La reciente aprobación de la modificación del régimen sancionador de la LOPD beneficia a las sociedades que actúan con diligencia; sin embargo, no termina de abordar todas las carencias existentes ni de garantizar seguridad jurídica.

Con la disposición final quincuagésimo octava de la Ley de Economía Sostenible se aprobó, el pasado 15 de febrero, la Modificación del régimen sancionador del Título VII de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; redacción que contiene elementos sustanciales que la hacen, en sí misma, más que reseñable.

En términos generales, el nuevo texto constituye un principio de mejora y atemperación del régimen sancionador existente. Como elementos destacables, figuran (1) la reducción de la cuantía pecuniaria en las sanciones impuestas a infracciones leves, (2) la fijación de criterios objetivos estableciendo mayor concreción de los tipos infractores, (3) la inclusión de un mayor número de parámetros para la ponderación y graduación de las sanciones, así como la ordenación de criterios para la aplicación de grado inferior y, por último, (4) la aportación de la figura del apercibimiento al infractor, con carácter excepcional.

En primer lugar, con respecto a la disminución de las multas, se produce la alteración de la escala máxima de las sanciones leves, que se reduce de 60.000 a 40.000 euros, como recoge la nueva redacción del artículo 45.1.

En segundo lugar destaca el “matiz” y concreción establecidos en el tipo de las infracciones, regulando una tipificación más detallada que la previamente existente, y que reduce la ambigüedad de la redacción anterior y aumenta la posibilidad de evitar la comisión de infracciones.

Algunos de los matices introducidos suponen novedades de envergadura para los obligados. Véase, por ejemplo, la eliminación del antiguo artículo 44.2.d), que consideraba infracción el incumplimiento del derecho de información que no contuviera los requerimientos (formales y materiales) del articulo 5 de la Ley. En la nueva redacción del 44.3.f), la infracción consiste esencialmente en el incumplimiento de informar, siendo el comportamiento que produce una lesión del derecho del afectado el que conlleve la sanción, sin sujetarlo a una consideración formal.

Del mismo modo, el anterior artículo 44.2.a) sancionaba el incumplimiento de los derechos de cancelación o rectificación de los afectados por “motivos formales”; en el actual artículo 44.3.e) se sanciona el impedimento o la obstaculización en el ejercicio de estos derechos, independientemente de la causa o motivo que produjera la falta.

Otro ejemplo ilustrativo consiste en la infracción por no atender los requerimientos (o apercibimientos, actualmente) de la Agencia Española de Protección de Datos del actual artículo 44.3.i), que en su redacción anterior incluía en el tipo punitivo el concepto “en plazo”. Por lo tanto, a tenor de la redacción anterior, la calificación habría sido la misma si el incumplimiento fuera material (no atender) o formal (no atender en plazo). Con la redacción actual, la misma sanción no será presumible de forma automática para ambos incumplimientos.

Es asimismo destacable la aplicación de calificaciones inferiores en grado a determinadas sanciones como, por ejemplo, la anterior redacción del artículo 44.4.b), que establecía la calificación de “muy grave” a toda cesión de datos, y que ahora, con la nueva redacción, tendría esta misma calificación solamente si la cesión fuera de datos especialmente protegidos según lo establecido en el artículo 7 de la Ley.

En tercer lugar, y como modificación más importante, cabe destacar la inclusión y ampliación de criterios objetivos para la calificación y graduación de las sanciones que se recoge en el artículo 45.4.

Como ejemplo, es perfecta la redacción del nuevo artículo 45.4.i) que permite la atenuación de la sanción, cuando se acredite por el infractor que con anterioridad a los hechos constitutivos de infracción tenía implantados “procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor”.

