El domingo 6 de marzo de 2011, entró en vigor la Ley 2/2011, de 4 de marzo, de Economía Sostenible, que en su disposición final quincuagésima sexta modifica la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

No se han modificado muchos artículos, aunque sí los más importantes, al menos así pensarán los profesionales y empresarios susceptibles de ser sancionados por incumplir alguno de los preceptos de esta normativa. Por ello, aunque la Ley siga siendo la misma, ha cambiado en gran manera su espíritu, acercándose de una manera más benévola a los posibles infractores, por lo que podría considerarse una nueva norma más amigable.

Uno de los cambios más destacable es el de la cuantía de las sanciones. Ahora, la cuantía mínima de las sanciones graves, que suponen casi el 75% de las impuestas por la Agencia Española de Protección de Datos, pasa de 60.101 a 40.001 €, una rebaja significativa en caso de ser sancionado. A su vez, la cuantía mínima de una sanción leve pasa de 601 a 900 €. No se establece cambio en las muy graves, que continúan en la horquilla de 300.001 a 600.000 €.

Otro aspecto que ha sido modificado es la graduación de las cuantías de las sanciones, es decir, si la sanción es la mínima permitida, o es incrementada hasta llegar al límite superior. Cabe destacar que se añade como criterio de graduación el volumen de negocio o actividad del infractor, no tenidos en cuenta anteriormente, lo que supondrá unas sanciones más adecuadas al concreto infractor que las realice.

También serán tenidos en cuenta, el carácter continuado de la infracción, el volumen de los tratamientos, la vinculación de la actividad del infractor con la realización de tratamientos de datos, los beneficios obtenidos con la infracción, el grado de intencionalidad, la reincidencia, la naturaleza de los perjuicios causados, la acreditación de que la infracción no es debida a una falta de diligencia del infractor, o cualquier otra circunstancia que sea relevante.

Se detalla con esta reforma la posibilidad de aplicar a una infracción la cuantía de la clase que le preceda en gravedad, permitiéndose cuando se aprecie una disminución de la culpabilidad o antijuridicidad como consecuencia de la concurrencia de varios de los criterios de graduación de las sanciones, cuando la entidad infractora haya regularizado la situación irregular de forma diligente, cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción, cuando el infractor haya reconocido espontáneamente su culpabilidad, o cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso.

Igualmente, cambian y se reordenan la clasificación de los hechos que dan lugar a las sanciones leves, graves o muy graves, aclarando supuestos antes indefinidos, y rebajando de categoría algunos de los supuestos más habituales.

Son infracciones leves, no remitir a la Agencia Española de Protección de Datos las notificaciones previstas en la Ley, no solicitar la inscripción del fichero, el incumplimiento del deber de información al afectado cuando los datos sean recabados del mismo, y la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales exigidos mediante el contrato escrito de tratamiento por cuenta de terceros.

Son infracciones graves la creación o recogida de datos de ficheros de titularidad pública sin autorización de disposición general publicada en el diario oficial correspondiente; tratar datos sin recabar el consentimiento necesario de las personas afectadas; tratar datos o usarlos posteriormente con conculcación del principio de calidad, salvo que sea infracción muy grave; la vulneración del deber de guardar secreto; la obstaculización de los derechos de acceso, rectificación, cancelación y oposición; el incumplimiento del deber de información al afectado cuando los datos no hayan sido recabados del propio interesado; el incumplimiento de los deberes de notificación o requerimiento al afectado; mantener los ficheros, locales, programas o equipos sin las debidas condiciones de seguridad; no atender los requerimientos y peticiones de documentos e información de la Agencia Española de Protección de Datos; la obstrucción del ejercicio de su función inspectora; y la cesión de los datos sin legitimación para ello, salvo que sea infracción muy grave.

Por último, quizás el cambio más significativo e interesante para todos aquellos que tienen que cumplir esta normativa, es que la Agencia Española de Protección de Datos podrá no abrir un procedimiento sancionador, sino apercibir al infractor y exigirle que acredite la adopción de las medidas correctoras necesarias. Para esto, los hechos han de ser constitutivos de infracción leve o grave, y que el infractor no haya sido sancionado o apercibido con anterioridad. Una buena noticia para todos, que convierte una normativa con un excesivo afán recaudatorio en una norma que permite ayudar a quienes quieren respetar la privacidad de los ciudadanos.

PEDRO RODRÍGUEZ LÓPEZ DE LEMUS

ARTICULO COMPLETO PUBLICADO POR CIBERSUR