El régimen sancionador establecido por la Ley Orgánica de Protección de Datos es, sin duda, su aspecto más controvertido, pues, como es conocido, las sanciones que la Agencia Española de Protección de Datos puede imponer oscilan entre los 600,01 y los 601.012,10 euros. La determinación de la multa viene establecida por la calificación de la infracción cometida, que puede ser leve, grave o muy grave. Así, la vulneración del deber de guardar secreto sobre los datos de salud de un paciente es calificado como una infracción muy grave, sancionada con una multa que oscilará entre los 300.506,05 y los 601.012,10 euros.
La determinación de la cuantía se fijará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora, por lo que la Agencia Española de Protección de Datos deberá valorar todas estas circunstancias para imponer una multa concreta, sin que tengamos conocimiento de en el sector de la salud se haya impuesto una sanción que supere los 300.506,05 euros.
Sin duda el régimen sancionador establecido por la LOPD es el más severo de los vigentes en la Unión Europea desde un punto de vista pecuniario, pues hay legislaciones que prevén penas de privación de libertad.
Analizando los países de nuestro entorno, desde la óptica del régimen económico sancionador, las multas españolas duplican las previstas en los países de la Unión Europea, así la normativa francesa establece un máximo de 150.000 € en caso de tratarse de la primera infracción y un límite de 300.000 euros en casos de reincidencia dentro de los 5 años siguientes. En Alemania se establecen multas de hasta 250.000 euros, en Italia de 90.000 euros y en Bélgica de 20.000 euros.
Estas divergencias en las distintas normativas, desde nuestro punto de vista, generan un agravio comparativo para las empresas ubicadas en España, ya que las consecuencias económicas que puede conllevar el incumplimiento de la normativa de protección de datos son mucho mayores que en cualquier otro país de la Unión Europea, más aún si se tiene en cuenta que uno de los aspectos más complicados de cumplir es el referido a las medidas de seguridad que en nuestro país están definidas y tasadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que desarrolla la LOPD, mientras que otros países de la UE las tiene definidas con un carácter mucho más genérico. Las medidas de seguridad de nivel alto, ya sean para soportes automatizados o no automatizados, han sido criticadas por el sector sanitario por el alto coste que puede tener su implementación y por la dificultad de la aplicación de las mismas en la práctica diaria de un centro hospitalario.
Ante esta situación, queremos hacer referencia a una Sentencia de la sección sexta de la sala de lo contencioso del Tribunal Supremo, de 16 de marzo de 2010 que anula una Resolución de la Agencia Española de Protección de Datos en la que imponía una multa de 300.506 € a una empresa por la cesión del dato del teléfono móvil a otra sociedad. En líneas generales puede decirse que resulta una novedad que el Tribunal Supremo admita recursos de casación contra Sentencias de la Audiencia Nacional, confirmatorias de Resoluciones de la Agencia, pero lo más novedoso es que el fallo suponga la anulación de la sanción. El Alto Tribunal entiende que la infracción cometida no puede ser considerada como una infracción continuada, ya que no existe una pluralidad de acciones, sino que simplemente se trata de la puesta en conocimiento a un tercero de un dato de carácter personal, estableciendo que el hecho de que esta acción pudiera tener consecuencias lesivas en un momento posterior no la convierte en una infracción continuada. Esta Sentencia podría suponer la revisión del criterio de infracción continuada por parte de la Agencia a la hora de determinar las cuantías de las sanciones.
La determinación de la cuantía se fijará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora, por lo que la Agencia Española de Protección de Datos deberá valorar todas estas circunstancias para imponer una multa concreta, sin que tengamos conocimiento de en el sector de la salud se haya impuesto una sanción que supere los 300.506,05 euros.
Sin duda el régimen sancionador establecido por la LOPD es el más severo de los vigentes en la Unión Europea desde un punto de vista pecuniario, pues hay legislaciones que prevén penas de privación de libertad.
Analizando los países de nuestro entorno, desde la óptica del régimen económico sancionador, las multas españolas duplican las previstas en los países de la Unión Europea, así la normativa francesa establece un máximo de 150.000 € en caso de tratarse de la primera infracción y un límite de 300.000 euros en casos de reincidencia dentro de los 5 años siguientes. En Alemania se establecen multas de hasta 250.000 euros, en Italia de 90.000 euros y en Bélgica de 20.000 euros.
Estas divergencias en las distintas normativas, desde nuestro punto de vista, generan un agravio comparativo para las empresas ubicadas en España, ya que las consecuencias económicas que puede conllevar el incumplimiento de la normativa de protección de datos son mucho mayores que en cualquier otro país de la Unión Europea, más aún si se tiene en cuenta que uno de los aspectos más complicados de cumplir es el referido a las medidas de seguridad que en nuestro país están definidas y tasadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento que desarrolla la LOPD, mientras que otros países de la UE las tiene definidas con un carácter mucho más genérico. Las medidas de seguridad de nivel alto, ya sean para soportes automatizados o no automatizados, han sido criticadas por el sector sanitario por el alto coste que puede tener su implementación y por la dificultad de la aplicación de las mismas en la práctica diaria de un centro hospitalario.
Ante esta situación, queremos hacer referencia a una Sentencia de la sección sexta de la sala de lo contencioso del Tribunal Supremo, de 16 de marzo de 2010 que anula una Resolución de la Agencia Española de Protección de Datos en la que imponía una multa de 300.506 € a una empresa por la cesión del dato del teléfono móvil a otra sociedad. En líneas generales puede decirse que resulta una novedad que el Tribunal Supremo admita recursos de casación contra Sentencias de la Audiencia Nacional, confirmatorias de Resoluciones de la Agencia, pero lo más novedoso es que el fallo suponga la anulación de la sanción. El Alto Tribunal entiende que la infracción cometida no puede ser considerada como una infracción continuada, ya que no existe una pluralidad de acciones, sino que simplemente se trata de la puesta en conocimiento a un tercero de un dato de carácter personal, estableciendo que el hecho de que esta acción pudiera tener consecuencias lesivas en un momento posterior no la convierte en una infracción continuada. Esta Sentencia podría suponer la revisión del criterio de infracción continuada por parte de la Agencia a la hora de determinar las cuantías de las sanciones.
Publicado en Redacción Médica el jueves 29 de abril de 2010. Número 1221. Año VI.