Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

Boletín n.º 36 - año 2014

imagen

 

Ley de protección de datos: régimen de infracciones y sanciones

En este número del BOLETÍN INFORMATIVO daremos a conocer el régimen de infracciones y sanciones que prevé la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), haciendo mención especial al régimen de infracciones de las administraciones públicas, a la prescripción del procedimiento sancionador y a la potestad de inmovilización de ficheros.

El artículo 44 de la LOPD, relativo a los tipos de infracciones, las clasifica como leves, graves o muy graves dependiendo de la naturaleza de los hechos cometidos y de los perjuicios causados a la persona afectada por el tratamiento de sus datos de carácter personal de manera irregular.

A su vez, la LOPD prevé cuantiosas sanciones, que oscilan entre 900 € y 40.000 € en el caso de las infracciones leves, entre 40.001 € y 300.000 € para la infracciones graves y entre 300.001 € y 600.000 € si se trata de infracciones muy graves. Dichas sanciones, que son aplicables por la comisión de infracciones en ficheros de titularidad privada, pueden graduarse según diversos criterios, como el grado de intencionalidad o la reincidencia en la comisión de infracciones.

Así mismo, también se puede aplicar un tipo de sanción inferior si se aprecia, por ejemplo, que se ha regularizado la situación irregular de manera diligente. Con carácter excepcional, el órgano sancionador —en este caso, la Agencia Española de Protección de Datos— puede acordar la suspensión del procedimiento sancionador y, en su lugar, apercibir a la persona responsable para que adopte las medidas correctoras necesarias.

Por otro lado, cuando las infracciones son cometidas en ficheros de titularidad pública —es decir, cuyo responsable es una administración pública— no se prevén sanciones económicas, sino dictar una resolución para adoptar las medidas necesarias a fin de hacer cesar o corregir los efectos de la infracción. Asimismo, en la misma resolución el órgano que la dicta puede proponer el inicio de actuaciones disciplinarias —si son procedentes— y, en todo caso, la comunicación al Defensor del Pueblo de las actuaciones y las resoluciones adoptadas.

Los plazos de prescripción de las infracciones son de un año en el caso de las infracciones leves, de dos años para las graves y de tres años si son muy graves, que empiezan a contar desde el día en que se haya cometido la infracción. Además, se establecen los mismos plazos para la prescripción de las sanciones, que empiezan a contar desde el día siguiente a la fecha en que se haya impuesto la sanción por medio de una resolución firme.

En los supuestos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o la comunicación o la transferencia internacional posterior de estos puedan suponer un menoscabo grave de los derechos fundamentales de las personas afectadas —en particular, del derecho a la protección de los datos de carácter personal—, el órgano sancionador puede requerir a los responsables de los ficheros de los datos de carácter personal —tanto los de titularidad pública como los privados— que cese de usarlos o de cederlos ilícitamente. Si se desatiende el requerimiento, el órgano sancionador puede inmovilizar esos ficheros por medio de una resolución motivada, con el fin único de restaurar los derechos de las personas afectadas.

Le informamos que el próximo 31 de diciembre finaliza la actual edición del Curso en línea del Código de buenas prácticas, al cual puede acceder por medio de la plataforma de formación:

https://formacio.ssib.es