Idioma:
Espa帽ol
Fecha:
Subida:
2024-07-02T00:00:00+02:00
Duraci贸n:
1h 44m 11s
Lugar:
Murcia - Facultad de Derecho
- Salón de Grados
Lugar:
Mesa redonda
Visitas:
389 visitas
La potestad sancionadora de las autoridades de control seis a帽os despu茅s del RGPD
Descripci贸n
• Alejandro Corral Sastre. Profesor de Derecho Administrativo. Universidad Complutense de Madrid
• Javier Sempere Samaniego. Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ)
• Javier Sempere Samaniego. Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ)
Transcripci贸n (generada autom谩ticamente)
Buenos d铆as, gracias por
vuestra asistencia,
a lo que ha venido presencialmente
al sal贸n,
de grado de la Facultad de Derecho
y tambi茅n a lo que nos est谩
siguiendo a trav茅s de Internet.
Vamos a dar comienzo
a lo que inicialmente planteamos
como un seminario,
investigaci贸n con la idea de
discutir abiertamente sobre temas relacionados
con el alcance de las potestades
de las autoridades de control
en materia de protecci贸n de datos, y
pensamos que podr铆a ser interesante
reflexionar sobre la evoluci贸n que
ha tenido el papel de estas autoridades
bajo la aplicaci贸n del Reglamento
General de Protecci贸n de Datos.
6 a帽os despu茅s, cuando en 2018
entra en vigor mayor
1.018 Esta regulaci贸n, pues lo
hemos dedicado toda la vida,
el derecho administrativo,
nos encontramos con una normativa
muy poco precisa,
muy con, nombra jur铆dica,
muy abiertas que desde el punto de
vista de la seguridad jur铆dica
se ofrec铆a muchas dudas.
Aqu铆 en la sala est谩is
profesionales, muy destacado
que hay vivido este este proceso
en primera persona.
Pero es que adem谩s esa
es esa inseguridad
que generaba una nueva regulaci贸n
con un nuevo modelo regulatorio.
Se incrementaba a la hora de
proyectar el ejercicio
de una potestad tan contundente
como la sanci贸n ahora
y poner multas que eran
absolutamente brutales,
no hasta el 4 por 100 de la
facturaci贸n de la empresa.
En fin, parece que al menos
desde una 贸ptica cl谩sica
no no no casa muy bien principio
como el de legalidad el de tipicidad
sobre todo de culpabilidad con
una serie de concepto nuevo
que introduce el reglamento,
como puede ser la responsabilidad
proactiva
o, por ejemplo, el car谩cter abierto
de algunas de las obligaciones.
Estoy pensando, por ejemplo, en que
la seguridad sea la adecuada.
Antes hab铆a un cat谩logo de medidas
de seguridad seg煤n ciertos criterios
que hab铆a que aplicar, y estaban
defin铆an normativamente,
en definitiva esta cuesti贸n del
del la proyecci贸n del,
del reglamento general de creaci贸n
de datos desde el punto de vista
de la imposici贸n de sanciones
por parte de la agencia
y otras 谩reas de control?
Pues nos parece un tema
especialmente interesante, de manera
que la primera parte a la sesi贸n se
va a dedicar a esta cuesti贸n
y luego no pod铆amos dejar de mirar,
y voy a decir el futuro.
Pero yo dir铆a que es el presente,
no como esta nueva regulaci贸n
que acaba de ser, aprobada, sobre
inteligencia artificial.
Tambi茅n establece una serie
de funciones de control,
supervisi贸n bueno,
que pueden, no sea as铆; entra
en contradicci贸n,
pero que hay que de alguna manera
coordinar con las que establece
el Reglamento y en ese sentido
la segunda parte
de la sesi贸n tendr谩 por t铆tulo el
alcance de las competencias
de las tareas de control en
el contexto precisamente
de esta nueva regulaci贸n
europea en materia,
voy a proceder a la presentaci贸n
de los 2 primeros ponentes.
Contamos con Alejandro Corral,
excompa帽ero personal administrativo
en la sala Complutense de Madrid,
y viene tambi茅n parte como miembro
investigador del proyecto
de investigaci贸n, la europeizaci贸n
de las sanciones administrativas,
la incidencia del derecho europeo
al concepto de sanci贸n,
en sus garant铆as y en su funci贸n.
De manera que le hemos pedido que,
desde esta perspectiva general,
pues haga una exposici贸n acerca del
alcance de la nueva regulaci贸n
y los problemas que plantea
desde el punto de vista
m谩s m谩s acad茅mico, m谩s conceptual
m谩s te贸rico,
si quer茅is,
con la idea de que nuestro segundo,
invitado Javier su empresa Maniega,
no se haga una aproximaci贸n
mucho m谩s pr谩ctica
a lo que est谩 pasando a la realidad,
que 茅l conoce bien los que los
6 a trav茅s de Internet,
esa que lleva ya varios a帽os dando
perfecta cuenta nueva
de todas las novedades,
es la cuesti贸n,
es que van suscit谩ndose desde
el punto de vista
de la interpretaci贸n,
en la pr谩ctica que hacen la
seguridad de control
y sobre todo la agencia espa帽ola a
la hora de imponer sanciones.
Pues con esta doble perspectiva
hemos organizado esta primera mesa
y se envolvi贸 a una cuesti贸n
importante,
que lo que eso es investigar en
Baeza entender que lo diga,
es que esta actividad se organiza
en el marco del proyecto
de investigaci贸n, la potestad
sancionadora
de la sociedad de control en materia
de protecci贸n de datos,
delimitaci贸n, garant铆as, y efectos
que el que soy investigador,
principal.
Junto conmigo programa de compa帽铆a
a茅rea, Manuela Pardo,
y que est谩 financiada por el
Ministerio de Ciencia,
Innovaci贸n y Universidades que nos
obliga a que quede constancia
de la financiaci贸n de la actividad
investigadora,
pues dicho lo cual empezamos
Alejandro.
Cuando quiera pues much铆simas
gracias como es debido.
Debo empezar agradeciendo la
Universidad de Murcia,
pues la invitaci贸n a esta
conferencia de esta ponencia,
a este seminario, por supuesto,
al profesor Juli谩n;
Valero al que admiro ya hace
bastantes a帽os y bueno,
pues ahora tengo la oportunidad de
estar aqu铆 en su universidad
y hablando adem谩s de un tema que
茅l hace mucho que trata,
no de protecci贸n de datos, de
Administraci贸n electr贸nica,
igual tambi茅n manifestar que para
m铆 es un honor verdadero honor,
compartir mesa con profesionales
de la talla de Sempere,
del profesorado, Sandro, mantener
o hay que ir avanzando mucho
a Javier.
Tambi茅n.
Bueno, a m铆 me toca empezar haciendo
creo que la parte m谩s f谩cil,
que es la parte conceptual,
en el marco conceptual
sobre el r茅gimen sancionador en
materia de protecci贸n de datos.
En la verdad es un tema que siempre
me ha interesado mucho.
Tuve he tenido oportunidad
reescribir alguna cosa sobre ella.
Investigar es una de mis l铆neas
de investigaci贸n
desde hace varios varios a帽os
y me vais a permitir
que haga una peque帽a introducci贸n.
Una peque帽a contextualizaci贸n
de qu茅 es esto de lo que
estamos hablando,
estamos hablando de protecci贸n
de datos,
estamos hablando de un
derecho fundamental
reconocido en nuestra Constituci贸n
expresamente,
pero s铆 a trav茅s de 2 de una
interpretaci贸n que hace
el Tribunal Constitucional a trav茅s
de 2 m谩ximas sentencias,
la 1.809, 2 del a帽o 2000.
Estamos hablando, por tanto, un
derecho fundamental de los dem谩s,
alto rango constitucional,
susceptible de amparo, etc茅tera,
etc茅tera, etc茅tera
Qu茅 ocurre Pues que tambi茅n tenemos
una una vertiente europea de
este derecho fundamental,
que es la art铆culo 8 de la Carta
de Derechos Fundamentales
de la Uni贸n Europea, que este,
si esta carta s铆 que hace referencia
expresa al derecho fundamental
a la protecci贸n de datos,
aqu铆 se produce un fen贸meno
ya que empieza,
empiezan las fricciones,
no ya desde ese bien pronto
Por qu茅 Porque bueno,
pues en palabras del
Consejo de Estado,
en un informe cuando se
aprueba se aprob贸
el anteproyecto de ley de la Ley
Org谩nica de Protecci贸n de Datos,
a la que luego me referir茅 habla de
que se produce un traslado parcial
del canon de constitucionalidad
del derecho fundamental,
es decir, quien interpreta ahora
el derecho fundamental
a la protecci贸n de datos, el
Tribunal Constitucional
o el Tribunal de Justicia
de la Uni贸n .
Ambos ordenamientos reconocen
como derecho fundamental
del m谩s alto rango.
Aqu铆 se produce fricciones
entre el derecho europeo
y el derecho nacional, prisiones
que salvo que yo sepa,
todav铆a no han sido suficientemente
resueltas.
S铆 que se han producido.
Ha habido resoluciones del
Tribunal de Justicia
no en materia de protecci贸n de datos,
pero s铆 en otras materias en
las que, bueno, se viene
a decir algo as铆 simplificando
mucho que se tendr谩 que dar,
puesto que estamos hablando de
derechos fundamentales.
La interpretaci贸n que debe primar
es la que m谩s sea garantista,
la que m谩s garantista sea con
el derecho fundamental.
Entonces cabe la posibilidad
a plantearse
si la interpretaci贸n que haga el
Tribunal Constitucional espa帽ol
o cualquier otro Tribunal
Constitucional nacional
de un Estado miembro
es m谩s garantista
que la del Tribunal de Justicia.
En principio podr铆a cabr铆a primar.
Esto es una una sentencia no
recuerdo el n煤mero del caso,
pero la sentencia del Tribunal
de Justicia en el caso mel贸n
y a es hacer una serie
de consideraciones
sus interesantes para esta.
Esta materia.
Bueno, y la competencia,
en definitiva,
sobre protecci贸n de datos la asume
la Uni贸n Europea a trav茅s del Tratado
de funcionamiento en el art铆culo 16
de este tratado de funcionamiento
y, por tanto, tiene competencia
regulatoria,
tiene potestad legislativa
y en el desarrollo
de esa potestad legislativa aprueba
una norma jur铆dica,
que es el Reglamento General de
Protecci贸n de Datos, que es
sobre el que aqu铆 venimos a hablar
en este este seminario.
Este reglamento general de
Protecci贸n de Datos
se aprueba en el a帽o 16,
tiene un periodo de vacatio de
2 a帽os muy, muy, muy amplio.
Es una norma adem谩s, que
lo bueno es lo normal,
es un reglamento Qu茅 implica,
por tanto,
que tiene alcance general,
eficacia directa
y es obligatorio en sus
propios t茅rminos?
No necesita ning煤n tipo
de trasposici贸n,
incorporaci贸n ni nada por el estilo.
Es decir, la protecci贸n de
datos est谩 regulada
en el Reglamento General de
Protecci贸n de Datos.
En la norma de referencia
las normas nacionales
son normas de adaptaci贸n a
esa norma principal Qu茅
ocurre?
Pues que esta es la norma que
tenemos que tener de referencia.
Es una norma que, aunque
sea un reglamento,
plantea algunas cuestiones,
porque es un reglamento un
poco especial porque,
aunque tiene eficacia directa
en alcance general,
s铆 que deja bastante margen
de actuaci贸n
a las a-los Estados miembros
para completar,
adaptar su ordenamiento jur铆dico
a este reglamento general,
y esto lo hace lo veremos
a continuaci贸n.
