El régimen sancionador en la nueva ley orgánica 15/99

• Autor: Ana Isabel Herrán Ortiz

La primera y más importante novedad en cuanto al ámbito de la responsabilidad legal, se encuentra en que a partir de la LOPD el régimen sancionador de la Ley no sólo se aplica a los responsables de los ficheros o tratamientos, sino también a los encargados del tratamiento, figura ésta que como se sabe aparece en la LOPD en el artículo 3.g) y que se corresponde con la “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”, que en la LORTAD no aparecía sujeto a prescripciones ni responsabilidades legales (cfr. art. 43.1 de la LOPD). A este respecto, el Grupo Vasco advirtió que la indicación de la sujeción del encargado del tratamiento al régimen sancionador de la Ley resulta superflua y crea inseguridad, “porque es obvio que los posibles autores o partícipes de las infracciones serán aquellos que son destinatarios de las obligaciones que la norma sustantiva impone, y crea además inseguridad porque al mencionar a dos posibles responsables puede sustentar interpretaciones que excluyan de responsabilidad a otros posibles partícipes de las infracciones. En realidad lo que hace el precepto es delimitar el ámbito subjetivo de la norma sustantiva y tal delimitación no es propia de un régimen de infracciones y de sanciones. La norma sancionadora no puede determinar con carácter absoluto a los responsables, pues éstos serán determinados en cada caso en función de la participación, autoría, complicidad en el hecho ilícito”¹²⁰ .

Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en cuanto al procedimiento y las sanciones, a lo dispuesto la legislación sobre régimen disciplinario de las Administraciones públicas, ello sin perjuicio de la facultad que el artículo 46 reconoce al Director de la Agencia de Protección de Datos, y por la que “cuando las infracciones a las que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera”. Asimismo, el Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas. A juicio de HEREDERO HIGUERAS la especialidad de este régimen sancionador se encuentra en la inoportunidad de exigir una responsabilidad pecuniaria a los entes públicos, ya que en definitiva quien pagaría las consecuencias de las infracciones sería el presupuesto público.

Critica DE ASIS ROIG el régimen jurídico especial de sanción de los ficheros públicos, por cuanto que se produce un desapoderamiento del Director de la Agencia para el ejercicio directo de la acción sancionadora, ya que la economía y lógica propias del sistema de responsablidad disciplinaria sitúan el ejercicio de dicha potestad en los órganos superiores jerárquicos de quien desempeña la labor de responsable del fichero; por ello, se plantean importantes dificultades y disfuncionalidades en la eficacia de los instrumentos sancionadores: por un lado, la separación del titular de la potestad sancionadora del ámbito de competencia técnica propio de la informática, que no tendrá el mismo conocimiento y pericia que una organización especializada como la Agencia de Protección de Datos, y por otro lado, se acentúa dicha disfuncionalidad cuando se reconoce al Director de la Agencia competencia exclusivamente para proponer la iniciación de las actuaciones sancionadoras y de comunicación al Defensor del Pueblo¹²¹.

De estas previsiones legales bien pudiera interpretarse que cuando las infractoras de las normas sean las administraciones públicas se establece un régimen sancionador excepcional, al margen del previsto en la LOPD, por el cual las sanciones no son las previstas con carácter general en la citada Ley sino las que en cada caso el Director disponga. Por ello y por el recelo que tales disposiciones significaron para los Grupos Parlamentarios, se advirtió por el Grupo Vasco que “La Agencia de Protección de Datos tiene personalidad jurídica independiente, y esto nos parece que carece absolutamente de justificación, sobre todo si tenemos en cuenta que alguna de las conductas que se tipifican sólo va a ser cometida por las administraciones públicas, porque sólo una Administración Pública podrá ser depositaria de ese tipo de ficheros. Las administraciones públicas pueden ser, por supuesto, responsables de infracciones y pueden, por ello, ser sujetos pasivos de las correspondientes infracciones”¹²². Pero, por otra parte, ¿a qué medidas se refiere el legislador cuando alude a las medidas que puede adoptar el Director? ¿Por qué no se han establecido con mayor precisión? Y, sobre todo, si no caben sanciones frente a ellas, ¿a qué alude el legislador? ¿a un mero apercibimiento a las administraciones públicas? pero, ¿con qué vinculación y efectos?

Especial atención merece, por su parte, la figura del responsable de seguridad prevista en el Reglamento de medidas de seguridad, y que designado por el responsable del fichero, será el encargado de coordinar y controlar las medidas definidas en el documento de seguridad; si bien, tal y como puntualiza el artículo 16 del citado Reglamento “en ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero”. Y en efecto, así debe ser ya que el responsable de seguridad según consta en el propio Reglamento es la “persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar (la cursiva es nuestra) las medidas de seguridad aplicables”; pero no se dice que sea quien decide sobre las medidas a aplicar o adoptar en cada caso, máxime cuando el artículo 28 del Reglamento expresamente atribuye a los responsables de los ficheros la obligación de “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal en los términos establecidos en el presente Reglamento”.

5.1. Tipos de infracciones

Reservadas para el ámbito penal las conductas más graves de vulneración del derecho a la autodeterminación informativa, no se recogen en la LOPD, como tampoco se hacía en la LORTAD, conductas delictivas, por lo que únicamente son objeto de sanción en la nueva Ley aquellas infracciones que no impliquen un ilícito penal. En efecto queda para la regulación del CP la tipificación de los delitos contra la libertad informática en el Título X del Capítulo I relativo a los Delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio en sus artículos 197 a 210, además de otros preceptos que de forma dispersa también se refieren a delitos contra la libertad informática (cfr. arts. 248.2, 256, 278 y 400 del CP).

A propósito de la introducción de conductas delictivas en la Ley orgánica de protección de datos, se entendió que tal inclusión hubiera representado la creación de unos delitos de...