➤ 1.2. Aplicación del nivel básico a datos de salud REQUISITOS – La existencia de una ley que imponga un deber cuyo cumplimiento obligue a tratar ciertos datos de salud. – Que dichos datos respondan a unas características concretas. ÚNICAMENTE EN LOS SIGUIENTES TIPOS DE DATOS Porcentaje Discapacidad Indicador “SI/NO” Incapacidad laboral, enfermedad común, accidente laboral, enfermedad profesional “SI/NO” Aptitud para el desempeño (por razones de salud) Fecha “Apto/No apto” Maternidad “SI/NO” 2. CUADRO GENERAL DE MEDIDAS DE SEGURIDAD Nivel Contenido del Documento de Seguridad (*) Sis. Trat. RLOPD BAS • Ámbito de aplicación: Especificación detallada de los recursos protegidos. (AUT/MAN) 88.3.) BAS • Medidas, normas, procedimientos, reglas y estándares de seguridad. (AUT/MAN) 88.3.b) BAS • Funciones y obligaciones del personal. (AUT/MAN) 88.3.c) BAS • Estructura y descripción de ficheros y sistemas de información. (AUT/MAN) 88.3.d) BAS • Procedimiento de notificación, gestión y respuesta ante incidencias. (AUT/MAN) 88.3.e) BAS • Procedimiento de realización de copias de respaldo y recuperación de datos. (AUT/MAN) 88.3.f) BAS • Medidas adoptadas para el transporte de soportes y documentos. (AUT/MAN) 88.3.g) (*) Permanentemente actualizado. 186 - PRONTUARIO PROTECCIÓN DE DATOS 2010 © CISS 238 - PRONTUARIO PROTECCIÓN DE DATOS 2010 © CISS (Art. 45.4 LOPD) La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.. GRADUACIÓN (Art. 45.5 LOPD) Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. DISMINUCIÓN CULPABILIDAD A los 3 años A los 2 años Al año PRESCRIPCIÓN (*) En ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar. 300.506,05 a 601.012,10 euros 60.101,21 a 300.506,05 euros GRAVE MUY GRAVE 601,01 a 60.101,21 euros SANCIÓN LEVE INFRACCIÓN ➤ 2.1. Sanciones de la LOPD (art. 45) 2. SANCIONES © CISS INFRACCIONES Y SANCIONES - 239 Las Administraciones Públicas responsables de ficheros no tienen sanción pecuniaria por la comisión de infracciones a que se refiere el artículo 44 LOPD. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas. Cuando las infracciones fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la AEPD dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. Sanciones por infracciones de las administraciones públicas LOPD (art. 46) La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor (art. 47.5 y 6 LOPD). (*) El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que experimenten los índices de precios. 240 - PRONTUARIO PROTECCIÓN DE DATOS 2010 © CISS 150.001,00 a 600.000,00 euros (*) Los beneficios obtenidos por la infracción. Volumen de facturación a que afecte la infracción cometida. (art. 40 LSSICE) f) La naturaleza y cuantía de los perjuicios causados. d) e) La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme. Plazo de tiempo durante el que se haya venido cometiendo la infracción. b) c) La existencia de intencionalidad. a) La cuantía de las multas que se impongan se graduará atendiendo a los siguientes criterios: GRADUACIÓN A los 3 años A los 2 años Al año PRESCRIPCIÓN Para la imposición de esta sanción, se considerará la repercusión social de la infracción cometida, por el número de usuarios o de contratos afectados, y la gravedad del ilícito. (*) Podrán llevar aparejada la publicación, a costa del sancionado, de la resolución sancionadora en el «BOE», o en el diario oficial de la Administración pública que, en su caso, hubiera impuesto la sanción; en dos periódicos cuyo ámbito de difusión coincida con el de actuación de la citada Administración pública o en la página de inicio del sitio de Internet del prestador, una vez que aquélla tenga carácter firme. MUY GRAVE GRAVE hasta 30.000 euros. LEVE 30.001,00 a 150.000,00 euros. (*) SANCIÓN INFRACCIÓN ➤ 2.2. Sanciones de la LSSICE (art. 39) © CISS INFRACCIONES Y SANCIONES - 241 El órgano administrativo competente para resolver el procedimiento sancionador podrá imponer multas coercitivas por