Precisamente en el r茅gimen
sancionador
veremos que s铆 que hay una parte
muy detallada, muy regulada,
pero luego hay otra parte que es
un poco m谩s, digamos amplia
y que se deja a los Estados miembros
su concreci贸n bueno,
por nuestra parte en el
ordenamiento interno
en el ordenamiento espa帽ol
sab茅is que saben,
pero se estoy enterando.
Perd贸neme, saben que si nada,
pues tenemos la Ley Org谩nica
de Protecci贸n de Datos
es del a帽o 2018,
que tambi茅n se denomina de garant铆as
de derechos digitales,
que a m铆 siempre siempre me ha
parecido que es un poco pegote
esto de la garant铆a
de los derechos digitales en la Ley
Org谩nica de Protecci贸n de Datos.
Siempre que haya reconocimiento
de derechos le parece,
l贸gicamente bien, pero quiz谩
hubiese sido necesario
en otra norma jur铆dica,
no, pero bueno,
en cualquier caso, ah铆
est谩n y se aplican,
bueno, ya dedic谩ndome
espec铆ficamente o haciendo referencia espec铆ficamente
al r茅gimen sancionador.
El marco legal del r茅gimen
sancionador
en materia de protecci贸n de datos lo
tenemos en el Reglamento General
de Protecci贸n de Datos, como no
puede ser de otra forma,
los art铆culos 83 84.
Luego tambi茅n tenemos
los art铆culos 70,
78 de la Ley Org谩nica de
Protecci贸n de Datos,
donde se adapta el ordenamiento
interno nacional,
al Reglamento General de Protecci贸n
de Datos, que ahora veremos
que genera problemas ficciones,
roces a la hora
de incorporar ese ese marco
sancionador en materia de protecci贸n
de datos al ordenamiento interno
y luego muy importante
para los administrativistas.
Tambi茅n se aplica supletoriamente
la Ley 39 la 42.015,
es decir, la Ley, de Procedimiento
Administrativo Com煤n,
y la Ley, de R茅gimen Jur铆dico
del Sector P煤blico,
que es la que regula nuestro derecho
sancionador o derecho
administrativo sancionador.
Cu谩les son los objetivos declarados
del Reglamento General de Protecci贸n
de Datos?
En los propios considerandos sab茅is
que el Reglamento General de
Protecci贸n de Datos, una
parte important铆sima,
son los considerandos,
tiene hasta 149,
si no me equivoco, considerandos
que son muy 煤tiles,
precisamente porque nos sirven
para para interpretar luego
la la normativa.
En 1 de los considerandos
se dice que 1
de los objetivos fundamentales
es la posibilidad
de que se establezcan sanciones
equivalentes
en todos los Estados miembros, lo
menos los problemas principales
que exist铆an en el r茅gimen anterior,
como el de la directiva.
La Directiva 95, 46 era precisamente
que hab铆a una diversidad enorme
de reg铆menes sancionadores.
Nos encontr谩bamos, por ejemplo, con
la Agencia Espa帽ola de Protecci贸n
de Datos, que impon铆a sanciones
bastante altas,
y, por ejemplo, nos encontramos
con la autoridad irlandesa,
que ni siquiera,
si no me equivoco, ten铆a reconocida
potestad sancionadora,
no pod铆an poner acciones, pero claro,
un r茅gimen absolutamente diverso
que no era no era de recibo,
que intenta hacer el reglamento
pues precisamente no s茅
si uniformizar es la palabra,
pero de alguna forma,
si no armonizar, porque eso se hace
a trav茅s de una directiva,
pero s铆 uniformizar este
r茅gimen sancionador
que todas las autoridades de control,
que las 27 autoridades de control
tengan potestad sancionadora
y puedan imponer sanciones
efectivas, no Entonces
esto esto es es importante.
La propia.
El propio reglamento hace referencia
a que es imprescindible la necesidad
de castigar las infracciones,
es decir, es muy importante que
todas las autoridades de control
puedan imponer sanciones efectivas,
eficaces y luego otro
de los objetivos.
Quiz谩 el m谩s importante,
en mi opini贸n,
habida cuenta de las de las cuant铆as,
de las acciones
a las que se ha hecho referencia
el profesor Juli谩n Valero
es la disuasi贸n.
La disuasi贸n es muy importante.
Si tu prueba es que te pueden
poner una multa
de hasta 20.000.000 de
euros o el 4 por 100
del volumen total global anual
de una empresa, puesto,
lo piensan muy bien antes de
incumplir el Reglamento
en la Ley de Protecci贸n de Datos.
Pero bueno,
yo creo que estos objetivos
s铆 que los alcanzados,
y que los los viene alcanzando el
reglamento y la legislaci贸n
de los diferentes Estados miembros,
cu谩les son las caracter铆sticas
fundamentales, en mi opini贸n, de
este nuevo r茅gimen sancionador
antes de entrar m谩s espec铆ficamente
a los puntos de fricci贸n.
Bien, pues hay un r茅gimen doble
de c贸mo, de sanciones.
En el art铆culo 83 se hace referencia
a multas administrativas
que son de car谩cter econ贸mico.
Este art铆culo, este precepto
del Reglamento,
es muy detallado,
deja por poco margen de maniobra
a los Estados miembros.
Entonces, bueno, pues
vuelvo a repetir,
aqu铆 s铆 que el reglamento es
un verdadero reglamento,
pero luego tenemos el art铆culo
84, que habla de sanciones,
de otro tipo de sanciones en el
que establece la posibilidad
a los Estados miembros de imponer
otro tipo de sanciones que entendemos
o entiendo que no sean
multas econ贸micas,
multas administrativas.
Creo o puedo entender que
aqu铆 se hace referencia
a otro tipo de sanciones que
no sean econ贸micas,
como apercibimientos, declaraci贸n
de infracciones,
publicaci贸n de resoluciones
sancionadoras, etc茅tera, etc茅tera.
No, luego har茅 referencia muy
brevemente a esta cuesti贸n.
En materia precisamente,
r茅gimen sancionador, 30, las
administraciones p煤blicas,
no frente al a las instituciones
p煤blicas espa帽olas,
tambi茅n se hace referencia.
Bueno, hay pa铆ses dentro
de la Uni贸n Europea.
Los tribunales tienen reservada
la posibilidad de imponer
multas administrativas.
Por ejemplo, est谩 ni esto
ni hay una marca
en las autoridades de control
de estos pa铆ses,
no pueden poner multas
administrativas,
ya s茅 y s茅 lo que hacen es incoar
iniciar ese procedimiento sancionador
y los tribunales competentes
a los que imponen
las multas administrativas.
Esto es importante de cara a
lo que dir茅 posteriormente
sobre el Comit茅 Europeo de
Protecci贸n de Datos
, sujetos de la, de la, de la
potestad sancionadora.
El sujeto se sabe.
Sab茅is que la relaci贸n
jur铆dica sancionador
hay un sujeto activo,
que es el que tiene la potestad
sancionadora,
que es el que impone la sanci贸n,
un sujeto pasivo,
que es el que recibiera la sanci贸n.
Respecto al sujeto activo,
no hay ninguna duda
de que son las autoridades de
control de los diferentes Estados miembros.
El Comit茅 Europeo de Protecci贸n
de Datos
no tiene potestad sancionadora,
no me equivoco,
no tiene potestad sancionadora
reconocida en el Reglamento General
de Protecci贸n de Datos tiene la
potestad de interpretaci贸n,
tiene, pero no tiene.
Son las autoridades de control
las que tienen reconocida la
potestad sancionadora
con respecto a los sujetos pasivos
de la relaci贸n jur铆dica
sancionadora.
Es muy interesante porque,
bueno, no, no hay dudas.
Es el posible responsable,
el encargado,
los representantes de estos, las
entidades de certificaci贸n,
las entidades acreditadas.
Pero a t铆tulo anecd贸tico, yo, cuando
sali贸 cuando se public贸 el
Reglamento General de Protecci贸n
de Datos,
interese precisamente por
el r茅gimen sancionador,
y cuando empec茅 a leer el art铆culo
83 me di cuenta
de que entre los sujetos pasivos,
aparte del responsable encargado,
resulta que hac铆a referencia vuelvo
a repetir en la versi贸n castellana
a que se pod铆an imponer sanciones
a las autoridades de control.
Yo dije atiza digo esto significa
que la propia Agencia Espa帽ola de
Protecci贸n de Datos se puede imponer
una sanci贸n a s铆 misma en caso
de infracci贸n de ella misma,
del reglamento general,
y esta es una cosa que me ha
perdonado la expresi贸n,
pero ha vuelto a la cabeza local
durante muchos a帽os
y es decir, siempre me he preguntado,
puede una una, una Administraci贸n
p煤blica,
una autoridad independiente
en este caso
imponerse sanciones quien controla
las autoridades de control
el Comit茅 Europeo de Protecci贸n
de Datos
?
358
00:16:51,030 --> 00:16:53,970
No quien controla, que las
autoridades de control
no infrinjan.
El Reglamento General de Protecci贸n
de Datos l贸gicamente
esta versi贸n en castellano
no se refer铆a
a las autoridades de control,
sino que se refer铆a a las
autoridades de supervisi贸n de c贸digos
de conducta.
Lo que pasa es que hab铆a un error,
un error de traducci贸n de la
versi贸n en castellano,
porque la versi贸n italiana,
la inglesa,
la francesa s铆 que se hac铆an
referencia a las estas
autoridades de certificaci贸n, de
c贸digos de conducta, pero bueno,
es es luego esto se corrigi贸
dig谩moslo as铆
en la Ley Org谩nica de Protecci贸n
de Datos,
donde s铆 que se hace referencia
a qui茅nes son
los verdaderos sujetos pasivos
de la relaci贸n jur铆dica
sancionadora.
Otra de las caracter铆sticas
esenciales al que llevamos ya
hemos hecho referencia es el
sustancial incremento
de las sanciones.
Esto yo creo que es 1
de los de los s铆;
si tuvi茅ramos que hacer un titular
de todo el r茅gimen sancionador,
pues ser铆a, pues, como
como en su momento
se hizo el sensible incremento
de las sanciones,
lo que plantea en el ordenamiento
interno abordaremos un problema
a continuaci贸n voy a referirme
A cu谩les son los visto
las caracter铆sticas esenciales.
Hoy someramente, muy muy
un esbozo muy muy,
muy amplio de las caracter铆sticas.
Voy a referirme a los
que yo considero,
en mi opini贸n,
cu谩les son los principales
puntos de fricci贸n.
Los principales puntos cr铆ticos
que se plantean
desde el momento de la aprobaci贸n
del Reglamento General de Protecci贸n
de Datos a la hora de adaptarlo al
ordenamiento interno espa帽ol
desde el punto de vista del
r茅gimen sancionador,
algunos de ellos veremos,
se han solucionado
con la aprobaci贸n de la Ley Org谩nica
de Protecci贸n de Datos,
pero otros creo que quedan
absolutamente abiertos
y sin sin soluci贸n.
Nuestros principios de
r茅gimen sancionador
est谩n regulados en el art铆culo 24
25 de la Constituci贸n espa帽ola
en los art铆culos 25 a 31
de la Ley 42.015, de R茅gimen
Jur铆dico del Sector P煤blico,
y luego tambi茅n tenemos el
procedimiento administrativo
com煤n sancionador espec铆ficamente
sancionador,
que est谩 regulado en la Ley 39 de la
Ley de Procedimiento Administrativo.
