Resulta que te puedes despertar un sábado cualquiera, pensando en todas las cosas que querías hacer ese día y que para ello deberías haber estado en marcha desde hace un par de horas, y mientras desayunas tranquilamente ves en Twitter que se ha publicado en el BOE la Ley de Economía Sostenible (LES para los amigos, si es que tiene)… ¿me habré quedado dormido dos días y hoy será lunes? Pues no, efectivamente, el pasado sábado 5 de marzo el BOE número 55 publicaba la Ley 2/2011, de 4 de marzo, de Economía Sostenible.
En las más de 200 páginas de la norma caben muchísimos temas de los que hablar, de lo que darán fe los medios, blogs, twitters, etc., durante los próximos días. Pero vamos a centrar este post en la reforma de la Ley Orgánica de Protección de Datos (LOPD) que se opera por vía de la Disposición final quincuagésima sexta. Por cierto, la LES entraba en vigor el día siguiente de su publicación…, efectivamente, el día 6 de marzo, un domingo cualquiera.
Entre los cambios fundamentales de la LOPD cabe destacar los siguientes:
- Introducción de la figura del apercibimiento como alternativa a la multa, de modo que la Agencia Española de Protección de Datos puede aplicarlo de forma excepcional, no iniciando el procedimiento sancionador cuando los hechos fuesen constitutivos de infracción leve o grave y el infractor no hubiese sido sancionado o apercibido con anterioridad.
- Eliminación o modificación de la calificación de determinadas infracciones. Así, la cesión de datos que no sean especialmente protegidos se tipifica como infracción grave, en lugar de muy grave, y la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 constituye una infracción leve.
- Ampliación del número de criterios para graduar las sanciones. A efectos ejemplificativos, se permite graduar el importe de la sanción en función del volumen de negocio del infractor o si el mismo si acredita que tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal. Hay que tener en cuenta que la lista se amplía hasta diez criterios, un número elevado que esperemos que la Agencia sepa manejar en beneficio de unas sanciones más ajustadas y acordes con la realidad que esté detrás de cada infracción.
- Igualmente, ampliación de los criterios para la consideración de la escala de sanciones inmediatamente inferior a la inicialmente aplicable. En este sentido, cabe destacar el reconocimiento espontáneo de su culpabilidad por parte del infractor o que la entidad infractora haya regularizado la situación irregular de forma diligente (¿es diligente regularizar cuando ya tiene el Sancionador abierto?).
- Por último, se aumenta la cuantía mínima de las sanciones correspondientes a las infracciones leves (de 601,01 a 900 Euros) y se reduce el límite superior (de 60.101,01 a 40.000 Euros).
En resumen, una reforma que todos deberemos llevar a la práctica. Las empresas para reevaluar sus riesgos en materia de protección de datos, y sobre todo sus estrategias proactivas y reactivas ante procedimientos sancionadores. La propia Agencia Española de Protección de Datos para aplicar de manera clara y objetiva la nueva norma, lo cual afecta ya a los procedimientos sancionadores abiertos. Y en definitiva, todos los que estamos de uno u otro modo implicados en la aplicación de la LOPD, para poner en positivo los nuevos preceptos, exprimir sus ventajas al máximo y ser aun más eficientes en la gestión de los riesgos en materia de protección de datos de carácter personal.