Además de los criterios de graduación, el nuevo régimen sancionador introduce en su actual artículo 45.5 la definición de una serie de presupuestos objetivos que permiten la aplicación de la escala inmediatamente inferior en gravedad a la sanción correspondiente. La escala inferior será aplicable, por ejemplo, cuando pueda apreciarse que la conducta del afectado hubiera podido inducir a la comisión de la infracción, cuando el infractor hubiera reconocido espontáneamente su culpabilidad o cuando hubiera regularizado la situación irregular de forma diligente.

Finalmente y en cuarto lugar, la norma introduce la nueva figura del “apercibimiento” que recoge en el artículo 45.6. Con carácter excepcional, atendida la naturaleza de los hechos, la Agencia Española de Protección de Datos podrá, en lugar de acordar la apertura del procedimiento sancionador, apercibir al infractor para que acredite la adopción de medidas correctoras, siempre que concurran presupuestos exigidos en la norma.

Acerca del espíritu de esta reforma, se podría divagar sobre los motivos que han sustanciado este nuevo escenario jurídico. La disminución de las cuantías, así como la aplicación de tipos de la escala inferior parecen devenir del reconocimiento del legislador de lo excesivo de las sanciones pecuniarias anteriores.
Así, la modificación de la norma podría provenir de la asunción de una redacción anterior inadecuada e injusta; de la consciencia del daño económico generado por las elevadas sanciones impuestas a multitud de entidades; de la percepción de la desventaja competitiva de las sociedades españolas con respecto a las foráneas (incluso con respecto al mercado europeo, donde debiera primar en esencia la norma o régimen común, y sin embargo, el régimen español es mucho más duro); o bien de la incongruencia entre el daño causado y la sanción impuesta al presunto infractor.

También puede deberse a la degradación paulatina de la esencial justificación del propio sistema sancionador, de carácter no proporcional, ni adecuado a la realidad de los obligados. Hasta la fecha, la doctrina y la propia Agencia Española de Protección de Datos (junto con sus homólogos europeos) han mantenido que su función esencial consiste en ser garante, legítimo defensor del reconocimiento del derecho a la libre disposición de los datos, a través no solo de un sistema protector para los afectados, sino de un sistema sancionador que vele por la diligencia en el conocimiento y cumplimiento de las normas en el respeto del marco constitucional. Es decir, la Agencia Española de Protección de Datos vela por el respeto de cualquier entidad que trate datos de carácter personal, de las obligaciones “positivas” que, para esta misión, se han definido por el legislador. No es la protección y salvaguarda de derechos fundamentales de las personas su objetivo; es la garantía sobre la real toma de conciencia de todos los obligados a través de la imposición de la pena por violación de la obligación legal.

Podría ser considerado un atrevimiento defender que esta postura paternalista debe matizarse, y que se entiende esta reforma como prueba de la degradación de esta postura teórica. Sin embargo, la aprobación de esta reforma no es un hecho aislado; converge con un escenario convulso; una crisis económico-política sin precedentes; la profusión de normas dictadas por organismos de nueva creación o la reciente redacción, por ejemplo, de un Proyecto de Regulación del Juego que contiene sanciones de hasta 50.000.000 de euros, en contraposición a la reducción de las sanciones de la reforma que en este texto se trata. En este escenario, es difícil obtener conclusiones certeras.

Expuesto lo anterior, parece razonable entender la modificación del régimen sancionador como una mejora, aunque quede aún un sinfín de cuestiones sin resolver, como la todavía obscena cuantía de las sanciones de hasta 600.000 euros, la regulación de materia objeto de Ley Orgánica a través de Real Decreto, o la indefinición en la regulación de las medidas de seguridad, entre tantos otros.
Aún así, queda lugar para la esperanza para el diligente, (también para el recelo, debido a la inestabilidad legislativa actual, que no permite bajar la guardia) que, sin llegar al júbilo, ve cómo el legislador reconoce errores, enmienda la dirección de su trayectoria y procede a aflojar el yugo de la amenaza de las emblemáticas sanciones que en España se imponen en nombre del Habeas Data.

Publicado en: diariojuridico.com