Con estos mimbres, pues tenemos
que hacer el texto
no e intentar tejer el r茅gimen
sancionador europeo
a nuestro r茅gimen sancionador interno
y el principal problema
que yo me encuentro
o que me encuentro cuando empiezo
a estudiar esta.
Esta materia es la presunci贸n
de inocencia.
1 de los principales principios del
Reglamento General de Protecci贸n
de Datos es el principio de
responsabilidad proactiva,
principio de responsabilidad
proactiva,
reconocido en el art铆culo
24 del Reglamento.
Me dice que yo no solo tengo que
cumplir el Reglamento General de
Protecci贸n de Datos, sino que
tengo que poder demostrar
que lo cumple.
Entonces, yo me planteo si tengo que
poder demostrar que cumplo.
Quien me acusa lo tiene muy f谩cil,
porque no tiene que demostrar
que yo s茅 que en el r茅gimen
sancionador
esto es el principio de presunci贸n
de inocencia es muy relativo,
porque tenemos un art铆culo en la Ley
de Procedimiento Administrativo,
el 77, 5, que me dice
que si hay un acta,
un funcionario con potestad, con
potestad, con autoridad,
pues eso hace prueba de
mi culpabilidad.
Pero, claro, por lo menos
hay un acta,
por lo menos hay una prueba.
Si a m铆 me trasladan la
prueba de poder tener
que demostrar a priori que
cumplan reglamento,
pues se puede generar alg煤n tipo
de ficci贸n, no, yo me parece
que esto no s茅 si se ha estudiado
suficientemente o hay algo que aqu铆
a m铆 personalmente no me cuadra.
No me no me encaja demasiado
demasiado bien,
luego tambi茅n hay otra.
Otra cuesti贸n importante es el
principio de proporcionalidad
de las sanciones.
Tradicionalmente en el derecho
sancionador espa帽ol
hay jurisprudencia del Tribunal
Constitucional
que dice que no se pueden imponer
sanciones muy altas
en nuestro r茅gimen anterior.
Hay un art铆culo del profesor
torno m谩s donde dice
que las sanciones que preve铆a el
r茅gimen anterior de 600.000 euros
era una barbaridad y que atentaba
contra el principio
de proporcionalidad reconocida
en la la Constituci贸n,
cuando vemos que ahora se pueden
imponer sanciones de 20.000.000
de euros o 447.000.000 de euros,
como el impuesto Amazon,
pues este principio de
proporcionalidad salta
por los aires, no, entonces
s铆 que es cierto que hay
otros reg铆menes sancionadores
como, por ejemplo,
el derecho de la competencia en
que se prev茅n sanciones,
saben muy amplias, pero bueno, al
final es nuestro derecho interno
y nuestra jurisprudencia
constitucional,
y hay que hay que tenerla
tambi茅n en cuenta.
Otra de las cuestiones que anime,
me planteaba dudas,
pero estas s铆 que considero
que est谩 resuelta
la del principio de legalidad,
es decir, si la norma,
que atribuye la potestad
sancionadora tiene suficiente rango,
yo creo que si el Reglamento General
de Protecci贸n de Datos es una norma
de las llamas alto rango
a nivel europeo,
la la m谩s alto rango de hecho
y, por tanto, el principio legalidad
hasta est谩 cubierto,
no as铆 con el principio de tipicidad.
Yo creo que aqu铆 s铆 que se producen
importantes problemas.
Tengo que distinguir
entre la tipicidad
de las infracciones.
La tipicidad de las sanciones.
La tipicidad de las infracciones,
el Reglamento General de Protecci贸n
de Datos utiliza una t茅cnica
que se llama una t茅cnica remisi贸n,
expresa no tipifica directamente
las conductas,
no describe directamente las
conductas infractoras,
sino que lo que hace es remite
directamente a las normas
del Reglamento General de Protecci贸n
de Datos, que establecen
las obligaciones,
y dice que el incumplimiento
de esas obligaciones
es una infracci贸n.
Bueno, es una t茅cnica que en nuestro
nuestro derecho sancionador espa帽ol
ha sido admitida por la doctrina
m谩s m谩s cualificada,
por ejemplo, el profesor
Alejandro Nieto,
tristemente fallecido.
Hace pocos meses preve铆a
que esto era constitucional dentro
de nuestro ordenamiento jur铆dico,
por tanto, el Reglamento General
de Protecci贸n de Datos aqu铆 s铆
que cumple el principio de tipicidad.
Seg煤n nuestra visi贸n del derecho
sancionador lo que ocurre,
lo que ocurre es que el
legislador espa帽ol
no se incluyen dentro
de que me imagino
que se adaptar谩n al ordenamiento
interno.
Empieza a describir conductas como
lo los art铆culos 70 siguientes
empieza a describir todas
las conductas es tal,
es as铆 que se queda sin letra de
la vecindad la AVE la hace.
Es una perdonarme una gala,
una aut茅ntica locura.
Yo tuve ocasi贸n de dirigir un
trabajo de fin de m谩ster,
perdonarme que no me recuerda el
t铆tulo de nombre de autor,
pero hizo un an谩lisis
de si el las conductas que recog铆a
la Ley Org谩nica de Protecci贸n de Datos
en estos art铆culos coincid铆an con
lo que dec铆a el reglamento
y nos sal铆an como 4 o 5 infracciones
m谩s de las que dec铆a el reglamento,
y yo me plantee estas infracciones
son acorde al derecho
de la Uni贸n Europea,
es decir, puede el legislador
espa帽ol establecer infracciones
sin que el reglamento ley
haya autorizado.
En mi opini贸n, no, eso ser铆a ir en
contra del derecho de la Uni贸n.
Esto es lo que ha hecho el
legislador espa帽ol.
Yo lo critico, pero bueno,
si es se puede hacer,
es decir, es recoger las
infracciones de escribes las conductas,
y esa es la infancia.
S铆 que se produce un problema.
Yo creo que esto no ha sido resuelto,
es 1 de los principales problemas
que tenemos o, en mi opini贸n,
tenemos actualmente es el
principio de tipicidad
de las acciones, con las
acciones que tenemos,
un verdadero problema.
Creo pienso humildemente.
Por qu茅?
Porque nuestro ordenamiento jur铆dico
s铆 que en el art铆culo 27,
2 de la Ley 39, 2015, derivado
del art铆culo 25,
tambi茅n de la Constituci贸n,
es que estamos hablando de
cuestiones relevantes.
Que haya una adecuada definici贸n
de la sanci贸n.
Es decir, que cuando se incoa un
procedimiento sancionador,
el sujeto pasivo,
ese procedimiento sancionador tenga
cierta certeza jur铆dica,
de cu谩l es la sanci贸n que le van a
imponer, pues aqu铆 estamos hablando
de que la autoridad de control
correspondiente,
por ejemplo, la Agencia Espa帽ola
de Protecci贸n de Datos,
que pueden imponer una sanci贸n que
va de 0 a los 20.000.000 de euros
Pues s铆 que es verdad que luego hay
en el apartado segundo del art铆culo
83 del Reglamento y en
el art铆culo 76,
criterios de modulaci贸n
de las sanciones.
Tambi茅n habla el reglamento
de la necesidad
de que esas sanciones sean
proporcionadas,
pero ah铆 est谩 la posibilidad de
que una autoridad de control
te imponga una sanci贸n.
Hace poco y aqu铆 le meto un poco
en la parte a lo mejor
el otro ponente, una empresa
recibi贸 una,
una multa de 70.000 euros
por una grabaci贸n,
a una trabajadora que, cumpliendo la
mayor铆a, le pusieron una multa,
que, en mi opini贸n es bastante
desproporcionada,
bastante amplia, es decir,
la posibilidad.
Existe.
La potestad sancionadora existe
los criterios de modulaci贸n,
al final, los aplica la
autoridad y bueno,
pues tiene discrecionalidad,
que a veces puede convertirse
en arbitrariedad.
Aqu铆 estos estas estos criterios de
modulaci贸n de las sanciones,
adem谩s, bueno, s铆 que est谩n
previstos en el art铆culo 83, 2 del Reglamento,
como digo, en el art铆culo 76,
pero luego hay unas directrices del
Comit茅 Europeo de Protecci贸n de Datos
sobre interpretaci贸n
de estos criterios de modulaci贸n
de las sanciones,
y aqu铆 yo me planteo esto.
Qu茅 eficacia jur铆dica
tiene un informe,
unas directrices del Comit茅 Europeo
de Protecci贸n de Datos
que s铆 que tiene potestad
de interpretaci贸n,
pero no tiene potestad sancionadora,
no tiene potestad regulatoria.
Imaginemos en el caso de Dinamarca
o Estonia o en el caso de Espa帽a
un tribunal est谩 obligado a
interpretar estos criterios
de modulaci贸n conforme a lo que
dicen las directrices del
Comit茅 Europeo de Protecci贸n
de Datos .
En mi opini贸n.
Bueno, pues surgen dudas,
ah铆 lo dejo.
El derecho ya sab茅is es
es interpretable
y yo aqu铆 pues yo creo que si yo
me pongo en el rol de juez,
a m铆 esto lo no, no, no me vincula
como tal, me va a servir de ayuda,
desde luego que s铆 si no tengo
demasiada idea sobre el tema
pues me va a ser de otra ayuda.
No me va a vincular jur铆dicamente
entiendo.
Bueno, otra de las de las cuestiones
que tambi茅n fue resuelta por
el legislador espa帽ol
fue el Reglamento General
de Protecci贸n de Datos.
No clasificaba las infracciones
graves, muy graves o leves,
s铆 que hab铆a una s铆 que se deduc铆a
que hab铆a ciertas infracciones
m谩s graves en funci贸n de las
sanciones que pudieran imponer,
pero realmente no las
las clasificaba;
tampoco lo hac铆a
con las con las sanciones en la Ley
Org谩nica de Protecci贸n de Datos,
s铆 que clasifica las infracciones
muy graves, graves y leves,
sin embargo no clasifica
las sanciones,
y aqu铆 volvemos otra vez a lo mismo.
Es decir, esto es todo el
principio de tipicidad.
No se atreve a clasificar.
S铆 que hace una especie
de clasificaci贸n;
en el art铆culo 78 en relaci贸n
a la prescripci贸n a la que
ahora me referir茅,
pero realmente no es una, no
es una clasificaci贸n.
Podr铆amos hacer una clasificaci贸n,
deducir una clasificaci贸n en funci贸n
del tiempo de prescripci贸n
de la sanci贸n,
pero Espa帽a yo creo que hubiese
sido m谩s f谩cil tipificarlo.
No se tipific贸
porque no no, no hab铆a; no pod铆a.
No hab铆a una.
Realmente una tipificaci贸n de las
sanciones que vuelvo a repetir
en mi opini贸n sigue sin
sin sin haber,
y, por 煤ltimo, el tema
de la prescripci贸n.
El Reglamento General de Protecci贸n
de Datos no preve铆a la prescripci贸n
de las infracciones y las sanciones,
lo que atentaba directamente
contra el principio
de seguridad jur铆dica y aqu铆 s铆
que el legislador espa帽ol
estableci贸 periodo de prescripci贸n,
infracciones y sanciones
transcurre a las cuales ya no,
no, la potestad sancionadora
se puede ejercer, pero l贸gicamente
a la inflaci贸n
ha prescrito luego ya para terminar,
me voy a referir al la posibilidad,
porque a m铆 misma una cuesti贸n que
me ha interesado mucho siempre.
La posibilidad de imponer sanciones
a las administraciones p煤blicas
o las entidades del sector
p煤blico institucional.
