Sanciones por protección de datos: cómo defenderte legalmente

I. Generalidades sobre el tratamiento y protección de datos personales en España

La protección de las personas físicas en relación con el tratamiento de sus datos personales constituye un derecho fundamental reconocido en el artículo 18.4 de la Constitución Española. Tal como establece la exposición de motivos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo, Ley Orgánica de Protección de Datos), se trata de un derecho fundamental que otorga a las personas el control sobre el uso y el destino de sus datos, con el fin de evitar su tráfico ilícito o cualquier utilización que pueda resultar lesiva para su dignidad y sus derechos. De este modo, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que su información personal sea empleada con fines distintos de aquellos que motivaron su recogida.

Asimismo, este derecho se considera autónomo e independiente, en la medida en que confiere a la persona un poder de disposición y control sobre sus datos personales. Este poder faculta al individuo para decidir qué información desea proporcionar a un tercero —ya sea el Estado o un particular—, así como qué datos pueden ser recabados por estos. Además, permite a la persona conocer quién posee sus datos personales y con qué finalidad, pudiendo oponerse a su posesión o utilización cuando lo estime conveniente.

II. ¿Cuáles son las infracciones y sanciones que se aplican por infringir las normas de protección de datos en España?

De conformidad con lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE), (en lo sucesivo, Reglamento (UE) 2016/679) y en la Ley Orgánica de Protección de Datos, las sanciones por infringir las normas de protección de datos en España, se imponen conforme a la clasificación de las infracciones en función de la gravedad, en ese sentido, nos encontramos ante:

1. Infracciones leves, reguladas en el artículo 74 de la Ley Orgánica de Protección de Datos, las cuales tratan de incumplimientos formales o procedimentales que no causan un daño significativo a los interesados.
2. Infracciones graves, las cuales se encuentran reguladas en el artículo 73 de la Ley Orgánica de Protección de Datos, y se encuentran referidas los incumplimientos que afectan de forma relevante a los derechos de los interesados o que implican un riesgo para la seguridad de los datos.
3. Infracciones muy graves, encontrándose dentro de esta categoría -conforme a lo previsto en el artículo 72 de la Ley Orgánica de Protección de Datos-, los incumplimientos que vulneran gravemente los derechos de los interesados o que ponen en riesgo la seguridad de los datos a gran escala.

En virtud de ello, las sanciones, serán las siguientes:

1. Multas administrativas de hasta 10 000 000 EUR o, en el caso de una empresa, hasta el 2 % del volumen de negocios anual total mundial del ejercicio anterior.
2. Multas administrativas de hasta 20 000 000 EUR o, en el caso de una empresa, hasta el 4 % del volumen de negocios anual total mundial del ejercicio anterior.
3. Multas administrativas de hasta 20 000 000 EUR o, en el caso de una empresa, de hasta el 4 % del volumen de negocios anual total mundial del ejercicio anterior, si esta cantidad es mayor.

En virtud de que estamos ante sanciones cuya cuantía es elevada, resulta necesario, saber ¿Cómo defenderse ante una sanción sobre protección de datos?

III. Aspectos a tener en cuenta para la imposición de sanciones por infringir las normas de protección de datos en España

El Reglamento (UE) 2016/679, establece que, las multas administrativas se impondrán, según las circunstancias de cada caso. No obstante, al decidir si se impone una multa administrativa y su cuantía en cada caso concreto, se tendrá debidamente en cuenta –entre otras-, las siguientes circunstancias:

1. La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, el alcance o la finalidad del tratamiento de que se trate, así como el número de interesados afectados y el nivel de daño sufrido por ellos.
2. El carácter intencional o negligente de la infracción.
3. Cualquier acción adoptada por el responsable o el encargado del tratamiento para mitigar el daño sufrido por los interesados.
4. El grado de responsabilidad del responsable o del encargado del tratamiento teniendo en cuenta las medidas técnicas y organizativas aplicadas por ellos.
5. Cualquier infracción previa relevante cometida por el responsable o el encargado del tratamiento.
6. El grado de cooperación con la autoridad de control, con el fin de remediar la infracción y mitigar los posibles efectos adversos de la misma.
7. Las categorías de datos personales afectados por la infracción.
8. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios económicos obtenidos o las pérdidas evitadas, directa o indirectamente, de la infracción.

También podrán tenerse en cuenta, conforme a lo previsto en el artículo 76 de la Ley Orgánica de Protección de Datos, lo siguiente:

1. El carácter continuado de la infracción.
2. La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
3. Los beneficios obtenidos como consecuencia de la comisión de la infracción.
4. La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
5. La afectación a los derechos de los menores.
6. Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.

Además de estos aspectos, resulta importante, saber ¿Cómo recurrir una sanción sobre protección de datos?

IV. ¿Quiénes pueden ser objeto de sanciones sobre protección de datos?

Conforme a lo previsto en la Ley Orgánica de Protección de Datos, tienen la condición de sujetos responsables y en consecuencia están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679:

1. Los responsables de los tratamientos.
2. Los encargados de los tratamientos.
3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
4. Las entidades de certificación.
5. Las entidades acreditadas de supervisión de los códigos de conducta.

V. ¿Cómo defenderse ante una sanción de la Agencia Española de Protección de Datos?

Tomando en consideración que las resoluciones de la Agencia Española de Protección de Datos, (denominada, en lo sucesivo, AEPD), ponen fin a la vía administrativa, se debe saber cómo recurrir una sanción sobre protección de datos, en virtud de que, al momento de que una persona o una entidad no se encuentre conforme con esta resolución, podrá recurrirla, teniendo para ello, las siguientes vías:

1. En sede administrativa.

1. Recurso de Reposición. En este caso, se tendrá un plazo de un mes para interponer el recurso, contado a partir de la fecha en la que se notificase la resolución de la AEPD, quien, a su vez, tendrá un plazo de un mes para contestar el recurso.

Es importante destacar que, contra la resolución de este recurso solo se podrá recurrir ante los juzgados a través de la interposición de un recurso contencioso-administrativo.

2. Recurso extraordinario de revisión, el cual se podrá interponer en contra de actos administrativos firmes, cuando concurran alguna de las circunstancias previstas en el artículo 125.1 Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Transcurrido el plazo de tres meses desde la interposición de este recurso administrativo sin haberse dictado y notificado la resolución, se entenderá desestimado, quedando expedita la vía jurisdiccional contencioso-administrativa.

2. En sede judicial.

1. Recurso contencioso-administrativo, para la interposición de este recurso se contará con un plazo de dos meses a contar desde el momento que se notifica la resolución de la AEPD.

Ahora bien, es importante destacar que, en aquellos casos, en los cuales se interponga primero recurso de reposición ante el Director de la AEPD, el plazo para interponer el recurso contencioso ante la Audiencia Nacional será: dos meses desde que se dicte la resolución del recurso de reposición. Sin embargo, si la AEPD no resuelve el recurso de reposición. El plazo es de seis meses a contar desde que debiera haberse resuelto el recurso de reposición.

VI. ¿Cuándo prescriben las sanciones sobre protección de datos?

Las sanciones impuestas en aplicación del Reglamento (UE) 2016/679 y de la LOPDPGDD prescriben en los siguientes plazos:

1. Las sanciones por importe igual o inferior a 40.000 euros prescriben en el plazo de un año.
2. Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
3. Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.

Este plazo de prescripción comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.