2. Sanciones
Tipos de Sanciones desde marzo de 2011
• Leves: 150.000 a 6.900.000 de ptas. (900,00 € a 40.000,00 €. antes de
601,01 € a 60.101,21 €)
• Graves: 6.900.000 a 50.000.000 de ptas. (de 40.001,00 € a
300.000.00€. antes de 60.101,21 € a 300.506,05 €)
• Muy graves: 50.000.000 a 100.000.000 de ptas. ( 300.001,00 € a
600.000,00 €)
• La cuantía de las sanciones se graduará atendiendo a la naturaleza de los
derechos personales afectados, al volumen de los tratamientos
efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la
reincidencia, a los daños y perjuicios causados a las personas
interesadas y a terceras personas, y a cualquier otra circunstancia que
sea relevante para determinar el grado de antijuridicidad y de
culpabilidad presentes en la concreta actuación infractora.
3. Prescripción de las sanciones
• Leves: 1 año
• Graves: 2 años
• Muy graves: 3 años
Inmovilización de ficheros
• En el caso de utilización o cesión ilícita de datos que atenten
contra los derechos fundamentales, el Director de la A.E.P.D.
(Agencia Española de Protección de Datos) podrá requerir a los
responsables de los ficheros, tanto públicos como privados, la
cesación de la utilización o cesión ilícita de los datos. Si se
desatiende el requerimiento, se podrán inmovilizar los ficheros
mediante resolución motivada
4. Causas de sanciones Leves
• No atender, por motivos formales, la solicitud del interesado de
rectificación o cancelación de los datos personales objeto de
tratamiento cuando legalmente proceda.
• No proporcionar la información que solicite la Agencia de
Protección de Datos en el ejercicio de las competencias que
tiene legalmente atribuidas, en relación con aspectos no
sustantivos de la protección de datos.
• No solicitar la inscripción del fichero de datos de carácter
personal en el Registro General de Protección de Datos, cuando
no sea constitutivo de infracción grave.
• Proceder a la recogida de datos de carácter personal de los
propios afectados sin proporcionarles la información que señala
el artículo 5 de la presente Ley.
• Incumplir el deber de secreto establecido en el artículo 10 de
esta Ley, salvo que constituya infracción grave
5. Causas de sanciones Graves
• Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter
personal para los mismos, sin autorización de disposición general, publicada en el "Boletín Oficial
del Estado" o diario oficial correspondiente.
• Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter
personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la
empresa o entidad.
• Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las
personas afectadas, en los casos en que éste sea exigible.
• Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y
garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que
impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy
grave.
• El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la
negativa a facilitar la información que sea solicitada.
• Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de
los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que
la presente Ley ampara.
6. • La vulneración del deber de guardar secreto sobre los datos de carácter personal
incorporados a ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de
solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto
de datos de carácter personal suficientes para obtener una evaluación de la personalidad del
individuo.
• Mantener los ficheros, locales, programas o equipos que contengan datos de carácter
personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
• No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en
sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos
documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.
• La obstrucción al ejercicio de la función inspectora.
• No inscribir el fichero de datos de carácter personal en el Registro General de Protección de
Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de
Datos.
• Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de esta Ley,
cuando los datos hayan sido recabados de persona distinta del afectado
7. Causas de sanciones Muy graves
• La recogida de datos en forma engañosa y fraudulenta.
• La comunicación o cesión de los datos de carácter personal, fuera de los
casos en que estén permitidas.
• Recabar y tratar los datos de carácter personal a los que se refiere el
apartado 2 del artículo 7 cuando no medie el consentimiento expreso del
afectado; recabar y tratar los datos referidos en el apartado 3 del
artículo 7 cuando no lo disponga una Ley o el afectado no haya
consentido expresamente, o violentar la prohibición contenida en el
apartado 4 del artículo 7.
• No cesar en el uso ilegítimo de los tratamientos de datos de carácter
personal cuando sea requerido para ello por el Director de la Agencia de
Protección de Datos o por las personas titulares del derecho de acceso.
• La transferencia temporal o definitiva de datos de carácter personal
que hayan sido objeto de tratamiento o hayan sido recogidos para
someterlos a dicho tratamiento, con destino a países que no
proporcionen un nivel de protección equiparable sin autorización del
Director de la Agencia de Protección de Datos
8. • ratar los datos de carácter personal de forma ilegítima o con
menosprecio de los principios y garantías que les sean de aplicación,
cuando con ello se impida o se atente contra el ejercicio de los
derechos fundamentales.
• La vulneración del deber de guardar secreto sobre los datos de
carácter personal a que hacen referencia los apartados 2 y 3 del
artículo 7, así como los que hayan sido recabados para fines
policiales sin consentimiento de las personas afectadas.
• No atender, u obstaculizar de forma sistemática el ejercicio de los
derechos de acceso, rectificación, cancelación u oposición.
• No atender de forma sistemática el deber legal de notificación de la
inclusión de datos de carácter personal en un fichero.
9. Multa de la Agencia de Protección
de Datos por enviar un correo
electrónico masivo con las
direcciones accesibles y no como
destinatario oculto
10. Aviso a 'navegantes'. La Agencia Española de Protección de Datos ha
determinado que la Fundación Santa María la Real vulneró el derecho a
la privacidad de los receptores de un correo electrónico informativo por
enviarlo sin ocultar sus direcciones de email. Les han impuesto una
multa.
Se trata de una sanción que sirve como aviso ante una práctica bastante
extendida: un correo electrónico enviado a cientos o miles de direcciones,
en el que no se ha procedido a ocultar los emails de los receptores.
El organismo denunciado, Fundación Santa María la Real, es una escuela
de restauración y conservación del patrimonio, con sede en el Monasterio
que lleva su mismo nombre situado en Aguilar de Campoo, provincia de
Palencia.
Con motivo de la cercanía de la Feria del Libro de Madrid, la institución
decidió enviar un correo electrónico a todos aquellos clientes que
figuraban en su base de datos tras haber comprado alguno de los
artículos que ofrece. En el caso del denunciante, una colección de DVD`s.
11. Este mail fue enviado a 1.000 direcciones de correo electrónico, pero por
un “error involuntario” de la persona que operaba con el ordenador, tal y
como reconoce la propia fundación, se envío sin ocultar la dirección de
los destinatarios, de forma que todos los que lo recibían podían
comprobar las direcciones del resto de receptores.
“Desde ahora, y como ya lo hicimos en dichas alegaciones previas,
admitimos el error y por tanto reconocemos voluntariamente nuestra
responsabilidad a efectos de la graduación de la sanción (…) que se ha
tipificado como GRAVE con escala de 40.000 € a 300.000 € y que nos
parece, sea dicho con todo el respeto, absolutamente desproporcionada”
indicó la fundación en su carta de respuesta a la AEPD.
Finalmente, la Agencia Española de Protección de Datos, tras estudiar el
expediente, ha impuesto a la fundación una multa de 2.000 euros,
considerando una infracción del artículo 10 de la Ley de Protección de
Datos.