El Reglamento General de Protecci贸n
de Datos daba libertad a los Estados
miembros para qui茅n efecto;
pudieran establecer en sus
legislaciones internas
la posibilidad de imponer
multas administrativas,
multas econ贸micas a las entidades
del sector p煤blico.
El legislador espa帽ol
opt贸 por qu茅 no,
porque era suficiente con la
declaraci贸n de infracci贸n.
Entonces, el informe del
Consejo de Estado
sobre el anteproyecto de ley
Org谩nica de Protecci贸n de Datos,
al que antes me refer铆a,
hace referencia a que esta
posibilidad podr铆a
ser considerada discriminatoria,
porque, cu谩l es la raz贸n por
la que se pueden imponer
sanciones econ贸micas tan altas
al sector privado
y no al sector p煤blico?
El profesor, Jos茅 Luis Pi帽ar, ha
hablado en muchas ocasiones
este estos temas.
Me viene a decir que es una tonter铆a
imponer multas administrativas
a las administraciones p煤blicas
y el dinero sale de los Presupuestos
Generales del Estado,
pero a m铆 sin embargo me parece
importante que no solo
hay una declaraci贸n, sino que
da una vuelta econ贸mica
y que en esos presupuestos los
ciudadanos vean que se merman,
porque las autoridades p煤blicas,
los funcionarios no han hecho
bien su trabajo, igual,
porque aqu铆 hay como
una doble rasero,
una doble vara de medir,
que a m铆 la verdad es que no
me convence demasiado.
Bueno, por cualquier caso, lo
que s铆 que se ha hecho
ha sido modificar un
poco este r茅gimen.
El a帽o pasado, en el a帽o 2023,
o a una modificaci贸n de la Ley
Org谩nica de Protecci贸n de Datos
se han incluido otras medidas
como, por ejemplo,
la posibilidad de incoar
procedimientos disciplinarios
a los funcionarios que infringen
el Reglamento General
de Protecci贸n de Datos, publicar las
resoluciones sancionadoras,
que se imponen a las a las
administraciones p煤blicas
o el sector p煤blico institucional,
de forma diferente
publicarlas en la web.
Comunicar estas infracciones al
Defensor del Pueblo, etc茅tera.
Bueno, esto es un poco un poco.
Mi visi贸n de c贸mo est谩 actualmente
desde la aprobaci贸n
del Reglamento General de Protecci贸n
de Datos hasta hasta la actualidad
y con esto terminar铆a mi mi ponencia.
Much铆simas gracias y por supuesto
si quer茅is hacer
alguna pregunta alguna, alguna
cuesti贸n, alguna correcci贸n
o incluso pues estar茅 encantado.
Muchas gracias.
Bien, no te preocupes, que ahora hay
temas de debate suficientes
y trascendencia y relevancia.
La segunda parte de la sesi贸n,
como se dicho,
correr谩 a cargo de Javier
empresa me niego,
aunque les director de supervisi贸n
y control
de Polic铆a del Consejo General del
Poder Judicial hoy viene aqu铆
como un humilde investigador
acad茅mico en protecci贸n de datos.
No en vano est谩 a punto de opositar
su tesis doctoral,
o alguien m谩s que hay
alguien en la sala.
Estamos ya en capilla,
no Javier, y ya.
Pues bueno lo peor no plantea
el momento de culminaci贸n.
Ah铆 hay de devolver a dar la raz贸n.
Bueno, pues cab铆a, viene a
compartir con nosotros
esa experiencia acad茅mica
e investigadora
y el enorme trabajo que yo creo
que est谩 haciendo a la hora
de divulgar este tipo de cuestiones
en redes sociales pues muchas gracias
Javier mal bueno buenos d铆as
lo primero muchas gracias por
la invitaci贸n Juliana
y sobre todo a encontrarme
aqu铆 con algunos amigos
alguno de ellos que hace bastante
tiempo que no lo ve铆a.
Como dec铆a, Juli谩n.
Yo voy a hacer la que ahora soy
director de supervisi贸n
y control de Protecci贸n de Datos,
que es la autoridad de control
de protecci贸n de datos
en el 谩mbito judicial, que
no se conoce mucho.
Voy a hacer la presentaci贸n
sobre, digamos,
desde un punto de vista investigador.
Me voy a referir sobre
todo a cuestiones
resoluciones de la Agencia Espa帽ola
Protecci贸n de Datos
, tambi茅n alguna cuesti贸n
de otra autoridad,
y tambi茅n me voy a hacer
algunos comentarios
sobre la anterior presentaci贸n
porque pone preparado muchas cosas
comentar tambi茅n respecto a
la presentada a la Mesa
que va despu茅s de la nuestra.
Si alguno tiene inter茅s
en la p谩gina web del Consejo
General del Poder Judicial
se ha publicado un informe
en el que una parte
analiza la posici贸n del consejo
como autoridad de control
en el 谩mbito de la inteligencia
artificial,
porque los temas de justicia son
declarados de alto riesgo
y, por otra parte, el tema de
inteligencia artificial.
Justicia es ahora en lo que est谩
m谩s regulado en Espa帽a
con el Real del del a帽o
del a帽o pasado.
Bueno, voy a hacer primero
una introducci贸n.
Comentaba antes Alejandro que
la normativa sancionadora
est谩 en el reglamento
y en la Lope de.
Pero, bueno, se est谩 tramitando
un reglamento que va
a regular solo el procedimiento de
reclamaciones transfronterizas,
que adem谩s tiene una peculiaridad.
Si lo comparamos luego entrar茅 en
las reclamaciones transfronterizas.
Si lo comparamos con las
reclamaciones locales,
no vamos a encontrar
que el reclamante
tiene una mayor va a tener
una mayor participaci贸n
si el procedimiento es
transfronterizo,
que si no es transfronterizo,
junto al adjunto a ello,
que tambi茅n ha apuntado Alejandro.
Se ha referido a las directrices del
Comit茅 Europeo de Protecci贸n de Datos
sobre los criterios de graduaci贸n.
Pero es que en materia sancionadora
nos encontramos toda
una bater铆a de directrices del
Comit茅 Europeo de Protecci贸n de Datos
, que yo creo que est谩n realizando
en algunas ocasiones,
entre comillas, un desarrollo
encubierto,
porque nos yo siempre me pregunta
esto de las directrices, que son
exactamente no tales algunas.
Por ejemplo,
la mayor parte de ellas se refiere a
las reclamaciones transfronterizas,
pero, por ejemplo, esa que
veis en rojo vale
que todav铆a no se sobre los
criterios de grabaci贸n.
Hay 2.
Una, la que aprob贸 en su d铆a el el
grupo del art铆culo 29 luego
esta no esa todav铆a no se ha
aplicado si os dedic谩is a defender a clientes
el d铆a que que que teng谩is un
cliente que venga con una resoluci贸n,
que empiece a aplicarse
esas directrices
o vais a abordar de m铆 de lo
que voy a decir ahora,
porque son unas directrices
sumamente complejas,
no hay quien las entienda,
desde mi punto de vista,
y crean 6 etapas diferentes para
cuantificar una multa
y todo, b谩sicamente, bueno, toman
alguna norma europea
como de modelo,
pero digamos entre comillas, est谩
un poco como inventado.
No hay 1 se pregunta si esto deber铆a
estar en unas directrices o no,
si no deber铆a estar en otra norma.
Esto no acaba.
Aqu铆 hay m谩s directrices del Comit茅
Europeo de Protecci贸n de Datos
y algunas que no, que
no he tra铆do vale.
Vamos a encontrar en torno de haber
entre 10 o 15 documentos
sobre todo el procedimiento
sancionador derecha
y 1, por ejemplo, que se mete
en el derecho interno
de los Estados miembros porque
trata de regular lo que son.
Hay algunos pa铆ses que les permite
acudir a soluciones amistosas,
por ejemplo, Irlanda; la
principal novedad
que introduce el Reglamento General
de Protecci贸n de Datos,
desde mi punto de vista
dentro acordaron
cuando entr贸 el reglamento,
la multa 20.000.000.
Para m铆 no es esa.
La principal novedad es que cambia
la forma de determinar
qui茅n es la autoridad competente
para tramitar una reclamaci贸n
y crea este sistema de reclamaciones
transfronterizas competentes
y una entidad tiene varios
establecimientos,
ser谩 donde est茅 el establecimiento
principal
la autoridad donde est茅 el
establecimiento principal
y si solo tiene un establecimiento
y da servicios a varios pa铆ses
Senado, tambi茅n de estese
煤nico establecimiento,
pero luego pueden participar el
resto de autoridades de control
en el procedimiento sancionador.
Hay alg煤n procedimiento sancionador
que han participado hasta 42
autoridades de control
para percibir a una entidad que en
t茅rminos de eficacia y eficiencia,
pues creo que no es necesario
que lo explique, no 42,
porque est谩n tambi茅n las autoridades.
Los lander alemanes tienen
competencias al sancionadora.
En el caso de la agencia espa帽ola no
ha tramitado muchas reclamaciones
como autoridad principal porque
aqu铆 no hay mucha.
Hay alguna sede principal de empresa,
pero, como digo no ha
tramitado muchas.
Luego las reclamaciones
transfronterizas tienen excepciones,
algunas de las cuales est谩n
explicadas en alguna directriz
que se mostraba anteriormente
y resulta necesario leerlo
4 o 5 veces para poder entender c贸mo
se aplica esa esa excepci贸n.
Una de ellas es que puede ocurrir
que ese establecimiento principal,
realice alg煤n tipo de servicio.
Hay alg煤n tipo de servicio
que no sea el principal,
no que sea una sucursal la
que act煤e, digamos,
como la que final los fines
y medio del tratamiento,
por ejemplo, ese caso que ten茅is?
Ah铆 Amazon la sede principal
est谩 en Luxemburgo,
lo que tiene que ver todo con con
los servicios de la p谩gina web,
con la compraventa.
La autoridad de control
en la desglosan
-Burgas, el caso que he comentado
antes Alejandro,
pero luego ha habido
1 que ha tramitado
la Agencia espa帽ola contra
Amazon Espa帽a,
porque era un caso de que
para la expedici贸n de,
bueno para contratar a conductores
les ped铆an el certificado
antecedentes penales
y eso lo decid铆a la sucursal
espa帽ola,
no la decid铆a la principal
de de Luxemburgo,
con lo cual es solo tramita
la Agencia Espa帽ola de
Protecci贸n de Datos, con lo
cual ve que todo esto
de las reclamaciones
transfronterizas es bastante sencillo,
no porque tiene, como digo,
excepcione algunos que ha tramitado
la agencia con participaci贸n
de otras autoridades.
El primero de ellos.
Bueno una aplicaci贸n de
bromas llamada guasa.
Este ya hab铆a sido multado con la
Ley Org谩nica de Protecci贸n de Datos
del a帽o 99.
La reclamaci贸n vino por el no ven铆a,
pero la sede es 煤nica.
Esta empresa est谩 en Espa帽a,
presta servicio a otros pa铆ses
de la Uni贸n Europea
y luego el primero que apareci贸
sobre qu茅 ahora bueno,
suelen aparecer m谩s sobre
la recogida excesiva
del documento nacional de identidad
o del pasaporte en un hotel.
La reclamaci贸n interpuso un holand茅s.
Inicialmente la agencia
hab铆a archivado,
pero digamos que por el empuje
de la autoridad holandesa
de protecci贸n de datos, se tramit贸
el procedimiento sancionador.
Aqu铆 lo que se hac铆a era escanear
el pasaporte para, adem谩s,
hacer una tarjeta al cliente
para que pudiese entrar
en determinados espacios
del del hotel El.
Si nos referimos?
