Graduacion sanciones LOPD


En mi entrada de ayer os hablaba de las numerosas multas que se le imponen a VODAFONE por vulneración de la normativa sobre protección de datos, y al echar hoy un vistazo a las nuevas sanciones publicadas en la web de la Agencia Española de Protección de Datos, me encuentro con la Resolución de 10 de octubre, dictada en el Procedimiento Sancionador 192/2013, en la que, por hechos idénticos, se impone otra multa a VODAFONE de 20.000 euros, también por una infracción grave.

Pero es que sigo curioseando y ¿a que no adivináis a quién multan una vez más en  la resolución publicada inmediatamente antes de la que os comentaba ayer (procedimiento sancionador nº 189/2013)?

¡A VODAFONE! ¡Premio!

Y en esta última la sanción asciende a 50.000 euros.

Ya, claro, he seguido mirando y me encuentro con (ojo, que son resoluciones publicadas en los últimos 20 días aproximadamente):

– Procedimiento sancionador 201/2013: multa de 50.000 euros a VODAFONE. Mismos hechos.

– Procedimiento sancionador  188/2013: multa de 50.000 euros a VODAFONE. Mismos hechos.

Y si siguiera avanzando por el listado de resoluciones, sé que encontraría muchísimas más.

A la vista de todo esto, la reflexión que quiero hacer es la siguiente:

En las dos resoluciones más recientes (procedimientos sancionadores nº 192 y 261 del año 2013), se multa a VODAFONE con sólo 20.000 euros de multa. ¿Por qué –puede que te preguntes- si se trata de sanciones graves que están sancionadas con importes comprendidos entre los 40.001 y los 300.000 euros? Pues porque las sanciones han sido graduadas.

En el 2011 se introdujeron una serie de modificaciones en la regulación del  régimen sancionador de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal (LOPD). Una de ellas fue la de la graduación de  las sanciones. Los distintos casos en que cabe graduarla, se recogen en los párrafos 4 y 5 del artículo 45 LOPD.

¿Por qué entonces la Agencia Española de Protección de Datos elige disminuir una multa a VODAFONE acogiéndose a ciertos supuestos que lo permiten, en lugar de tener en cuenta la reincidencia de la entidad infractora, que es un hecho  público y notorio?

No lo entiendo, la verdad.

¿Qué piensa la Agencia? ¿Pobrecito Vodafone?

Tiene guasa y de la buena.

Las multas pueden graduarse si hay reincidencia. Por tanto, es obvio que si una empresa comete una y otra vez las mismas infracciones, se le puede aplicar la multa en un tramo más alto, en vez de reducirla.

Pero no, pobrecito Vodafone, no seamos malos con ellos, que son muy majos y nos nutrimos básicamente de sus multas… Tampoco hay que pasarse, que si no, lo mismo los quebramos y ahora a ver quién nos paga…

Una empresa que reincide sin cesar en conductas contrarias a la LOPD debería ser sancionada con las multas de máximo importe permitidas en la normativa.

¿De qué sirve todo esto si la Agencia se dedica a reducirles las sanciones?

Lamentable.

Registro General Proteccion Datos

Es curioso que la gran mayoría de la gente desconozca por completo la existencia del Registro General de Protección de Datos. Es éste un registro de la Agencia Española de Protección de Datos donde todos los profesionales, empresas, entidades y administraciones públicas sujetas a la normativa de protección de datos, tienen que estar obligatoriamente inscritos, pues antes de empezar su actividad han tenido que notificar qué ficheros de datos van a tratar para prestar sus servicios.

Gran sorpresa es la reacción habitual que capto cada vez que se lo explico a mis clientes.

Además, se trata de un registro de consulta totalmente gratuita y fácilmente accesible, al que cualquiera con un ordenador y una conexión a internet puede entrar.

No hay más que pinchar en el siguiente enlace y rellenar nombre o CIF del obligado por la norma, si lo que buscas es una Administración u organismo público:

https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_publica/busqueda_general/index-ides-idphp.php

O en este otro, si lo que buscas una entidad privada (profesionales, empresas, asociaciones, fundaciones, etc… de naturaleza no pública):

https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/index-ides-idphp.php

¿Y de qué me sirve acceder a este registro?

Básicamente para conocer si la empresa, entidad, administración o profesional ha dado cumplimiento a una de las obligaciones principales de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

¿Consultando este registro ya puedes tener certeza de que la empresa (u otro) está plenamente adaptada a la LOPD y cumple todas sus obligaciones?

Rotundamente, NO.

Estar inscrito en el Registro es buena señal y un indicio de que la empresa cumple, pero no quiere decir que cumpla con todas sus obligaciones. De hecho, así lo advierte la Agencia Española de Protección de Datos en su propia web, usando estos clarísimos términos:

En todo caso, la inscripción de un fichero en el RGPD, únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley Orgánica 15/1999, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias.

Las Agencias de Protección de Datos no han establecido ningún sistema de verificación del cumplimiento de la LOPD por parte de los sujetos obligados por la norma. Sólo en caso de tener una inspección y/o un posterior procedimiento sancionador, se comprobará si el sujeto cumple todas las prescripciones legales.

Por otro lado, la otra función importante que tiene el Registro de la Agencia es hacer posible el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, ya que los sujetos inscritos han tenido que facilitar unos datos de contacto (domicilio, e-mail, teléfono y fax), que podrás usar si quieres ejercitar estos derechos, ya sea enviando un e-mail, un fax, un burofax, telegrama, etc…

Pienso (y lo pensamos la mayoría de los que nos dedicamos a esto) que el Registro de la Agencia es un mal registro.

Claro, como que es gratuito.

Pues sí, es totalmente gratuito y eso ya te puede dar una idea de por dónde vamos.

Nada de lo que allí se inscribe se comprueba, ni se contrasta. Yo puedo inscribirme diciendo que soy Lola Flores, que me dedico a la actividad sanitaria y que vivo en el Alcorcón.

Puedo decir que mis ficheros de datos tienen la finalidad de gestionar el exterminio de la casta política, o de organizar escraches contra Rajoy, o de tratar datos para constituir una asociación de blanqueadores de dinero profesionales…

Ningún funcionario del Registro de la Agencia se va a molestar en leer lo que allí diga.

Se limitan a comprobar si el formulario enviado es el oficial y si se han cumplimentado los campos obligatorios y no hay contradicciones.

Raro es que  miren más allá.

No obstante, también debo decir que sí noto más interés cuando se solicita la inscripción de ficheros de entidades públicas. Ahí sí que he visto requerimientos de la Agencia que pedían aclaraciones o rectificaciones sobre detalles del formulario.

Pero fuera de esos casos, la supervisión es mínima.

Eso sí: si tu obligación es estar inscrito y no lo estás, la multa está garantizada. Y hablamos como mínimo de sanción leve, con multas comprendidas entre los 900 y los 40.000 euros.

No está mal.