A través de la newsletter gestionada por el Departamento de Derecho Administrativo de la Universidad de Murcia, he podido leer el texto de la Enmienda n. 466, presentada por el Grupo Parlamentario Catalán en el Senado de Convergencia i Unió, sobre las modificaciones planteadas para la LOPD.

Las modificaciones vierten todas sobre el aspecto sancionador de la LOPD y yo, ingenuo, hasta había llegado a pensar que se introducía la posibilidad de responsabilidad patrimonial de la Administración Pública, más allá de lo previsto en el art. 19. Pues, no, que esta vez tampoco, que la Administración seguirá sin ser sancionada económicamente por infracciones a la LOPD.  Aunque existan razones de lógica jurídica que amparan esta opción, sigo viendo un diferente trato frente a un mismo hecho infractor. Quizás en futuras enmiendas…

Veamos qué plantea Ciu para reformar la LOPD.

Para empezar, propone reformular el art. 43.2, de manera que, cuando se trate de procedimiento sancionadores contra la Administración Pública, se aplique, no sólo el art. 46, como hasta ahora, sino también en art. 48. Una precisión técnica útil, pero que, a mí entender, tampoco modifica sustancialmente el régimen sancionador.

La siguiente modificación es de peso, ya que afecta a la tipificación de las sanciones leves en materia de Protección de Datos. De esta forma desaparece, como infracción leve, «No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda«. Pongamos un ejemplo: si no atiendo a una solicitud de cancelación porque la fotocopia del DNI del interesado no se lee bien, no podré ser sancionado y el interesado se quedará en mis bases de datos, hasta que no me envíe (ya puestos, por correo certificado y, si se tercia, por burofax) una fotocopia del DNI (en color). ¿De verdad era necesario eliminar esta comportamiento como sanción leve?

Más novedades: si se aprueba la enmienda tal y como la propone CiU, no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, será infracción leve (como antes), pero ya no podrá ser infracción grave, «cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos«, como en la vigente redacción del art. 44.3.k) LOPD. Tampoco consigo entender porqué no atender a un requerimiento de la Agencia para que se registre un fichero (tarea que, si funciona en NOTA, se hace en 15 minutos) ya no es una infracción grave, cuando manifiesta un claro desprecio a la autoridad competente en esta materia.

Tercera novedad: sigue siendo infracción leve no informar al afectado acerca del tratamiento de los datos de carácter personal. Técnicamente, sigo prefiriendo la redacción actual del art. 44.2.d), que hace una referencia expresa al art. 5, y sus obligaciones de informar a los interesados.

El art. 44.2.d), en la propuesta de la enmienda comentada, sí que me parece una gran revolución. El texto propuesto dice: «Son infracciones leves… d) la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta ley«.

Lo que no queda claro es a quién se sanciona: ¿al Responsable del Fichero? ¿Al Encargado del Tratamiento? ¿A ambos? Costaba tan poco ser más preciso… Confío en una mejor redacción de este acierto.

Otro acierto: el incumplimiento del deber de secreto, previsto en el art. 10 LOPD, sólo será infracción grave y no leve, como puede ser en la actualidad.

El art. 42.3.a) queda en la misma redacción actual y, para no hacer este post demasiado largo, lo dejo aquí para continuar en otro momento.