Bueno, durante este,
el los 煤ltimos a帽os han empezado a
aparecer las primeras sentencias
relacionadas con la aplicaci贸n del
Reglamento General de Protecci贸n
de Datos.
Desde mi punto de vista,
la m谩s importante es esa sentencia
del Tribunal Supremo
del a帽o 2021, que ha pasado
un poco desapercibida.
Viene de una resoluci贸n de la
direcci贸n de supervisi贸n
del control del Consejo General
del Poder Judicial
e interpreta, digamos, qui茅n est谩
legitimado principalmente
para interponer una reclamaci贸n ante
las autoridades de control?
Interpreta lo que es el art铆culo
77 del Reglamento,
y el Reglamento nos dice que habla
de la figura del reclamante
de una persona cuyos derechos el
derecho a la protecci贸n de datos
pueda verse afectado por un
responsable o un encargado.
Es decir, no habla aqu铆
de que cualquiera que pase
por la calle bueno,
volver a denunciar ese que no tiene
cartel de videovigilancia
y ni siquiera me ha acatado la
imagen, no lo que viene a decir
las sentencias que tiene que haber
una prioridad en aquellos casos
en que el denunciante cumple
esa figura del reclamante,
su derecho a la protecci贸n de datos,
se vea afectado y cuando no ostente,
digamos esa figura.
Es decir, un tercero que pon铆a
ante una denuncia,
podr铆a decir a la autoridad
de control
lo que hace en funci贸n de los hechos
que se est茅n denunciando.
De hecho, parece
esto creo que es la la memoria
de la de la 煤ltima memoria
de la agencia.
Parece que la en ese pie de p谩gina
que aparece en un cuadro,
parece que la agencia est茅
empezando a aplicar ya
este criterio, no, porque
ah铆 nos dice adem谩s
que son las los cuadros
sobre el cuarto,
es el procedimiento sancionador
sobre los procedimientos
y nos dice que incluye
tambi茅n denuncias
de Fuerzas y Cuerpos de Seguridad
y de Ciudadanos,
cuyo derecho a la protecci贸n de
datos no se vea afectado
por la infracci贸n.
No, con lo cual parece que estar铆a
ya diferenciando estos 2 supuestos.
Luego volver茅 otra vez
al ala al cuadro es.
En cuanto a las reclamaciones
m谩s frecuentes
yo he advertido que me parece que
el reglamento est谩 pensando
en una cosa y lo que reclama el
ciudadano de a pie es otra
que que no tiene absolutamente
nada que ver.
Si vemos los los grupos de
reclamaciones m谩s m谩s frecuentes
no ha cambiado nada con la L贸pez,
desde la L贸pez de publicidad,
videovigilancia y luego adem谩s, yo
no, que no hay reclamaciones.
Si estamos todo el d铆a hablando
de tecnolog铆a,
pero no hay mucha reclamaci贸n
sobre tecnolog铆a.
De hecho,
creo que si quitamos los famosos
procedimientos contra meta
y sus inumerables compa帽铆as
alguna contra Google
y luego vemos lo que es
biovigilancia, publicidad, etc茅tera,
en el medio hay un grupo
como que casi
no tenemos reclamaciones.
Por ejemplo, casi no hay
reclamaciones de teatros
hay.
Hace 4 a帽os hab铆a 4.000.000 ya
empezaba a haber 40 o vaya usted
a saber no, no hay reclamaciones
sobre drones.
Si tenemos ahora sobre la biometr铆a,
pero bueno, eso yo creo que dar铆a
para otro seminario, as铆
que lo vamos a dejar,
pero, como digo, yo no toque,
no hay reglas,
no hay mucha reclamaci贸n relacionada
con tecnolog铆a.
Cuando el reglamento est谩 pensando
sobre todo en grandes empresas
y en grandes tratamientos de datos.
Esta es una resoluci贸n de
hace de finales del a帽o
pasado sobre un bueno,
un tema tecnol贸gico,
no que hab铆a puesto en marcha la
Direcci贸n General de Tr谩fico,
un libro de taller electr贸nico
para comunicar datos
de los talleres a la DGT
para tener digamos,
una informaci贸n actualizada del
del veh铆culo, pero bueno,
o varios problemas sobre todo
relacionados con la legitimaci贸n,
y luego, obviamente, un cl谩sico.
Existe las reclamaciones vendetta.
No me voy a la protecci贸n de datos
por saber si nos hemos cabreado,
pues, por ejemplo, en el primero
que visa el segundo,
que veis ah铆 que no tiene nada, no
tiene ning煤n sentido, no una.
En una peluquer铆a desde hace
a帽os una peluquer铆a
envi贸 un correo electr贸nico con
las direcciones en abierto
y una persona interpone la
reclamaci贸n m谩s de 2 a帽os despu茅s,
no debieran de tener alg煤n
tipo de problema.
Ser铆a con el peinado o
el corte de pelo,
no tiene 60, hab铆a hasta preescrito
la, la infracci贸n
y luego bueno, esto es el.
Se se habla mucho de las altas
multas de la agencia espa帽ola,
pero no en la que ha puesto
con el reglamento.
Las las multas m谩s altas
las ha puesto
la autoridad irlandesa, la agencia,
si pone, tramita m谩s procedimientos
sancionadores
pero porque es la que reciben
m谩s reclamaciones en todas.
El a帽o pasado, 21.000, las 3 que
veis ah铆 de la autoridad francesa,
que est谩n marcadas porque est谩n
relacionadas con su ley,
con la parte servicios de la sociedad
de la informaci贸n vale, est谩
relacionado con buques
sino con la parte del Reglamento
General de Protecci贸n de Datos.
Bueno, pasando a los poderes
correctivos, bueno,
tenemos 2 tipos de procedimientos,
1 por reclamaciones,
por cualquier tipo de vulneraci贸n
y luego por no atender
los derechos que luego comentar茅
algo al respecto.
Pero esto es un procedimiento
que solo se tramita,
creo que en Espa帽a es una cosa.
Una rara avisen a nuestro derecho.
La advertencia, el gran no se nos
no sabr铆a c贸mo calificarlo.
Qu茅 en las la advertencia pone.
El.
Bueno, se modific贸 en su d铆a cuando
se publica el reglamento,
pon铆a sancionar con una advertencia
cuando puede
haberse cometido una infracci贸n,
pero pone, pueda,
con lo cual nos ha tramitado un
procedimiento sancionador.
Entonces lo cambiaron, lo es
sancionar por por dirigir?
No, la agencia en su memoria
no publica.
Cu谩ntas advertencias ha dirigido
a responsables?
Hay otras autoridades de control.
Por ejemplo, la portuguesa
est谩n en torno a 25, 30.
Si hay no se aplican.
No se publican tampoco
las resoluciones,
salvo una que me referir茅 ahora.
Esto es un caso que alguien
public贸 en Linkedin
en su d铆a no s茅 si lo conoc茅is de
que hab铆a recibido una advertencia,
una universidad con los
temas, con el COVID,
que quer铆an utilizar el
reconocimiento facial
para el control de los ex谩menes.
Ven铆a a decir.
Se le advierte de, si no cumple
con la normativa,
se le puede iniciar un procedimiento
sancionador y luego, recientemente,
si se public贸 la primera vez que
la 煤nica que est谩 publicada
las seg煤n la L贸pez, de las
resoluciones de advertencia,
no se tienen por qu茅 publicar, pero
por el Estatuto de la agencia
abre la posibilidad de publicar
otro tipo de resoluciones.
Se publica, es est谩 sobre la
Liga de F煤tbol Profesional
sobre un contrato que
estaban licitando
para el uso de reconocimiento
facial de acceso
a los de control en los estadios y
que a m铆 m谩s que que yo haya tenido
conocimiento cual creo que algunas
s铆 me parece en videovigilancia,
ojo, puede tener mucho recorrido
la advertencia.
No necesariamente ante
una reclamaci贸n
hay que tramitar un procedimiento
sancionador,
porque el reglamento te deja
varias posibilidades
y luego el cuadro que mencionaba
anteriormente.
Si seguimos leyendo en estos casos
en que no est谩 afectado el derecho
de protecci贸n de datos
de estos reclamantes da a entender
pone al final y la advertencia
de que en caso de no ajustarse
se podr谩 iniciar
actuaciones pertinentes,
con lo cual parece dar a entender
que en aquellos casos
que el reclamante no el denunciante
no se vea afectado por su derecho
a la protecci贸n de datos se estar铆a
la autoridad de control
utilizando la advertencia vale,
seg煤n lo que aparece en ese cuadro,
dej茅moslo luego.
El apercibimiento,
el apercibimiento se modific贸 la
L贸pez de hace hace m谩s de un a帽o,
porque se cambi贸 a que no tuviese
naturaleza sancionadora.
Yo jurar铆a que hay una sentencia
de la 茅poca de la L贸pez
de que dice que s铆 tiene naturaleza
sancionadora,
pero no, no consigo encontrar
jurar铆a que lo que lo he le铆do,
cuando se modificara L贸pez de se le
quita la naturaleza sancionadora,
y se establece un procedimiento
espec铆fico para el apercibimiento.
Antes lo podamos encontrar,
aunque era muy raro alguna
resoluci贸n en que se hubiese apercibido
y multado a la al mismo responsable.
Tiene su sentido tambi茅n,
porque no vas a estar con
el acuerdo de inicio
la propuesta de resoluci贸n
en la resoluci贸n,
para lo cual al final acabar
a percibir a percibiendo.
Estas son las primeras que aparecen
publicadas en la p谩gina,
los primeros apercibimientos.
Aplicando este procedimiento
ya ya ya ya nuevo,
sin naturaleza sancionadora, y
los 煤ltimos que han salido,
est谩n relacionados con
videovigilancia entre particulares,
lo t铆pico que la C谩mara
grava excesivamente
o que falta el cartel del derecho
a la informaci贸n.
Luego se ha comentado anteriormente
el tema
de las administraciones p煤blicas.
Inicialmente, cuando se aprobara
L贸pez de se les ha percib铆a,
pero con este cambio pasa a
declarar la inflaci贸n,
el mismo sistema que 茅l Qu茅
hab铆a con la ley del a帽o?
99 Ese es el listado que
aparece en la Lopeg,
aunque desde mi punto de
vista falta alguno,
pero no lo voy a decir eso
me lo tengo que guardar
y luego yo s铆 soy partidario de
multar a las administraciones.
De hecho hay otra normativa en Espa帽a
que se puede multar a las
administraciones.
Medioambiente.
La Ley de protecci贸n al informante,
aunque yo creo que ah铆 se
no se dieron cuenta
o, por ejemplo, el esquema nacional
de seguridad de 5 jefe,
puede multar a las administraciones.
Yo no digo que se vaya a multar a
las administraciones con 20.000.000
de euros ni el 4 por 100
del presupuesto,
pero esa facultad 3 multas de 1.000
euros con su correspondiente portada
en los peri贸dicos desgraciadamente
hay que decirlo hace much铆simo m谩s
que muchas publicaciones
de resoluciones.
Hay alguna resoluci贸n que
coment谩bamos ayer, por ejemplo,
un ayuntamiento con 5 infracciones
ni aleja,
vale lo que hizo el a帽o pasado.
La agencia es aquellas
administraciones
que incumpl铆an sus resoluciones,
pues public贸 un listado
de incumplidores.
Tuvo una difusi贸n en medios de
comunicaci贸n y en redes sociales.
