Me he equivocado. He pensado que podría dejar pasar unos días entre el anterior post sobre los cambios que se prevén para la Ley Orgánica de Protección de Datos (LOPD) y éste que voy a escribir. Había pensado: «¿Quién va a presentar nuevas mociones de cambios de este legislación?«. Una vez más, estaba equivocado.
Hoy he tenido acceso al Boletín Oficial de las Cortes Generales, n. 12 donde, entre las muchas líneas del Proyecto de Ley de Economía Sostenible, se encuentra (a partir de la página 6) la nueva versión de la previsiblemente nueva (ya veremos cómo queda después de las votaciones) LOPD. Se trata, como se dice en el texto, de una enmienda fundamentada en la enmienda 466, de CiU, que me sirvió de base para el anterior post.
Veamos ahora cómo quedan las infracciones graves en materia de Protección de Datos.
No veo grandes cambios en los supuestos que llevan a la infracción, aunque sí una mayor precisión técnica en el articulado. Por ejemplo, se hace una mención específica a la «vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente ley» (art. 43.3.d).
Se ha ampliado el abanico de posibilidades de infracciones, ya que éstas no se limitarán a las vulneraciones del deber de secreto de los datos incluidos en el art. 44.3.g), sino a todos los datos personales. En la práctica, cualquier vulneración del deber de secreto será infracción grave, mientras que antes podía ser leve o grave, en función de los tipos de datos tratados. En fin, cambios sutiles que deberán superar (admitiendo que se apruebe el texto que estoy analizando) la prueba de la práctica.
Apartado de sanciones muy graves: no me gusta nada.
Parece ser que ceder datos personales de nivel básico o medio ya no es infracción muy grave sino grave. Veamos el texto propuesto:
Sanción muy grave en la actualidad (art. 44.4.b): «La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas». Es decir, la cesión de cualquier dato personal, hoy, es infracción muy grave.
Sanción grave propuesta (bajando de categoría al comportamiento infractor): «La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en este Ley y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave«. Es decir, al no ser que se trate de datos especialmente protegidos (los del art. 7, para entendernos), ceder datos sin legitimación para ello, es (será) sólo infracción grave.
¿Qué mosca le habrá picado al legislador para que quiera rebajar el grado de la infracción de una cesión de datos? Desde luego, es más grave ceder datos de salud, que datos meramente identificativos, pero esta graduación se puede realizar a través del amplio abanico de posibilidades de sanción económica y no rebajar, directamente, el grado de la infracción. De verdad, no entiendo la necesidad de esta rebaja.
Según el texto analizado, tampoco será infracción muy grave lo que actualmente dice el art. 44.4.f): «Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales«.
¿Por qué eliminar este apartado? ¿Qué gana el ciudadano con esta eliminación? ¿Qué justificación se puede dar a que un atentado contra el ejercicio de un derecho fundamental no sea considerado como infracción muy grave? Mucho me temo que se quedará en una pregunta sin respuesta.
Modificación para la galería:
Las infracciones leves serán sancionadas con multa de 900 a 40.000€; las infracciones graves con multa de 40.001 a 300.000€; y las muy graves con multa de 300.001 a 600.000€. Bueno, elevamos la base de la infracción mínima (que pasa de 600 a 900€) y el techo de la misma (de 30mil a 40mil euros). En el resto de casos, se elimina el redondeo impuesto por la conversión de euros a pesetas.
Novedad importante: por fin sabemos en base a qué criterios se gradúan las cuantías de las sanciones económicas, criterios recogidos en el nuevo texto del art. 45.4. Esto sí que es un avance interesante, que da mayor seguridad jurídica. Me gusta la referencia al «volumen de negocio o actividad del infractor», contenido en el art. 45.4.d). Señores empresarios de PYMES, ya no hace falta que les asusten con el cuento de unas enormes sanciones económicas, que hundirían su pequeño negocio.
Además, se incluye la posibilidad de rebajas en las sanciones, cuando concurran, excepcionalmente (el tiempo nos dirá qué se entiende aquí por excepcional), los casos previstos en el futuro art. 45.6.a) y b).
Sanciones para las Administraciones Públicas: misma impunidad que el actual sistema, así que prefiero no opinar.
Bueno, éstas son mis impresiones sobre los posibles cambios en materia de Protección de Datos; algunos aciertos, algunos desbarajustes y una ocasión perdida, que es la de decir claramente qué hacer en los casos en los que el infractor es la Administración Pública.
Amedeo Maturo
Gracias por lo de Don, que me recuerda que ya tengo 41 «tacos» y, lógicamente, gracias por el cumplido. La explicación del aumento de las sanciones puede seguir dos líneas:
Línea a (bien pensante): como la Protección de Datos es un asunto muy importante, el legislador manifiesta su interés, aumentando el aspecto coercitivo de la ley y dando a entender que se lo toman en serio.
Línea b (mal pensante): que hay que recaudar como sea.
Abiertas las opiniones.
Ad Edictum
Buenos días, Don Amedeo.
Muy buen post!
La modificación del art. 45 sí me parece necesaria (e importante), pero por qué narices suben más las sanciones???
Saludos cordiales