SANCIÓN O NO SANCIÓN ESA ES LA CUESTIÓN, Iciar López-Vidriero Tejedor
RESUMEN
En este artículo comento las posibilidades que se pueden dar una vez que se incoa un procedimiento sancionador por parte de la Agencia Española de Protección de Datos, además facilitar datos veraces acerca de los recursos potestativos que se han interpuesto durante el año 2022, finalizando con los gráficos de las brechas de seguridad comunicadas ante la AEPD desde 2019 a 2022.
SUMMARY
In this article I comment on the possibilities that may arise once a sanctioning procedure has been initiated by the Spanish Data Protection Agency, as well as providing accurate data on the appeals that have been lodged during 2022, ending with the graphs of the security breaches reported to the AEPD from 2019 to 2022.
PALABRAS CLAVE
Brecha – AEPD – DPO – DPD – privacidad – GDPR – RGPD – auditoria – incidencia – notificación – confidencialidad – integridad- disponibilidad – proactividad – accountability – recurso potestativo – multa – riesgo
KEY WORDS
DataBreach – audit – DPO – AEPD – privacy – GDPR – RGPD – SGID – incidence – notification – confidentiality – integrity – availability- proactivity- accountability – optional appeal – fine – risk
En este artículo traigo lo que se va a convertir en un clásico por estas fechas calurosas de julio que forma parte actualmente en el “TOP TEN VERANO” como es el análisis de brechas de seguridad y sanciones impuestas por nuestra autoridad de control principal, la Agencia Española de Protección de Datos Personales y, que además esta misma autoridad de control ha conseguido por méritos propios colarse dentro de las autoridades de control del Espacio Económico Europeo en el «NUMBER ONE” en la imposición de sanciones debiendo tener en cuenta que, además de haber batido record en el monto económico impuesto en sanciones, España es uno de los países que tomó la decisión de no imponer sanciones económicas a las administraciones públicas, por lo que en caso de que esta decisión no se hubiera llevado a cabo estaríamos hablando de una cifra mucho mayor. Pero dejémonos de hablar de cifras y pongámosle nombre a éstas, ya que en lo que va de año la AEPD ya ha recaudado más de 20 millones de euros en sanciones, debiendo llamar la atención que en el 2021 se recaudaron 35 millones de euros, por lo que este 2022 está pisando fuerte y sólo en la mitad de año casi se han impuesto las mismas sanciones que en todo el 2021.
A esta cifra de 20 millones de euros además de tener en cuenta que las administraciones públicas sólo pueden ser apercibidas y no sancionadas económicamente, debemos añadir que ahora está “muy de moda” que los responsables sancionados se acojan a las dos reducciones que ofrece la AEPD y que en total llegan a reducir un 40% de la sanción económica inicialmente impuesta, por lo que si un responsable es sancionado con 80.000€ de multa económica ésta puede llegar a quedarse en 40.000€ si el responsable sancionado se acoge al periodo de pago voluntario (20% de reducción) y reconocimiento de responsabilidad (20% de reducción).
Pero, ¿se acogen todos los responsables a esta reducción de hasta el 40% de descuento? Bueno, pues aquí está el dilema
TO BE OR NOT TO BE
Para ver el por qué de esta aplicación de la reducción tendremos que acudir a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y, más concretamente a su artículo 85.
Artículo 85. Terminación en los procedimientos sancionadores.
- Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción que proceda.
- Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la improcedencia de la segunda, el pago voluntario por el presunto responsable, en cualquier momento anterior a la resolución, implicará la terminación del procedimiento, salvo en lo relativo a la reposición de la situación alterada o a la determinación de la indemnización por los daños y perjuicios causados por la comisión de la infracción.
- En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el órgano competente para resolver el procedimiento aplicará reducciones de, al menos, el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí. Las citadas reducciones, deberán estar determinadas en la notificación de iniciación del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado reglamentariamente.
Llegados a este punto, ¿qué sucede si nos abren un procedimiento sancionador con multa económica?
OPCIÓN 1. Nos podemos acoger desde la notificación de apertura del procedimiento sancionador a la aplicación del 40% de reducción si decidimos proceder al pago voluntario y asunción de responsabilidad, lo que provocaría el desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción. Pero este desistimiento en la vía administrativa no significa que se desista ante la vía judicial -jurisdicción contencioso-administrativo-, por lo que una cosa no quita a la otra y el responsable podría acogerse a la reducción del 40% y además acudir al Contencioso Administrativo ¿por qué entonces la gente no se acoge directamente al 40% de reducción, desiste de la vía administrativa y se va a un contencioso administrativo contra la resolución de la AEPD? Pues porque como he dicho antes, nadie da duros por pesetas y, asumir la responsabilidad en la resolución de la AEPD poca viabilidad o ninguna va a dar recurrir en un Contencioso Administrativo algo que ya has admitido que has hecho “asunción de responsabilidad”. Por tanto, moraleja: Si te acoges a al 40% de reducción CHIN PUN, se acabó lo que se daba.