Adem谩s, Espa帽a es, junto a
Francia y Luxemburgo,
el 煤nico para los 3 煤nicos pa铆ses
que no han contemplado
que se pueda multar a las
administraciones
el resto algunas se multan otras
depende algunas han metido buenos
los los italianos por ejemplo,
los portugueses est谩n bien,
pero sobre todo tener la facultad
en el reglamento,
inteligencia artificial plantea
exactamente lo mismo,
deja abierto a que cada
Estado miembro
decida entonces nos vamos a imaginar
lo que lo que va a ocurrir,
y luego ocurre tambi茅n la
siguiente paradoja.
Cuando se aprueba el reglamento
se aprueba tambi茅n
un reglamento de protecci贸n de
datos en las instituciones
de la Uni贸n Europea que la
autoridad de control
es el supervisor europeo,
Protecci贸n de Datos,
el supervisor europeo de
Protecci贸n de Datos,
si puede imponer multas
a la Uni贸n Europea,
con lo cual nos encontramos
2 reglamentos
que salen de la Uni贸n Europea.
1 deja libertad, el otro dice
que s铆 a mis instituciones
y se las puede montar un
poco contradictorio,
aunque es cierto que el supervisor
todav铆a no ha multado a nadie,
pero creo que tener la facultad
ya elevada, digamos,
el grado de cumplimiento sobre
la cuant铆a de las multas.
Se ha comentado anteriormente
tambi茅n lo que es la tipificaci贸n
de infracciones.
Hay un art铆culo que no aparece
ah铆 que no est谩 tipificado
en el la infracci贸n.
En el propio reglamento, que es el
art铆culo 10, el de infracci贸n,
el tratamiento de datos de
naturaleza penal no aparece en esa relaci贸n
y luego el reglamento tiene.
Comete aqu铆 un error, no el,
el 8, que es el tratar.
El consentimiento de los menores
deber铆a estar en el grupo
de los 20.000.000 de euros.
No deber铆a estar en el primer
grupo de los 10.000.000,
porque toda la parte legitimaci贸n
es tal, la en la parte
de las de las multas m谩s altas y lo
hay alg煤n apartado en el 58,
2 que est谩 bastante mal redactado,
comento Alejandro que hace
una la tipificaci贸n,
digamos en sentido muy amplio.
Esto nos lleva a que en cada
art铆culo del Reglamento
tenemos que empezar a leerlo y ver
d贸nde puede haber una infracci贸n
y donde no puede haber
una infracci贸n,
no por ejemplo, este que va
del del nombramiento
delegado de protecci贸n de
datos en el apartado 1
hay 3 infracciones diferentes porque
la letra es que lo nombre
las administraciones p煤blicas
la la letra b es cuando
es responsable,
cuando se va a nombrar, cuando haya
una observaci贸n habitual,
y el tercero es tratamiento
a gran escala,
no de categor铆as especiales de datos,
pero son 3 casos diferentes, no?
Entonces, si se comete una
infracci贸n la la infracci贸n,
la resoluci贸n tiene que aparecer
que la infracci贸n
cometida es el 37, punto 1,
letra a 37 por el 37.
Hay otras conductas y
tambi茅n puede haber
conductas que no sean sancionables.
Por ejemplo, el apartado 6
dice que el delegado puede formar
parte de la plantilla
o ser externo o algo,
pues son 2 opciones, no, pero no
hay ning煤n tipo de obligaci贸n.
Si nos vamos a resoluciones
sobre por no haber nombrado delegado
de protecci贸n de datos,
pues muchas veces no se
acierta a determinar
cu谩l es el precepto concreto
que se ha incumplido,
no la primera, por ejemplo,
la del globo que esta fue
bastante conocida en su
d铆a aparece que el.
El art铆culo incumplidor es el 37,
cuando deber铆a haber sido
el 37, 1 letra b,
y en las administraciones p煤blicas
pasa lo mismo, no,
y el que se incumple es
el 37, 1, letra,
no el 37 o el 37, apartado 1, que
como dije ah铆 hay 3 casos bueno,
los criterios de graduaci贸n
ya dije anteriormente.
De las directrices estas que
todav铆a no se han aplicado
yo creo que sobre todo cuando
se comete una infracci贸n
a la hora de cuantificar la multa
lo que hay que tener en cuenta
sobre todo es el perjuicio
causado al al reclamante
y el grado de culpabilidad;
y el tercer caso,
y si ha habido alg煤n
tipo de beneficio,
pero que son.
Para m铆 no est谩n todos en el
mismo, en el mismo nivel
y, sobre todo creo que hay que ver
el perjuicio que perjuicio
porque adem谩s en funci贸n de ese
perjuicio luego esa persona
puede exigir responsabilidad civil
o responsabilidad patrimonial,
m谩s poderes
que tiene las las autoridades
de control.
Bueno, esto lo calific贸 yo
como ordeno y mando, no, entonces
son ordenar al responsable
que el reglamento cumpla con
ajustarse al Reglamento.
Esto normalmente aparecen propia
en la propia resoluciones
sancionadoras.
Usted ha acometido esta infracci贸n,
pero adem谩s debe ajustarse, cumplir
con esto o lo otro,
y la comunicaci贸n de brechas de
seguridad a los afectados,
que puede ordenarla, la
autoridad de control,
y luego lo que es para
m铆 la mayor sanci贸n,
que puede caer sobre un responsable
o un encargado.
Para m铆 no en la muy bueno
podr铆a ser la multa,
pero para m铆 no es la multa, para m铆
es prohibir un tratamiento por qu茅
porque podemos tener un negocio
hombre obviamente
si nos la multa asalta y tengo que
pagarle por cerrar el negocio
tambi茅n no, pero nos podr铆a cerrar
una l铆nea de negocio
o un determinado negocio,
porque nos estar铆a diciendo que lo
que estoy haciendo es ilegal.
Ahora veremos al alg煤n ejemplo,
por ejemplo,
un caso en el que se se ordena
aunque esto luego se anul贸, se multa
y se ordena adem谩s que se cumpla
con el derecho de informaci贸n.
Fue la primera vuelta est谩 conocida
del de los de los 2 bancos.
En estos casos, adem谩s,
que la agencia te dice que tiene
6 meses para un mes
para adecuar el tratamiento, hay
que comunic谩rselo a la agencia
cuando sea adecuado, porque si
no nos pueden luego abrir
un procedimiento por haber
incumplido esa resoluci贸n,
porque ah铆 no solo tenemos una parte
de multas y tenemos adem谩s
una parte de cumplimiento de adecuar
un tratamiento de datos personales
sobre la prohibici贸n de realizar
un tratamiento de datos.
Voy a realizar una comparaci贸n
entre entre 3 supuestos,
de prohibiciones,
pero que son diferentes.
Esto es un negocio.
Es una empresa muy conocida,
Isfas, ten铆a un fichero
llamado de reclamaciones judiciales
y organismos p煤blicos
lo que hac铆a era acog铆a datos de los
boletines oficiales de gente
que ten铆a deudas con
la Administraci贸n
y luego lo vend铆a a empresas.
Esto con la L贸pez de.
Bueno, acordar fuentes accesibles
al p煤blico,
pero ahora no hay y la agencia dice
proh铆be este tratamiento
y se tiene que cerrar esta parte
del negocio de esta empresa.
Es cierto que la multa inicialmente
era de 7.000.000 de euros,
se baja un 1.000.000, pero
prohibici贸n del tratamiento.
Aqu铆 tenemos el, digamos,
un cierre de negocio.
Sin embargo, en el famoso caso de
Mercadona no es un negocio
lo que se hab铆an gastado dinero
en toda la seguridad,
pero se proh铆be tambi茅n,
pero lo que ten铆amos
era una actividad relacionada
con la seguridad.
Tenemos la diferencia entre
2 prohibiciones,
pero son diferentes,
no una, como digo,
cierre del negocio es ilegal,
la otra es ilegal,
pero no me afecta al negocio,
me afecta a la seguridad
o ser铆a tambi茅n el caso ese contra
contra un caso reciente
contra el Burgos?
Por utilizar tambi茅n la huella para
acceder al al-al al Estado?
Y luego,
relacionado con las reclamaciones
transfronterizas que os dije
al principio, que hab铆a excepciones,
otra excepci贸n es lo que se llama
el procedimiento de urgencia,
no est茅 cabe la posibilidad de que
aunque la autoridad de control
no sea la competente, pueda
ordenar a una sucursal,
que se adopte medidas mientras la
autoridad de control principal
empieza a iniciar el procedimiento
o se manifiesta el
Comit茅 Europeo de Protecci贸n
de Datos ,
y esto es lo que hemos
tenido, por ejemplo,
con el caso de Alcoa no o alcohol
no es competente
la agencia espa帽ola,
la competente es un lander me parece
creo recordar, un lander alem谩n,
pero la agencia le ordena a Wert que
adopta una serie de medidas
que proh铆ba el tratamiento
de datos temporalmente
hasta que se manifieste el Comit茅
Europeo de Protecci贸n de Datos
o dec铆a la autoridad de control
correspondiente
la primera vez que se acudi贸 al
procedimiento de urgencia.
Fue en Italia, en el caso de Tito,
para verificar la edad
de los menores,
porque esto de que hacen ahora
lo menor es de retos y cosas
de este tipo por 2 hab铆an acabado.
Creo que hab铆a que aguantar
debajo del agua
de una ba帽era y 2 hab铆a
2, hab铆an agua no.
Entonces para la autoridad italiana
orden贸 a todos hacer un una limpieza
y de Cuentas de menores,
etc茅tera, etc茅tera,
el tema de brechas de seguridad.
Bueno, yo la verdad, no consigo.
Bueno, no soy muy partidario
de lo de la comunicaci贸n,
de las brechas de seguridad;
recomienda.
Hay un art铆culo de investigaci贸n
que dice
que es contrario al principio
a no declararse culpable.
Creo que adem谩s el reglamento
lo que hace
es como casi obligatorio, la
notificaci贸n de las brechas,
a la autoridad de control
y excepcional.
La notificaci贸n de la brecha a los
afectados creo que deber铆a
estar al rev茅s, no me parece que m谩s
obligatoria a los afectados,
y al otro probablemente est茅 metida
la obligaci贸n a las autoridades
de control para que luego
la autoridad de control
decida comunicada la brecha
vale normalmente
cuando se notifican en torno a 120,
140 brechas de seguridad,
muy pocas, pasan a la parte
de inspecci贸n.
En ese parte de que se comunica
la inspecci贸n,
la agencia puede ordenarla.
La comunicaci贸n de la brecha
vale al a los afectados,
lo ha hecho 茅l el a帽o pasado
en en 30 ocasiones.
El tema de transferencias
internacionales puede.
Se puede ordenar tambi茅n la
que se suspenda el flujo
de transferencias internacionales?
No hay muchas resoluciones de
transferencias internacionales,
porque tampoco hay mucho formulario
de recogida de datos que te informe
de que hay transferencias
internacionales de datos.
Luego los profesionales nos comemos
la cabeza de cl谩usulas y todo eso,
pero hay, si no recuerdo
mal 5 reclamaciones
no no hay m谩s no entonces os
acord谩is el caso de Google Analytics
no del extremo su NG entre comillas?
No.
Entonces, interpone un mont贸n
de reclamaciones
a las autoridades de control
con Google Analytics,
la mayor parte de autoridades
de control
no ha multado en este caso, vale.
Cuando se anula la prueba.
Es decir, no solo hay
una que ha multado.
La primera que se que se resolvi贸
no la segunda,
en la de la primera, creo se tramita
como transfronteriza.
Entonces no participan varias
autores de control,
ah铆 no se multa ya dice.