importe que no exceda de 6.000 euros por cada día que transcurra sin cumplir las medidas provisionales que hubieran sido acordadas. Advertir al público de la existencia de posibles conductas infractoras y de la incoación del expediente sancionador de que se trate, así como de las medidas adoptadas para el cese de dichas conductas. Precinto, depósito o incautación de registros, soportes y archivos informáticos y de documentos en general, así como de aparatos y equipos informáticos de todo tipo. b) c) Suspensión temporal de la actividad del prestador de servicios y, en su caso, cierre provisional de sus establecimientos. a) En particular, podrán acordarse las siguientes: En los procedimientos sancionadores por infracciones graves o muy graves se podrán adoptar, con arreglo a la LRJPAC y normas de desarrollo, las medidas de carácter provisional previstas en dichas normas que se estimen necesarias para asegurar la eficacia de la resolución que definitivamente se dicte, el buen fin del procedimiento, evitar el mantenimiento de los efectos de la infracción y las exigencias de los intereses generales. Cuando las infracciones sancionables con arreglo a lo previsto en esta Ley hubieran sido cometidas por prestadores de servicios establecidos en Estados que no sean miembros de la Unión Europea o del Espacio Económico Europeo, el órgano que hubiera impuesto la correspondiente sanción podrá ordenar a los prestadores de servicios de intermediación que tomen las medidas necesarias para impedir el acceso desde España a los servicios ofrecidos por aquéllos por un período máximo de dos años en el caso de infracciones muy graves, un año en el de infracciones graves y seis meses en el de infracciones leves. 242 - PRONTUARIO PROTECCIÓN DE DATOS 2010 © CISS GRAVE LEVE INFRACCIÓN Importe de hasta el duplo del beneficio bruto obtenido como consecuencia de los actos u omisiones que constituyan aquéllas o, en caso de que no resulte aplicable este criterio, el límite máximo de la sanción será de 500.000 euros. Amonestación privada hasta 30.000 euros. GRADUACIÓN Además, para la fijación de la sanción se tendrá en cuenta la situación económica del infractor, derivada de su patrimonio, de sus ingresos, de sus cargas familiares y de las demás circunstancias personales que acredite que le afectan. La cuantía de la sanción que se imponga, dentro de los límites indicados, se graduará teniendo en cuenta, además de lo previsto en el art. 131.3 Amonestación pública, con publi- de la LRJPAC lo siguiente: cación en el «BOE» y en dos periódicos de difusión nacional, a) La gravedad de las infracciones una vez que la resolución sanciocometidas anteriormente por el nadora tenga carácter firme. sujeto al que se sanciona. b) La repercusión social de las infracciones. c) El beneficio que haya reportado al infractor el hecho objeto de la infracción. d) El daño causado. SANCIÓN ACCESORIA (Podrán llevar aparejada) SANCIÓN (1) ➤ 2.3. Sanciones de la LGT (art. 56) A los 2 años A los 6 meses PRESCRIPCIÓN (*) © CISS INFRACCIONES Y SANCIONES - 243 MUY GRAVE Resto de infracciones muy graves, importe no inferior al tanto, ni superior al quíntuplo, del beneficio bruto obtenido como consecuencia de los actos u omisiones en que consista la infracción. En caso de que no resulte posible aplicar este criterio, el límite máximo de la sanción será de 2 millones de euros. Infracciones q) y r) del art. 53: multa por importe no inferior al tanto, ni superior al quíntuplo, del beneficio bruto obtenido como consecuencia de los actos u omisiones en que consista la infracción. En caso de que no resulte posible aplicar este criterio o que de su aplicación resultara una cantidad inferior a la mayor de las que a continuación se indican, esta última constituirá el límite del importe de la sanción pecuniaria. A estos efectos, se considerarán las siguientes cantidades: el 1% de los ingresos brutos anuales obtenidos por la entidad infractora en el