jueves, 6 de septiembre de 2012

La evolución del Régimen Sancionador por incumplimiento LOPD en España y la diversidad de escenarios existente en Europa

Desde que nació la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, uno de los aspectos más debatidos y trascendentes en el mundo empresarial fue la alta cuantía que alcanzaban las sanciones, especialmente las muy graves (hasta 600.000 euros).  El establecimiento de los niveles leve, grave y muy grave y las sanciones asociadas (rangos económicos) provocó un impacto de calado en las organizaciones, sobre todo en las pymes, que consideraban injusta la estandarización de sanciones para “el mundo empresarial” por entender que no tiene las mismas consecuencias una sanción similar para una PYME que para una IBEX 35. A este argumento se sumó el hecho de “hacer la vista gorda” con las Administraciones Públicas que hizo que poco a poco se comenzara a ver el Régimen Sancionador definido como “mejorable”.
De esta manera el 6 de marzo de 2011 entró en vigor la Ley de Economía Sostenible que incluía en su Disposición final quincuagésima sexta la reforma de los artículos  43, 44, 45, 46 y 49 referidos al Régimen Sancionador de la Ley 15/1999. Estas modificaciones recogen en gran medida la experiencia acumulada por la AEPD, con el objetivo de aportar mayor seguridad jurídica y mayor precisión en la aplicación de la norma, así como ampliar los criterios de modulación y adecuación de las sanciones. A la modificación de los niveles de gravedad de ciertos incumplimientos, se sumó la sistematización y ampliación de los criterios de graduación que se tienen en cuenta por el órgano sancionador para la modulación de las sanciones, incorporando como novedades la posibilidad de valorar la diligencia profesional sobre el tratamiento de datos exigible al infractor (tal y como hemos apuntado, no es lo mismo la diligencia profesional exigible a una gran corporación que a una Pyme), su volumen de negocio y el tipo de actividad que desarrolla. Además se amplían las opciones para adoptar medidas preventivas en el cumplimiento de la ley a través de la figura del apercibimiento como medida no sancionadora (solo para hechos que no sean constitutivos de infracciones muy graves y cuando el sujeto responsable no haya sido sancionado o apercibido con anterioridad).
De esta manera este hecho definió dentro de nuestras fronteras un nuevo Régimen Sancionador más afinado y preciso. Sin embargo, en un mundo donde una empresa opera en cualquier país, con sedes en diferentes puntos geográficos,  no deja de ser curioso que una misma infracción pueda ser sancionada de diferente manera en función del país donde se cometa. Este hecho, tal y como se muestra en el siguiente artículo del diario jurídico, (http://www.diariojuridico.com/actualidad/conoce-las-sanciones-economicas-que-existen-en-proteccion-de-datos-a-nivel-europeo.html) vuelve a plantear un escenario imperfecto donde surge la pregunta de si sería mejor que las sanciones dependieran de la capacidad de renta de cada país de la Unión.
En mi opinión, es estrictamente necesario que se desarrolle ágilmente  la propuesta de reforma de protección de datos de la Unión Europea, donde se defina un catálogo de infracciones y sanciones económicas iguales para todos, que sería aplicable también a las Administraciones públicas y permita de esta manera regular de una manera estandarizada el Régimen Sancionador de la Ley de Protección de Datos en Europa.