Bueno, pues lo normal es que el resto
no nos multen, no, salvo
una excepci贸n,
que aqu铆 hubo 5 en Espa帽a, la
primera fue con la ra铆z,
lo que hizo fue, hab铆a dejado
de usar Google Analytics
y luego la 煤ltima ha sido
contra la de entonces.
La ley Dris tiene la condici贸n,
que es el procedimiento sancionador
m谩s extra帽o
desde que tenemos el Reglamento
General de Protecci贸n de Datos,
porque es un procedimiento
sancionador.
Yo me lo he le铆do varias veces a,
si digo a ver si soy yo
que estoy equivocado,
pero creo que no les pueden innovar
y a veces hay acuerdo.
Inicio, hay propuesta de resoluci贸n,
hay resoluci贸n.
Se determina que se ha incumplido
un art铆culo por realizar
la transferencia internacional,
pero no hay nada, no
hay, no hay multa,
pero tampoco hay apercibimiento.
Lo 煤nico que pone es que se suspenda
la transferencia internacional.
Es una cosa bastante extra帽a,
pero puede ser como otra
forma de actuar.
Probablemente para ordenar
la suspensi贸n
no hubiese sido necesario tramitar
el acuerdo de inicio,
la propuesta de resoluci贸n y la
resoluci贸n y luego ya bueno,
ya para para terminar.
Bueno, 茅l las reclamaciones
de derechos.
Aqu铆 tenemos seg煤n el Reglamento,
una de las poderes
es ordenar la responsable que
se a las solicitudes.
No?
Esto yo creo en una cr铆tica
totalmente constructiva.
Creo que se ha entendido
demasiado literal.
No?
Entonces, en las resoluciones
de este tipo
lo que nos encontramos es ordenando
que se atienda en sentido positivo
o en sentido negativo,
y yo creo que no deber铆a
ser as铆; es decir,
si una persona ejercita el derecho
de acceso y no se le ha contestado,
lo que no puede ser es que
interponga una reclamaci贸n
para que al final se le
diga al responsable,
atiende al derecho, en
sentido positivo
o en sentido negativo, y yo
personalmente no lo entiendo.
Yo creo que hay,
tendr铆a que resolverse, atienda,
conteste el derecho de acceso,
cuando adem谩s todos los derechos
est谩n en positivo,
salvo excepciones.
De hecho, si nos encontramos
con el olvido,
en cambio ah铆 s铆 hay un
pronunciamiento con el olvido
no hay ni esa diferencia.
Yo no consigo entenderla.
Luego est谩 pasando otra cosa.
Como dije al principio,
no hay reclamaciones.
El procedimiento de derecho
no existe en otro pa铆s.
No.
Si hay una reclamaci贸n de derechos
transfronteriza,
puede ocurrir que, caiga o no,
la probabilidad sube,
con lo cual, si el local,
atienda, hay alguna excepci贸n
en que si se ha multado,
pero la regla general es
responda al derecho
a 10 d铆as lo recordaba un mes y,
como digo, hay alguna multa,
pero s铆 es transfronterizo.
Normalmente se ha acabado tramitando
porque, claro, los otros pa铆ses dicen
Bueno esto que es desconocen
todo este sistema
y luego el.
El reglamento tambi茅n contempla
la posibilidad
de que la autoridad de control pueda
ordenar la rectificaci贸n,
supresi贸n o la notificaci贸n de m谩s.
Esto ocurre, por ejemplo,
ordenar la supresi贸n.
En el caso de Mercadona se proh铆be
el tratamiento de datos,
pero tambi茅n s茅 que se suprima toda
la que se hab铆a recabado;
ah铆 los datos de lo de los usuarios
o en el caso de Isfas,
lo que pasa que yo creo
que hay en esa orden
de la rectificaci贸n o supresi贸n,
deber铆a estar todos los derechos,
no solo los que aparecen
ah铆 y, por 煤ltimo,
para terminar yo siempre
suelo r茅cord.
Bueno, no lo he tra铆do aqu铆 pero
yo siempre suelo recomendar
para acercarse un poco a las
resoluciones de la agencia.
Siempre.
Recomiendo unas resoluciones
del del a帽o 2020,
creo que son, son muy sencillitas,
son 7 hojas,
son sobre unas webs de cerrajeros,
porque ah铆 nos encontramos
que en una se apercibe,
en otra se multa y en otras archiva,
con lo cual tiene los 3 tipos de
resoluciones t铆picas o bueno
para acercar un poco
y son todos, y ojo
si se leen de forma muy sencilla
y luego est谩 esta que fue en
su d铆a bastante llamativa,
porque la multa fue bueno,
sumando todo,
de 8 a 8.000.000 de euros en su d铆a.
Su recorrido en el caso de
la agencia Qu茅 es bueno
contra la entidad m谩s multada desde
que empez贸 el reglamento,
que se Vodafon, en la cual a veces
habr铆a que aplicarla, la reincidencia
no el esto es una campa帽a de bueno,
de publicidad bestial.
Mandaron 20.000.000 de correos
electr贸nicos,
se meses llamadas.
Pero lo que tiene esta
este procedimiento
es que digamos se ve las 3,
las 3 vertientes que tiene
sancionador a la agencia.
Multa por incumplimiento del
Reglamento General de Protecci贸n
de Datos, multa por incumplimiento
de la Ley de servicios
de la sociedad de informaci贸n
y tambi茅n por la Ley General
de Telecomunicaciones,
por lo cual est谩n ah铆 digamos los
3, los los los 3 metidos,
vale?
Una de la multa del Reglamento
por hacer una transferencia
internacional.
Es otro de los casos y bueno, por
mi parte, pues nada m谩s,
y cualquier cuesti贸n, pues
tratar茅 de responder,
pues es el momento para que pod谩is
intervenir quien lo desea.
Yo tengo varias preguntas preparadas,
pero preferir铆a que puede participar
activamente que lo deseen.
Hay una palabra perdida.
Gracias.
Mi pregunta es qu茅 v铆a hace
poco hace 2 meses
o as铆 sale una sanci贸n de la agencia
en la que, para calcular la cuant铆a,
no se utilizaba el volumen de
negocio de una empresa,
sino del grupo de empresas.
Vi que la agencia ha hecho eso en
3 ocasiones creo que no 1.020,
o as铆 que una de ellas fue Or谩n y
he le铆do que hay mucha gente
que piensa que es por la definici贸n
que se hace de empresa,
en el EGM de, pero quer铆a preguntar
cu谩l es vuestra opini贸n,
si eso va a ser un nuevo criterio
sobre si es una excepci贸n
o eso est谩 eso est谩 metido en
algunos de los documentos
que he mostrado antes.
Por eso coment茅 que a esos
documentos no parece que son buenos realmente.
Su su trabajo en ingl茅s
son Guendulain,
quepan rodante, parecen gu铆as,
pero son, est谩 en un lado
el exhorto documento.
Muy brevemente el el reglamento
dice que en caso de la duda
se impondr谩 la sanci贸n mayor
y s茅 que el reglamento
quiere potenciarse asimismo su
capacidad sancionadora.
Es curioso.
Aqu铆 hay un ruego, por favor,
lo que me parece muy interesante,
la cuesti贸n relativa,
que ya la ha planteado en vuestra
intervenci贸n inicial,
a qu茅 papel deben tener estas,
est谩 aqu铆 a estos documentos
interpretativos que no tienen
car谩cter normativo,
y es una cuesti贸n que se hiciera
tambi茅n con el tema de la biometr铆a,
si estamos, no ya habilitando
el ejercicio
de las potestades de no paralizar
un tratamiento, etc茅tera,
sino imponiendo una sanci贸n
muy discutible
que el hecho de completar el
principio de tipicidad,
no la norma prohibida con este tipo
de herramientas de soplo
puedan tener un efecto jur铆dico
tan contundente,
porque quiz谩 ah铆 lo que habr铆a
que plantearlo,
saldr铆a de control es que hubiese
un procedimiento
para la elaboraci贸n de esta gu铆a
de seguridad a participar
donde las entidades del sector
pudiera hacer alegaciones,
y eso algunas tienen
nombre al algunas
del Comit茅 Europeo de
Protecci贸n de Datos
y se han sometido a informaci贸n
p煤blica.
Algunas s铆 la de la que coment茅 yo
de las de las criterios de las multas
y alguna m谩s, pero otras no.
De hecho, hay alguna
que al haber a ver
si la de haberse me acuerdo la
del nos dec铆a por una gu铆a
de la agencia o ya 1 no exist铆a
por una v铆a de la agencia
o unas directrices del grupo
del art铆culo 29.
Te pone que hay que informar
si no hay transferencias
internacionales de datos.
Eso no lo ponen en ning煤n sitio.
Entonces a veces tipificando ex novo,
no una conducta no prohibida por
una norma clara a veces
la interpretaci贸n es tal.
Es que a ver, yo creo que a ver yo
yo creo que hay que diferenciar.
No es cierto que las la L贸pez
de permite hacer circulares como
ocurri贸 con la de La 2,
cuando el art铆culo de los
partidos pol铆ticos
y dem谩s entonces hay que ver
ah铆 hasta d贸nde se puede.
Ese es el debate para que gale贸n
hasta d贸nde se puede llegar a acordar
los de la Instrucci贸n, de
videovigilancia famosa,
lo que hace la explosi贸n de
videovigilancia famosa.
Bueno, hubo 13,
instrucciones de videovigilancia,
no una de la agencia espa帽ola,
otra de la Autoridad Catalana de
Protecci贸n de Datos otra vez
la Agencia de Protecci贸n de Datos
de la Comunidad Madrid.
Porque no hab铆a m谩s autoridades
de control auton贸micas,
no habr铆a habido m谩s, no?
Pero lo que hace la claro, visto
ahora al pasado no lo que hace
la instrucci贸n de videovigilancia
en su d铆a es, entre comillas,
legaliza las c谩maras Por qu茅 no?
En el donde ten铆a que entrar,
que era esto, proporciona
lo necesario.
No entra, era lo primero
que habr铆a que ver.
Oiga, esto usted va a poner
una c谩mara tipo
porque al final tambi茅n
es una industria.
Entonces hay que ver yo,
yo creo, por ejemplo, cuando
estamos hablando de gu铆as,
yo creo que la que est谩n para ayudar,
no la que ya es un poco sacarlo,
que haya un 谩mbito espec铆fico,
lo que se haya habido en informes,
alguna resoluci贸n,
y adem谩s, lo hagan,
pero ensamblar todo, y
hace un documento
para un determinado sector
que les alguna cosa m谩s,
pero ah铆 ya que da para hablar
de la gu铆a de buenas
era para para meter, a ver
si eso es ese documento,
esa decisi贸n formalizada
de la agencia
que se publica oficialmente, claro,
puede impugnar la verdad.
Le llegar谩 cuando yo he dicho con
todo el cari帽o del mundo
yo lo hab铆a de biometr铆a.
Pues no, primero no comparto
el criterio,
vale?
S铆 si el si nos ponemos el haber.
El el art铆culo 9 del reglamento no
est谩 desarrollado en Espa帽a.
Si yo cojo la ley, yo
cojo los art铆culos.
Si yo hago la misma interpretaci贸n
que hay en esa gu铆a la meta
en el 谩mbito sanitario,
porque la disposici贸n adicional
decimos茅ptima de ganar sea,
se hizo por si yo cojo las letras.
G ya se me parece que
son lo que pone ah铆
y empieza a compararlo con
las leyes espa帽olas,
a ver qu茅 hemos estado,
con una pandemia,
la parte protecci贸n de datos,
bas谩ndonos en una ley del a帽o 86,
que no hab铆a todav铆a.
Entonces, si yo me voy
a interpretaci贸n
de m谩s hicimos entonces.