último ejercicio en la rama de actividad afectada o, en caso de inexistencia de éstos, en el ejercicio actual: el 5% de los fondos totales, propios o ajenos, utilizados en la infracción, o 20 millones de euros. (2) Además de la sanción que corresponda imponer a los infractores, cuando se trate de una persona jurídica, se podrá imponer una multa de hasta 60.000 euros a sus representantes legales o a las personas que integran los órganos directivos que hayan intervenido en el acuerdo o decisión. (3) Si se requiera título habilitante para el ejercicio de la actividad realizada por el infractor: el precintado o la incautación de los equipos o aparatos o la clausura de las instalaciones en tanto no se disponga del referido título. Inhabilitación hasta de 5 años del operador para la explotación de redes o la prestación de servicios de comunicaciones electrónicas. A los 3 años 244 - PRONTUARIO PROTECCIÓN DE DATOS 2010 © CISS (*) El plazo de prescripción de las sanciones comenzará a computarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a correr el plazo si aquél está paralizado durante más de un mes por causa no imputable al infractor. (3) Quedan excluidas de la sanción aquellas personas que, formando parte de órganos colegiados de administración, no hubieran asistido a las reuniones o hubieran votado en contra o salvando su voto. - Asimismo, podrá acordarse, como medida de aseguramiento de la eficacia de la resolución definitiva que se dicte, la suspensión provisional de la eficacia del título y la clausura provisional de las instalaciones, por un plazo máximo de seis meses. - Cuando el infractor carezca de título habilitante para la ocupación del dominio público o su equipo no haya evaluado su conformidad, se mantendrán las medidas cautelares previstas en el párrafo anterior hasta la resolución del procedimiento o hasta la evaluación de la conformidad. - Las infracciones a las que se refieren los arts. 53 y 54 podrán dar lugar a la adopción de medidas cautelares, que de conformidad con el art. 136 de la LRJPAC, podrán consistir en el precintado y, en su caso, la retirada del mercado de los equipos o instalaciones que hubiera empleado el infractor por un plazo máximo de seis meses, y en la orden de cese inmediato de la actividad presuntamente infractora, siendo, en su caso, aplicable el régimen de ejecución subsidiaria previsto en el art. 98 de dicha ley. (2) Medidas Cautelares: El MCyT o la CMT, en el ámbito de sus respectivas competencias, podrán adoptar las siguientes medidas: (1) El infractor vendrá obligado, en su caso, al pago de las tasas que hubiera debido satisfacer en el supuesto de haber realizado la notificación a que se refiere el art. 6 o de haber disfrutado de título para la utilización del dominio público radioeléctrico. XIX. PROCEDIMIENTOS TRAMITADOS POR LA AEPD 1. PROCEDIMIENTO DE TUTELA DE DERECHOS Concepto El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la AEPD o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación. Regulación − Art. 18 LOPD − Arts. 117 a 119 RLOPD Esquema Instancia del afectado: Deberá expresar con claridad el contenido de su declaración y los preceptos de la LOPD que se consideren infringidos. Audiencia al responsable del fichero: Recibida la reclamación se dará traslado de la misma al responsable del fichero para que en un plazo de 15 días formule las alegaciones que estime pertinentes. Resolución de la AEPD: Si en el plazo de máximo de 6 meses no hay resolución expresa, se entiende estimada la resolución. Resolución estimatoria: Se requerirá al responsable del fichero para que, en un plazo máximo de 10 días siguientes a la notificación, haga efectivo el ejercicio de los derechos objeto de la tutela. © CISS Resolución desestimatoria: – El recurso de reposición ante el Director de la AEPD es potestativo. – Procederá recurso contencioso-administrativo ante la Audiencia Nacional. PROCEDIMIENTOS TRAMITADOS POR LA AEPD - 245