Diligencia, la clave para evitar sanciones

Diligencia, la clave para evitar sanciones

Diligencia, grábate esta palabra.

¿Te has preguntado alguna vez que puede salvarte de una sanción en materia de protección de datos?

Tu cara bonita no.

Un documento de seguridad que no aplicas, tampoco.

La diligencia será tu mejor aliada, es la pieza fundamental de la LOPD.

La diligencia, tu salvación

Todos podemos meter la pata en algún momento y encontrarnos con una notificación en donde la Agencia Española de Protección de datos abre un expediente.

Una denuncia, una investigación.

¿Que pasará después?

Me propongo demostrarte como la diligencia marca la diferencia en la imposición de sanciones por parte de la AEPD (Agencia Española de Protección de Datos)

La Agencia Española de Protección de Datos utiliza el grado de diligencia para decidir si eres merecedor o no de una sanción y si esta será de las despiadadas o de las indulgentes.

Cuando insisto que cumplir la LOPD supone esencialmente poder acreditar profesionalidad y responsabilidad en el tratamiento de datos de carácter personal, me refiero justamente a esto, a la diligencia.

De poco te servirá tener los ficheros inscritos si no sabes operar bajo la LOPD, si desatiendes derechos, si actúas indolentemente respecto a la información personal que gestionas.

La falta de diligencia valorada en 80.000€

La LOPD enuncia con claridad que «los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley»

Para ilustrarte mejor el concepto de diligencia, nada mas oportuno que remitirme a los hechos.

Publicado recientemente el expediente sancionador a CAIXACARD, justamente, por falta de diligencia y expresado así por la AEPD:

«…a juicio de esta Agencia, en el presente caso se estima que no concurren las circunstancias necesarias para que pueda establecerse la sanción aplicando la escala relativa a las infracciones leves, considerando la falta de respuesta por parte de CAIXACARD para regularizar unas incidencias que conoce, al menos, desde el año 2012. CAIXACARD no ha llevado a cabo las actuaciones necesarias para corregir las anomalías y minimizar sus efectos. A este respecto, conviene recordar que desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. Por lo que atañe a la diligencia que es exigible en estos casos, la SAN de 17 de octubre de 2007 (Rec. 63/2006) indica: «…. el Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las  prevenciones legales al respecto«

Aquí aparecen elementos sustanciales para entender como funciona la lupa de la AEPD:

  • No llevar a cabo las actuaciones necesarias para corregir las anomalías y minimizar sus efectos una vez detectados.
  • Existe imprudencia cuando el infractor no se comporta con la diligencia exigible.
  • En la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto.

Como ves, queda claro que se sanciona fundamentalmente la falta de profesionalidad y prudencia en la gestión de la información, algo que no debería dejarte indiferente.

Los criterios de la AEPD para fijar sanciones

Hay mas motivos que se atienden a la hora de fijar la cuantía de las sanciones y que deberías conoces:

  • a) El carácter continuado de la infracción.
  • b) El volumen de los tratamientos efectuados.
  • c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • d) El volumen de negocio o actividad del infractor.
  • e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • f) El grado de intencionalidad.
  • g) La reincidencia por comisión de infracciones de la misma naturaleza.
  • h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
  • i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
  • j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

Y también se tienen en cuenta:

  • La gravedad de las infracciones cometidas anteriormente por el sujeto al que se sanciona.
  • La repercusión social de las infracciones.
  • El daño causado y su reparación.
  • El cumplimiento voluntario de las medidas cautelares que, en su caso, se impongan en el procedimiento sancionador.
  • La negativa u obstrucción al acceso a las instalaciones o a facilitar la información o documentación requerida.
  • El cese de la actividad infractora, previamente o durante la tramitación del expediente sancionador.

Por otra parte, habrá consideraciones «atenuantes» para reducir el sablazo sancionador como:

  1. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
  2. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  3. Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
  4. Cuando el infractor haya reconocido espontáneamente su culpabilidad.
  5. Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente”.

Y para ejemplificarla, en este otro expediente sancionador, la AEPD expresa así los motivos atenuantes:

«Habida cuenta de que ha quedado acreditado, la ausencia de beneficio para el denunciado y que este ha reconocido espontáneamente su culpabilidad, por todo ello procede imponer una multa de 4.000 €.»

De 4000€ a 80.000€ hay una distancia considerable, una diferencia sustancial en la cuantía de la sanción que escenifica la importancia de la diligencia y la falta de intencionalidad.

La diligencia como clave de una buena adecuación a la LOPD

Queda nítida la clave de una buena adecuación a la LOPD en contraposición a una FastLOPD:

La diligencia.

Debes poder acreditar que antes de producirse la infracción, tenías  implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal.

Deberás demostrar que la infracción se produjo como consecuencia de una anomalía en el funcionamiento de dichos procedimientos o un hecho ajeno a tu voluntad y que no se debe a una falta de diligencia por tu parte.

Si no tienes claro si estás en condiciones de acreditar tu diligencia, te animo que hagas este checkList, te ayudará a comprobarlo.

Si ves que no estás a punto, ya sabes donde encontrarme.

Imagen: Anais Gómez-C

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram

Suscríbete hoy

Convierte tu web en un

espacio confiable, seguro y 100% legal

5 respuestas

  1. Muy acertado Marina tu post. La diligencia mostrada, puede ser lo que marque la diferencia ante la AEPD, como ocurre en nuestra vida real.
    Vale que en ocasiones no basta con «buenas intenciones», pero sin ellas será más difícil/imposible nuestra defensa.
    Un saludo, Rafael Varela

    1. Exacto Rafael, por eso es importante dejar de confundir el cumplimiento normativo con formalidades y trámites y asumir que la protección de datos pasa por hacer las cosas bien desde el principio y poder demostrarlo.
      Un abrazo

    1. Gracias David por sumarte a este post y dejar tu aportación. La diligencia es de las cosas mas olvidadas por la mayoría de las FastLOPD, se centran solo en el papeleo y del resto, lo mas trascendental, nada.
      Yo siempre digo a mis clientes si tras pasar por una adecuación a la LOPD te quedas igual que antes, es que no te sirve para nada y seguirás igual de expuesto a recibir una sanción.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad. *

marinabrocca.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Marina Brocca como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: responder a los comentarios enviados a través de la web.

Legitimación: Consentimiento del interesado.

Destinatarios: Hosting: Bitlabs Ingeniería de Software, S.L. Debes saber que mi hosting es 100% español y 100% seguro.

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@marinabrocca.com así como el derecho a presentar una reclamación ante una autoridad de control.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Información adicional: Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: marinabrocca.com, así como consultar mi política de privacidad.