Sanciones de la Agencia de Protección de Datos 

La citada Agencia es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada y que actúa con plena independencia de las Administraciones Públicas.

Entre sus funciones más destacadas, además de atender las peticiones y reclamaciones de las personas físicas afectadas, se encuentran las de mantener el registro general, donde se han de inscribir los ficheros de titularidad pública y privada con datos de carácter persona y, si fuera necesario, ejercer la potestad sancionadora sobre los responsables y encargados del tratamiento, en los términos previstos por la ley.

Por otra parte, desde el 26 de junio de 1999 está en vigor el Reglamento de Seguridad (RD 994/99 de 11 de junio) que desarrolla la mencionada ley orgánica y que establece la obligación de las empresas de poner en marcha diversas medidas destinadas a garantizar la protección de dichos datos, afectando a sistemas informáticos, archivos de soportes de almacenamiento, personal, procedimientos operativos, etc.

Es en la AGPD ante quién deberá, todo interesado, que entienda que se ha vulnerado su derecho de protección de sus datos personales, ante quién debe denunciar a la empresa infractora.

La comunicación o cesión de datos de carácter personal fuera de aquellos casos en que esté legalmente autorizada, integra una de las infracciones muy graves.

Como regla general, los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario y con el consentimiento del interesado.

El mismo precepto fija las excepciones a ese principio del consentimiento (cesión autorizada por ley, datos recogidos de fuentes accesibles al público, tratamiento derivado de una relación jurídica libremente aceptada, comunicación a autoridades e instituciones en los casos admitidos o datos de salud necesarios para solucionar una urgencia).

La gravedad de la infracción administrativa del deber de secreto impuesto por el art. 10 de la LOPD se gradúa en función de la naturaleza de los datos afectados por esa vulneración.

La infracción de ese deber de discreción puede ser catalogada como infracción muy grave –si se refiere a datos ultrasensibles o que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas- o grave -cuando aludan a datos referentes a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros que permitan evaluar la personalidad del individuo-.

Entre las infracciones de carácter muy grave se incluye el “…no cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia de Protección de Datos”.

Se trata, en fin, de exigir de los responsables y encargados de los tratamientos la adopción de las medidas necesarias para la adecuación de ese tratamiento a las exigencias impuestas por la ley, pudiendo ordenar, en su caso, la cesación y hasta la cancelación de los ficheros que no se ajusten a sus disposiciones.

La ley asocia a la conducta de inobservancia de tales requerimientos el efecto sancionador en forma de infracción muy grave.

Algo similar acontece con la LSSI, cuyo art. 38.2 a) cataloga como infracción muy grave el incumplimiento de las órdenes dictadas por el órgano administrativo competente encaminadas a la interrupción de la prestación de un servicio o a la retirada de datos en que se atente contra algunos de los principios que el propio art. 8 menciona.

El problema podría surgir en aquellas ocasiones en que por los mismos hechos se incoara un proceso penal –perfectamente posible si el Director de la Agencia de Protección de Datos o la autoridad administrativa competente, según los casos, dedujera el tanto de culpa al Ministerio Fiscal-, para indagar la posible existencia de un delito de desobediencia tal y como lo describe el art. 556 del CP.