facto algunos de los criterios que finalmente recoge la reforma. Esa labor, junto con la de publicación de las resoluciones, informes jurídicos, guías para los responsables de ficheros y organización de jornadas ... ha sido muy importante y ha ayudado a eliminar la inseguridad jurídica que generaba la imprecisión de algunas obligaciones de la LOPD. Antes cumplir la lopedé era algo místico (para muchos, todavía lo siguie siendo, pero esa es otra historia)...

En fin, se ha recorrido mucho camino desde que se creó la Agencia, y ha sido para bien.

No me cabe la menor duda de que, en muchos casos, la AEPD ha sancionado porque, tras la denuncia del afectado, no quedaba otra. Yo me centro en las "cortijadas" porque son las que tienen gracia, y no estoy para hacer hagiografías.