Transcript
42
8. RÉGIMEN SANCIONADOR La LOPD establece el régimen sancionador al que estarán sujetos los responsables de los ficheros y los encargados de tratamientos que hayan incumplido las obligaciones que le corresponden en esta materia. Las infracciones podrán ser sancionadas por parte de la Agencia de Protección de Datos con sanciones dinerarias de 601 a 601.012,1 euros. 8.1. Infracciones. Las infracciones administrativas están clasificadas en virtud de su gravedad. las infracciones se clasifican entre: leves (multa de 601 a 60.101,21 €); graves (multa de 60.101,21 a 300.506,05 €); muy graves (multa de 300.506,05 a 601.012,1 €). 8.1.1.
Creación de ficheros. a) Infracciones leves: a. No solicitar la inscripción del fichero de datos de carácter personal en el Registro de Protección de Datos. b) Infracciones graves: a. No inscribir el fichero cuando sea requerido por el Director de la Agencia de Protección de Datos. b. Crear ficheros de titularidad privada con datos de carácter personal con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad. c) Infracciones muy graves: a. Crear ficheros con la única finalidad de almacenar datos que revelen la ideología, la afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
8.1.2.
Recogida de datos. a) Infracciones leves: a. Proceder a la recogida de datos personales sin proporcionar a los afectados la previa información exigida. b) Infracciones graves: a. Recoger datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas. b. Incumplir el deber de información cuando los datos hayan sido recogidos de persona distinta del afectado. c) Infracciones muy graves: a. La recogida de datos en forma engañosa y fraudulenta. b. Recabar los datos de carácter personal que revelen ideología, creencias, afiliación sindical y religión, sin contar con el consentimiento expreso y por escrito del afectado. c. Recabar los datos referentes al origen racial, salud y vida sexual cuando no lo disponga una Ley o el afectado no haya consentido expresamente.
8.1.3.
Ejercicio de derechos a) Infracciones leves:
43
a. No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de datos personales objeto de tratamiento cuando legalmente proceda. b) Infracciones graves: a. El impedimento u obstaculación del ejercicio de los derechos de acceso y oposición, así como la negativa a facilitar la información que sea solicitada. b. Mantener datos inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan. c) Infracciones muy graves: a. No atender u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición. 8.1.4.
Deber de secreto a) Infracciones leves: a. Incumplir el deber de secreto. b) Infracciones graves: a. Si se vulnera el deber de secreto sobre datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como a aquellos ficheros con suficientes datos como para obtener una evaluación de la personalidad del individuo, se considerará como infracción grave. c) Infracciones muy graves: a. Vulnerar el deber de secreto sobre los datos relativos a ideología, creencias, afiliación sindical, religión, salud, vida sexual u origen racial.
8.1.5.
Tratamiento de datos a) Infracciones graves: a. Tratar los datos de carácter personal o usarlos violando los principios y garantías establecidos en la LOPD. b. Tratar datos de carácter personal que revelen ideología, creencias, afiliación sindical y religión, sin contar con el consentimiento expreso y por escrito del afectado. b) Infracciones muy graves: a. La comunicación o cesión de los datos de carácter personal cuando no estén permitidas. b. Tratar los datos referentes al origen racial, salud y vida sexual cuando no lo disponga una Ley o el afectado no haya consentido expresamente. c. No cesar en el uso ilegítimo de los tratamientos de datos cuando sea requerido por el Director de la Agencia de Protección de Datos o por las personas titulares del derecho de acceso. d. Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
8.1.6.
Obligaciones ante la Agencia de Protección de Datos
44
8.1.7.
a) Infracciones leves: a. No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que legalmente tiene atribuidas. b) Infracciones graves: a. No remitir a la Agencia de Protección de Datos las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo. c) Infracciones muy graves: a. No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero. Otras a) Graves: a. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad. b) Muy graves: a. La transferencia temporal o definitiva de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable y sin autorización del Director de la Agencia de Protección de Datos.
8.2. Sanciones. 8.2.1.
Cuantía de las multas a) Infracciones leves: multa entre 601 y 60.101,21 € (entre 100.000 y 10 millones de pesetas). b) Infracciones graves: multa entre 60.101,21 y 300.506,05 € (entre 10 y 50 millones de pesetas). c) Infracciones muy graves: multa entre 300.506,05 y 601.012,1 € (entre 50 y 100 millones de pesetas).
8.2.2.
Criterios de graduación En aplicación de este régimen sancionador, las sanciones se graduarán atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
8.2.3.
Requerimiento e inmovilización de ficheros En los supuestos de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad, el Director de la Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido, la Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros para restaurar los derechos de las personas afectadas.
45