Una semana más, continuamos analizando la regulación del régimen sancionador en el Reglamento Europeo de Protección de Datos (RGPD) y el Anteproyecto de Ley Orgánica de Protección de Datos (Anteproyecto). En esta ocasión, nos centraremos en la figura del apercibimiento y la aplicación del régimen sancionador respecto de los organismos públicos.
Comenzando por la figura del apercibimiento, como es sabido, no nos encontramos ante una figura novedosa, puesto que ya aparece contemplada en la actual Ley Orgánica de Protección de Datos (LOPD) en su artículo 45.6, en el que se establece que el apercibimiento sólo podrá tener lugar cuando las infracciones cometidas sean de carácter leve y grave, nunca muy grave, y siempre que el infractor no haya sido sancionado o apercibido con carácter previo.
Por su parte el RGPD mantiene esta importante figura indicando para ello en su considerando 148 que, si la infracción cometida fuese leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control podrán imponer un apercibimiento en lugar de sanción mediante multa.
Además, el artículo 58 en sus letras a y b dice “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.
Respecto del régimen sancionador de los organismos públicos, actualmente en la LOPD y el RD 1720/2007 encontramos una clara diferenciación entre aquellos casos en que las infracciones han sido cometidas por las entidades de derecho privado, las cuales podrán conllevar sanciones de carácter económico, y las realizadas por las entidades de derecho público, que, por el contrario, siempre llevarán aparejadas la imposición de unas medidas correctoras que no conllevarán, en ningún caso, las sanciones económicas.
Así lo indica el artículo 46 de la LOPD: “Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera”
Sin embargo, el RGPD y a través de su artículo 83.7 establece que los EM tendrán la capacidad de establecer normas respecto a si se puede imponer sanciones económicas a las autoridades y organismos públicos de aquellos EM que así lo hayan establecido y, en su caso, la medida de las mismas.
A pesar de lo antedicho, en España, todo parece indicar que se va a mantener el régimen sancionador hasta ahora aplicado respecto de las entidades de carácter público, así se desprende de los establecido en el artículo 77.2 del Anteproyecto, cuando indica “cuando los responsables o encargados enumerados en el apartado 1 (entidades de carácter público incluidas corporaciones de Derecho público, fundaciones y universidades públicas) y cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 (infracciones muy graves, graves y leves), la autoridad de protección de datos, que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido«
Por último destacar que, a pesar de la ausencia de la regulación de la figura del apercibimiento para las entidades con personalidad jurídica privada en el Anteproyecto, tal y hemos hablado al inicio del presente artículo, el RGPD sí lo contempla de forma general y no debemos olvidar que el mismo es la norma principal y de aplicación directa.