OPCIÓN 2. Una vez incoado el procedimiento sancionador decidimos que no queremos asumir la responsabilidad y, por tanto, presentamos alegaciones dentro del plazo indicado. Con esta acción estamos ya descartando el 20% de reducción por asunción de responsabilidad pero, como no estamos de acuerdo con la resolución presentamos alegaciones y seguimos guardándonos la posibilidad de acogernos al pago voluntario y por tanto, aún tenemos posibilidad de aplicación del 20% de reducción. Por tanto, una vez presentadas alegaciones ante la AEPD ésta presenta la propuesta de resolución y es ahí, nuestra última posibilidad del TO BE OR NOT TO BE. Aquí habrá un antes y un después, si nos acogemos al 20% de reducción ya no podremos presentar recurso de reposición ante la Agencia Española de Protección de Datos pero seguiremos teniendo la posibilidad de presentar Contencioso Administrativo contra la resolución.
Y a todo esto, ¿por qué la Administración concede tantas posibilidades de reducirse una multa impuesta? Pues no es nada más y nada menos que un juego de estrategia, un órdago a la grande, porque te ofrecen una reducción para que el sancionado pague rápidamente y se olvide del asunto y terminar un procedimiento rápidamente.
OPCIÓN 3. Una vez incoado el procedimiento sancionador, presentamos alegaciones, hay propuesta de resolución por parte de la AEPD y, aun así, decidimos que no estamos de acuerdo con la resolución y que queremos agotar toda la vía administrativa y, por tanto BYE BYE MR AMERICAN PIE….Es aquí donde ya nos hemos descartado nuestro Poker de Ases y nos hemos quedado sin la posibilidad de aplicación de ninguna reducción y, por tanto sólo nos queda presentar recurso de reposición y esperar a dicha resolución que, en caso que no sea favorable para los intereses del responsable le seguiría quedando un “descarte” pudiendo ir al Contencioso Administrativo.
Uno de los motivos que puede conllevar a que un responsable agote toda la vía administrativa y no se acoja a ninguna reducción es una cuestión no de principios, sino más bien estratégica y económica ya que agotar la vía administrativa estratégicamente puede ser una buena opción, dependiendo de la sanción y el motivo de la misma, ya que se resolverá antes ante la vía administrativa que ante el Contencioso Administrativo, además de los costes asociados que tiene un Contencioso Administrativo, por tanto en algunos casos, si se valoran los riesgos puede ser recomendable quemar toda la vía administrativa, si bien es una decisión que debe valorarse de forma detenida y valorando el pronunciamiento que haya llevado a cabo la AEPD en el procedimiento.
Pero veamos un poco como acaba el cuento del recurso potestativo, en lo que va de año ya se han resuelto 59 recursos potestativos de los cuales, 7 fueron inadmitidos y tan sólo 8 recursos de reposición fueron admitidos lo que nos ofrece un dato bastante interesante, si además añadimos que de los 7 recursos potestativos admitidos la sanción más elevada era de 1.500 €, dos de los recursos eran por tutela de derechos y otros dos provenían de administraciones públicas ( Consejería de Sanidad y Ayuntamiento de Marchena), por lo que se puede decir que tan sólo se han admitido 4 recursos potestativos con sanción económica y sumando las cantidades de esos 4 obtenemos una cantidad total de 4.300 €, por lo que da mucho que pensar la OPCIÓN 3.
Os facilito “foto finish” del anillo mágico que nos sale de los recursos potestativos del año 2022 que igual sirve de reflexión para los responsables del tratamiento a la hora de valorar su decisión de seguir la OPCIÓN 3.
Me han llamado la atención algunos procedimientos que os facilito a continuación para su lectura:
- CAIXABANK PAYMENTS & CONSUMER, fue sancionada con 3 MILLONES DE EUROS (3.000.000€) por infracción del artículo 6.1 RPGD y tomaron la decisión de agotar toda la vía administrativa sin acogerse ningún tipo de reducción. REPOSICIÓN PS/00500/2020.
