Intervención de Ricard Martínez en el IV Foro DPI
El presidente de la Asociación Profesional Española reivindica una interpretación de la reforma de la LOPD que tenga en cuenta la diligencia de los responsables en el IV Foro del Data Privacy Institute
En el marco de la mesa redonda sobre “Primeras resoluciones tras la reforma del régimen sancionador de la LOPD” José Luis López Calvo, Subdirector General de Inspección de la Agencia Española de Protección de Datos, y Ricard Martínez Martínez, presidente de APEP abordaron las consecuencias prácticas de la última reforma.
En su intervención el presidente de APEP analizó distintas sentencias de la Audiencia Nacional que aplican con carácter retroactivo las previsiones del art. 45 de la LOPD, así como las primeras resoluciones dictadas aplicando la figura del apercibimiento. En primer lugar, destaco que la reforma supone en la práctica un mantenimiento del statu quo de la Administración Pública, no sometida a sanción pecuniaria alguna, considerando a continuación un acierto, la simplificación y clarificación de los tipos de infracción.
Por otra parte, examinando la reducción de las cuantías en las sanciones calificó la reforma de maquillaje en la medida en la que, por una parte se ha incrementado la infracción mínima hasta los 900 euros y, si bien es cierta la disminución en 20.000.-euros del tramo máximo de las infracciones leves, y mínimo de las graves, el conjunto de tramos se mantiene en lo esencial con un límite de 600.000 euros.
Por ello, el elemento clave no será otro que el de la aplicación de los criterios de modulación del art. 45.4 y 5. De entre los primeros destacó el regulado en el apartado i) consistente en «la acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor».
Respecto de este aspecto subrayó cómo existen al menos dos ámbitos en los que la diligencia del responsable no puede impedir la concurrencia de infracciones. En concreto, en el ámbito de la seguridad y en las suplantaciones de identidad el responsable del fichero cuando ha sido diligente y sufre un ataque o es estafado es una víctima, y el resultado de aplicar criterios de responsabilidad objetiva en razón del resultado una injusticia en sentido material. Mientras se aplique este tipo de criterio no cabe esperar ninguna cooperación por parte de responsables que temerán incluso denunciar ciertos hechos cuando la consecuencia q para ellos se derivará, la aplicación del régimen sancionador de la LOPD, pueda ser más gravosa que el beneficio a obtener. En tal sentido, la generalización de prácticas como la notificación de quiebras de seguridad a autoridades y usuarios podría verse severamente limitada mientras subsista el criterio de objetivar la responsabilidad en casos en el responsable, habiendo sido diligente, carece de culpabilidad alguna.
Por último, felicitando la oportunidad de la institución del apercibimiento se consideraron algunos de los problemas que plantea. En primer lugar, destacó su acierto como metodología para concienciar al responsable. No obstante, se trata de sin duda de una sanción administrativa susceptible de ser recurrida, y con independencia de no suponer desembolso para el infractor, su publicación comporta un coste reputacional serio para las organizaciones.
Por otra parte, se subrayó un déficit en esta materia. El legislador no ha optado por hacer tabula rasa, y por tanto nunca podrá beneficiarse de este régimen más favorable cualquier infractor anterior. Y adicionalmente se produce un fenómeno particular, mientras que una persona sancionada penalmente posee el derecho a la reinserción y sus antecedentes acabarán cancelándose una entidad privada que haya incumplido levemente la LOPD una sola vez arrastrará esta mancha durante toda su vida.
Finalmente destacó la actuación proactiva de las autoridades de protección de datos en su ayuda y asesoramiento a los responsables, pero abogando por cambios legislativos que hagan aplicable la LOPD. Primero reafirmando conceptos como liability o privacy by design, y subrayando la necesidad de contar con un asesoramiento adecuado en esta materia. Y, finalmente abogando por una aplicación ajustada que atienda a la diligencia del responsable y considere la presencia de situaciones en las que éste no es culpable.
En el turno de intervenciones José Luis López Calvo precisó que la AEPD está teniendo adoptando el criterio de la jurisprudencia de la Audiencia Nacional en el sentido de tener en cuenta la diligencia de los responsables como criterio de exoneración de la responsabilidad, considerando que no concurre culpa cuando existe diligencia previa en la implantación de las medidas de seguridad y una reacción posterior adecuada"