Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 46

A la hora de configurar el régimen sancionador aplicable a las AAPP, el legislador europeo ha dejado un amplio margen a la decisión de los estados miembros al señalar el artículo 83.7 del RGPD que:

“Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”.

Y, en particular, el artículo 58.2 del RGPD indica: “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado”.

En ejercicio de esa autonomía, el ordenamiento jurídico español en la LOPDGDD ha optado por no sancionar con multa a las entidades públicas, tal como se indica en su artículo 77.1. Precepto que comienza señalando que el régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:

a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.

b) Los órganos jurisdiccionales.

c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.

d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.

e) Las autoridades administrativas independientes.

f) El Banco de España.

g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

h) Las fundaciones del sector público.

i) Las Universidades Públicas.

j) Los consorcios.

k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

Cuando estos responsables o encargados cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 LOPDGDD, la autoridad de protección de datos que resulte competente encontrará limitada su potestad sancionadora a dictar resolución sancionando a las mismas con apercibimiento. Resolución que establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido y será notificada al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.

Al margen de ello, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias en aquellos casos en los que existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación, en particular, discriminando entre la responsabilidad que se pueda deducir a empleados públicos, por una parte, y a responsables políticos y altos cargos, por otro. De hecho, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

En todo caso, se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones referidas.

Igualmente la autoridad de control comunicará al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo del artículo 77 LOPDGDD.

En cuanto a la publicidad de las sanciones, cuya relevancia, desde el punto de vista del impacto disuasorio ha de tenerse en cuenta como una valiosa herramienta3, es necesario distinguir:

– Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades anteriormente señaladas, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.

– Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.

De todos modos, sorprende la diferencia entre las enormes exigencias que en esta materia tienen que cumplir las organizaciones del sector privado, sujetas a un gravoso régimen sancionador en términos económico y la tibieza con el que el legislador ha regulado los incumplimientos, por muy graves que sean de tales exigencias en el sector público. Todo ello sin perjuicio de las nuevas potestades concedidas por el RGPD, como la de imponer una limitación temporal de un determinado tratamiento o de obligar a comunicar a un interesado que se ha producido una violación en la seguridad de sus datos de carácter personal4.