- PARTICULAR. También hay casos en los que la AEPD ha sancionado con un apercibimiento y, tal y como recoge la Ley de Procedimiento Común de las Administraciones Públicas se tendrá el derecho de poder interponer recurso potestativo hasta agotar la vía administrativa aunque no haya una sanción económica, además de que se podrá también acudir al Contencioso Administrativo. REPOSICIÓN PS/00453/2021 . En este caso, que saco a colación, me ha parecido interesante porque se puede apreciar que a veces los responsables sancionados en vez de acudir a un profesional que les ayude a formalizar un escrito o deleguen en él el trabajo, pues a veces sucede que algunos deciden representarse a sí mismo, en cuyo caso te encuentras joyas como estas en los escritos que presentan:
- COMUNIDAD DE PROPIETARIOS. Os incluyo uno de los recursos potestativos que ha tenido la buena fortuna de ser admitido. RECURSO PS/00458/2021
- PARTICULAR. Tal y como he comentado anteriormente, de los 59 recursos potestativos 7 de ellos han sido inadmitidos llamando la atención que casi en su totalidad todos habían sido interpuestos por particulares, facilitándoos a continuación para muestra un botón RECURSO PS/0497/2021
OPCIÓN DESIDIA. Otra opción que no se ha barajado pero que pudiere plantearse, es que tras la incoación del procedimiento sancionador con multa económica, el responsable no presente alegaciones, no se acoja a pago voluntario ni a asunción de responsabilidad, es decir, lo que llamaríamos DESIDIA PURA Y DURA y que también puede darse. En ese caso el procedimiento concluiría por desidia y se aplicaría la sanción económica al 100% si en el plazo estipulado no se presentaran alegaciones considerándose por tanto propuesta de resolución. No hace falta que se diga que esta opción no es estratégica ni inteligente y, por tanto es la que llamo DESIDIA. Pero claro, no será la primera vez que nos encontremos con alguna situación de este estilo.
Visto lo visto, nos debe quedar claro que se acoja el responsable a cualquiera de las opciones (1, 2, 3 o desidia), siempre mantiene la vía judicial y podría acudir al Contencioso Administrativo.
Una vez arrojados los datos acerca de los recursos de reposición, no quiero terminar este artículo sin ofrecer los datos acerca de las comunicaciones de brechas de seguridad que además se ha convertido en un clásico mío por estas fechas, facilitando link de acceso a otros artículos ya publicados en ADefinitivas acerca de brechas y sanciones anteriores.
Por tanto os facilito a continuación los gráficos resumen de notificaciones de brechas de seguridad desde 2019 a 2022, así como por comunidades autónomas, debiendo tener en cuenta que para que se puedan ofrecer datos comparables, ofrezco además de los datos reales de incidencias comunicadas por comunidad autónoma y año, también arrojo un gráfico que ofrece cifras de enero a julio desde 2019 a 2022, para que se pueda observar mejor la evolución.
En este caso me sigue llamando la atención que año tras año en Ceuta y Melilla se puede decir que no existen las brechas de seguridad, siendo este el cuadro de datos reales que se extraen.
| Notificaciones por Comunidades Autónomas | HASTA JUNIO 2019 | HASTA JUNIO 2020 | HASTA JUNIO 2021 | HASTA JUNIO 2022 |
| 2019 | 2020 | 2021 | 2022 | |
| Andalucía | 61 | 62 | 50 | 34 |
| Aragón | 17 | 15 | 23 | 15 |
| Principado de Asturias | 18 | 5 | 47 | 20 |
| Baleares | 8 | 10 | 12 | 13 |
| Cantabria | 4 | 1 | 3 | 4 |
| Castilla y León | 22 | 19 | 23 | 20 |
| Castilla – La Mancha | 8 | 12 | 12 | 20 |
| Cataluña | 80 | 131 | 244 | 120 |
| Comunidad Valenciana | 46 | 100 | 48 | 50 |
| Extremadura | 7 | 11 | 18 | 1 |
| Galicia | 15 | 17 | 22 | 35 |
| Comunidad de Madrid | 222 | 243 | 243 | 245 |
| Región de Murcia | 8 | 11 | 15 | 10 |
| Comunidad Foral de Navarra | 7 | 6 | 14 | 24 |
| País Vasco | 9 | 29 | 29 | 32 |
| La Rioja | 3 | 0 | 3 | 4 |
| Canarias | 11 | 11 | 13 | 19 |
| Ceuta | 0 | 1 | 1 | 1 |
| Melilla | 0 | 2 | 0 | 0 |
Autora: Iciar López-Vidriero Tejedor
BREVE CURRICULAR
Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.
Redes sociales
Twitter: @ICIARLVT
Linkedin: Iciar López-Vidriero
En Madrid a 27 de julio de 2022
