Una de las cuestiones más criticadas de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, es la alta cuantía de sus sanciones así como el hecho de que a las Administraciones públicas no se les imponga las mismas.

Así, y a modo de ejemplo podemos citar que las infracciones muy graves pueden ser sancionadas hasta con 600.000 euros; o el llamado caso “Gran Hermano”, cuya productora recibió una sanción por parte de la Agencia Española de Protección de Datos de 1,08 millones de euros, y que posteriormente el Tribunal Supremo ratificaría.

Pero, ¿Qué ocurre en el resto de países de la Unión Europea? ¿Imponen sanciones económicas o no? Y en caso afirmativo ¿Cuál es la cuantía?

Hagamos una breve comparativa de las leyes de protección de datos de algunos de estos países a ver qué “nos encontramos”:

-Alemania:

La Ley Federal diferencia entre multas de hasta 50.000 euros (por ejemplo, no cumplir con el derecho de información)  y hasta 300.000 (tratamiento de datos sin consentimiento). Además, destaca que la multa debe ser superior al beneficio económico obtenido por el infractor al incumplir la normativa de protección de datos y en caso de que no fuese así, la multa deberá incrementarse hasta superar dicho valor. También recoge la existencia de pena de prisión de hasta dos años.

-Austria:

Aunque sean países vecinos y compartan algunas cosas, se produce una considerable disminución: hasta 500, 10.000 y 25.000. Destaca que se recoja expresamente la posibilidad de incautar dispositivos de grabación o programas que se hayan utilizado para la comisión de infracciones.

-Bélgica:

No contempla la posibilidad de sancionar económicamente.

-Dinamarca:

 

Por una parte, el responsable deberá indemnizar cualquier daño causado salvo que se demuestre que aunque se hubiese actuado con la diligencia debida dicho daño también se habría producido, por lo que da entender que debe indemnizarse al titular de los datos afectados. Por otra, contiene una lista de supuestos que son considerados como delito con pena de hasta cuatro meses de prisión, como por ejemplo, la obstrucción a la labor inspectora de Agencia de Protección de Datos Danesa.

-Finlandia:

Existe un “triple régimen”: la posibilidad de indemnización al igual que en Dinamarca; las sanciones económicas aunque no especifica su cuantía; y la remisión a su Código Penal, por ejemplo, para la vulneración del deber de secreto.

- Chipre:

Con carácter general, la multa puede ascender hasta 2.500 euros, si bien existen otras sanciones, aunque no son de carácter económico, como la obligación de destrucción de datos o la pérdida de autorización para el tratamiento de determinados datos, como los de salud. Además, existen una serie de supuestos en que puede haber multa (1.500 ó 2000 euros) o prisión (3 a 5 años), o incluso ambas.

-Eslovaquia:

Pese a ser uno de los últimos países en entrar en la Unión Europea (2004), destaca que la cuantía puede alcanzar hasta los 332.005 euros. La mínima se sitúa en 332, para después pasar por 996/1.660/96.601/166.0002.

Por otra parte, también regula las sanciones disciplinarias que están ligadas a la obstrucción de la función inspectora o la falta de cooperación y notificación de determinados actos a la Agencia de ese país. Por ejemplo, en el caso de la primar son 33.200 euros.

-Francia:

Pueden llegar hasta los 300.000 euros, si bien su Autoridad de Protección de Datos (CNIL) tiene esta potestad desde finales de marzo del 2011 debido a la modificación de la Ley de la Informática y sus Libertades (su Ley de Protección de Datos que data de 1978). Además, la mencionada modificación introduce la posibilidad de ser sancionado con 15.000 euros y un año de prisión en una serie de supuestos, como por ejemplo, la obstrucción de la labor inspectora siempre y cuando la citada inspección haya sido autorizada por un juez.

-Italia:

Diferencia varios tipos de sanciones en función de la infracción cometida. Destaca que la no notificación previa de tratamiento de, entre otros, datos de salud, genéticos o biométricos, puede alcanzar hasta los 120.000, ya que estos supuestos deben ser autorizados por el Garante.

También diferencia las sanciones en materia de comunicaciones electrónicas (directiva e-privacy) y retención de datos. En este último caso, hasta 50.000.

Llama mucho la atención la posibilidad de que como sanción administrativa accesoria, el Garante decida la publicación de todo o en parte de la correspondiente resolución sancionadora en uno o más periódicos de gran tirada. Recordemos que esta posibilidad está recogida en nuestro país en alguna materias publicando en el Boletín Oficial correspondiente (por ejemplo, artículo 62.7 de la Ley 2/2002, de 19 de junio, de Evaluación Ambiental de la Comunidad de Madrid).

-Reino Unido:

Desde el 2009 puede imponerlas pero la reforma operada en su Ley le da autonomía total para determinar dichas cuantías a través de un documento que debe elaborar, y que así ha hecho. La cuantía máxima, medio millón de libras.

Por cierto, que si se paga en 28 días desde la imposición, se aplica una reducción del 20%.

Por último, recordemos que la propuesta de reforma de protección de datos de la Unión Europea contiene un catálogo de infracciones y sanciones económicas iguales para todos, que sería aplicable también a las Administraciones públicas.

A partir del cual podemos plantear lo siguiente:

-      Lógico, en un mundo donde una empresa opera en cualquier país, no tendría mucha lógica que la misma infracción sea sancionada con diferente cuantía en función del país donde se cometa.

-      O por el contrario, ¿Deben las sanciones económicas estar en función de la capacidad de renta de cada país de la Unión?