Bueno, pues aplicarlo tambi茅n
al 谩mbito sanitario,
no te quede solo en el 谩mbito de la,
y luego tambi茅n la biometr铆a.
Me parece que no es todo lo mismo.
Es decir, no es lo mismo
un control de fichaje
que aqu铆 digamos ser谩 un tratamiento
tradicional,
por llamarlo de alguna forma al a
sitios donde a otro tipo de uso
de bien y por el de Mercadona
probablemente, no fuese necesario.
Pero luego se nos ha olvidado
que, por ejemplo,
hay determinados sitios en
los que si es necesario
intercambio m茅trica que puede ser
en la caja fuerte de un banco,
a lo mejor estoy hablando
exactamente o por ejemplo en una central nuclear
o en cosas de ese tipo, porque
adem谩s es un ejemplo muy extremos
y habr谩 tambi茅n lugares intermedios,
tambi茅n es necesario, no S铆?
S铆?
Pero es que la gu铆a lo que hace
es que mezcla los 2 S铆,
s铆 y luego el tipo de evento
que tienen lugar,
luego contestar茅 en la r茅plica.
Es que merecen m谩s las resoluciones
sobre biometr铆a,
antes de la gu铆a, salvo una, no
se mete en la legitimaci贸n,
se mete en la evaluaci贸n de impacto
y vamos a ver si llueve.
Voy hace una evaluaci贸n de impacto,
que tiene legitimaci贸n
porque acab贸 la evaluaci贸n de
la evaluaci贸n de impacto
para ver si hay algo menos,
ha sido invasivo, no,
y luego luego hay otra parte que
es lo del tema menos invasivo,
es que siempre va a haber
algo menos invasivo,
no se hay que mirar tambi茅n en
t茅rminos en otros, digamos,
en otros t茅rminos.
Hab铆a una palabra pedida al saldo.
Vamos a coger otro micro, a verse un.
Muchas gracias por la presentaci贸n.
Es muy interesante.
Me parece haciendo un comentario
muy general
que hay un poco de conflicto
entre la miera.
Era Espa帽a.
Y eso la Administraci贸n es poder
estar S谩nchez en todas ellas,
de la Autoritat de Protecci贸n de
hach铆s en Espa帽a que como dicho,
es una de las pocas que no tiene
en relaci贸n al sector p煤blico.
Yo creo que eso actitud digamos
de leyes externas
y tambi茅n creo de algunos
贸rganos nacionales
de considerar la relaci贸n entre
el estatuto nacional
en la Uni贸n Europea de una
manera muy particular,
donde la potestad se dicen de mucho.
Pero tenemos que tener tener
en cuenta unas cosas.
La primera, otra protecci贸n,
bordo de la ley,
directrices que has proporcionado.
Es verdad que son directrices
directrices,
pero es verdad
que bajo el art铆culo
60 del Reglamento,
pero pidiendo son voz,
tiene que decidir
c贸mo armonizar en caso de conflictos
en sanciones muy grandes caso de,
digamos, impacto transfronterizo
de algunas l'activitat
como caso de m茅ritos, de
fe y todo, digamos,
el caso es m谩s importante
y necesario.
Lo son, es vinculante, es vinculante
tambi茅n por la parte sancionadora
y tambi茅n aplicando el
criterio de la l铆nea
que si la misma.
As铆 que no es solamente solamente
una directrices
porque tambi茅n tiene aplicaci贸n
en un poder vinculante
del agradecimiento personal
por m谩s importante,
el principio general miembro
es que el derecho nacional
tiene que ser interpretado a la luz.
En cuenta las directrices que hay,
porque est谩 empoderada por hacer eso
bajo el Reglamento de Protecci贸n
de Datos,
as铆 que me padre, padre, padre,
sea un modo de la industria
el valor de estas directrices
dise帽adas y son solo directrices,
pero en Espa帽a autoritat?
Si estamos en la Uni贸n Europea,
tenemos que tener en cuenta,
es potestad,
est谩n limitada, limitadas esto lo
he muchas otras autoridades
aplicando estas directrices
en sus decisiones,
y eso.
Sanci贸n.
2 que veamos Por qu茅 eso se traduce
en el hecho que de facto
la autoridad administrativa pueden
no considerar cumplimiento efectivo
con la Ley de Protecci贸n de Datos
Por qu茅 la presi贸n mucho,
mucho reducida digamos,
y eso me parece problem谩tico,
a煤n no ha pasado,
pero podr铆a recurrir enfrente para
la autoridad a la autora,
Aita de la Corte Europea
del derecho humanos,
bajo el Consejo de Europa por falta
de protecci贸n por Espa帽a,
de la, de la protecci贸n del
derecho a la privacidad,
entendido donde datos los
Por qu茅 la falta
de una sanci贸n efectiva
en el sector p煤blico?
Ha habido un siglo protecci贸n
efectiva,
de un derecho fundamental,
de que esta prote铆na,
y esto tambi茅n bajo la Carta de los
Derechos Fundamentales del Consejo
de Europa y Espa帽a,
es parte del Consejo de Europa.
As铆 parece que no podemos solucionar
el marco del problema solo
mirando de Espa帽a,
parte de un marco europeo
Uni贸n Europea,
Consejo de Europa que afecta
el Poder Legislativo
y la manera de entender el derecho,
as铆 que lo veo bastante cr铆tico,
y espero que Espa帽a poco se
considera este marco
m谩s amplio.
Gracias.
Hab铆a por aqu铆 otra intervenci贸n.
Muchas gracias a los ponentes.
Yo quer铆a preguntarles
por una reflexi贸n.
El doctor Corral ha comentado
una aproximaci贸n
a diversos principios, r茅gimen,
r茅gimen sancionador,
y lo sabe.
Siempre ha hecho un ejemplo.
Al final, esa cerrajer铆a diversa,
reclamaci贸n entre un apercibimiento
archivo sancion贸.
Yo quiero preguntar,
el encaje que tendr铆a esta situaci贸n
en la que una conducta id茅ntica
tiene una respuesta jur铆dica
distinta por parte de la de control.
Si eso encajar铆a con el principio
de igualdad ante la ley,
porque si si la conducta
es sancionable
Por qu茅 sanciones una vez s铆
y otras veces no te hace
ni siquiera admite la reclamaci贸n
directamente,
no admite esa proclamaci贸n
in itinere extensiva?
Del procedimiento?
Yo quiero preguntarle sobre
el encaje que tiene
respecto al principio adecuada.
Ante la ley de esas respuestas
que dar谩 lectura de control.
Vamos a dar la palabra
y hacemos una segunda tanda
de respuestas.
Buenos d铆as.
Mi pregunta tambi茅n y va en relaci贸n
a la que acaban de hacer,
porque en Espa帽a tenemos
dictamen bueno
a la la, la agencia espa帽ola y luego
las distintas autoridades
de control seg煤n la comunidad
aut贸noma.
Bueno, pues, por ejemplo, el Consejo
de Transparencia hay
Protecci贸n de Datos de Andaluc铆a,
Andaluc铆a,
mont贸n de apercibimientos, y
mientras a los ayuntamientos por no
por no dar por no avisar de que
los ayuntamientos tengan,
o sea, tienen a mejor,
hay ayuntamientos que han sido
requeridos, 3 o 4 veces,
porque no tienen esa figura
que tienen obligaci贸n
de tener ya desde hace 6 a帽os y
contestaci贸n entre ayuntamientos,
que me da igual qui茅n
ni voy a contestar,
porque no me pasa nada.
Eso por un lado.
S铆 s铆 luego la autoridad vasca, por
ejemplo, de protecci贸n de datos,
es su vez restrictiva
y su vez exigente,
a la hora de sancionar por
qu茅 otro ayuntamiento
ayuntamiento que suelen cumplir
con la protecci贸n de datos.
Al final es una normativa
que tambi茅n.
Si nos juntamos con el esquema
nacional de seguridad, el riesgo 0
no existe en la propia normativa.
Lo indica, o sea, por
m谩s que duden gas,
analizarlo.
Todo siempre hay cosas que se van
a escapar porque es imposible,
pues este ayuntamiento en
un Pleno que cuando van
a publicarlo siempre
en su p谩gina web,
se les ha al anonimizarse, se salt贸
el nombre de un de un ciudadano,
y ese ciudadano denunci贸
todos los nombres,
est谩n anonimizados menos -1,
claramente se ve铆a que era un error,
porque el documento estaba
anonimizado,
se sancion贸 a ese ayuntamiento.
Bueno, ya no se sanciona, se
apercibi贸 a ese ayuntamiento.
La agencia, por ejemplo, yo
he buscado resoluci贸n,
y hay pocas, pocas 2 apercibimientos,
a los ayuntamientos, mientras
en general,
por no nombrar al debe de poner nota.
Por ejemplo, no veo que hay m谩s,
es algo que el Consejo de
Transparencia Andaluc铆a,
salvo que hace mucho m谩s que la
Agencia Espa帽ola de Protecci贸n
de Datos a la hora de percibir,
que no es algo en lo que
est茅 centrado tanto,
porque hay ayuntamientos que depende
de la parte de Espa帽a,
s铆 que son m谩s apercibido;
por ejemplo.
La Comunidad de Madrid ya lo
mejor aqu铆 que en Murcia
no hay tanto ayuntamiento que
falta mucho de pedir,
mucho debe de hace 6 a帽os y
yo no he visto ninguna,
ning煤n apercibimiento por parte
o notificaci贸n por parte
de la agencia de estos ayuntamientos.
Bueno, muchas muchas preguntas, no,
vas a hacer una primera ronda
de la visi贸n de parecer, y luego
porque si no van a ser demasiado,
quiero empezar a intervenir,
por favor.
Pues muy brevemente, primero,
al al profesor mantener
o pues sin duda estoy de acuerdo
con lo que dice
y que agradezco esa esa perspectiva
que significa no, al final
quiz谩 perdemos la visi贸n europea,
meti茅ndonos en el derecho nacional
lo dem谩s, que yo tambi茅n muchas
veces me pongo quiz谩 por mi yo
antes de acad茅mico profesor,
fui una temporada abogado
y me pongo muchas veces en
la piel del abogado,
y digo como como recurrir铆a.
Esto no transaccional me salen,
ah铆 las me sale aqu铆 la vena
la pena recurrente de recurrir valla
y veo y veo esas esas posibilidades
frente a tribunales espa帽oles,
pero sin duda tiene, tienes
toda la raz贸n
y hay que ampliar esa esa visi贸n y
dejarnos llevar un poco por hora.
Por eso ese viento no, porque
al final es una derecho
fundamental, important铆simo,
y hay que hay que hacerlo,
o sea que much铆simas gracias
y sin duda de acuerdo
tambi茅n con que aqu铆 un
poco hay que hay,
que ah铆 yo creo que imponer multas
administrativas a las alas
a las administraciones p煤blicas
tambi茅n y ha sacado usted
una cuesti贸n que a m铆 me
parece important铆sima,
que no se ha analizado suficiente y
yo estoy el tema de la culpabilidad
van a cultivar de la culpabilidad.
El derecho sancionador concreto
del derecho sancionador
administrativo a m铆 me preocupa
desde hace much铆simo tiempo
Qu茅 es esto de la culpabilidad?
En el derecho?
Sanciona simple infracci贸n?
Parece que s铆 sin plena observancia,
pero si me voy al a la Ley de
Procedimiento Administrativo,
de la Ley de R茅gimen Jur铆dico
del Sector P煤blico,
me exige dolo o negligencia.
No, simple observa.
Entonces yo es verdad, pero
yo tampoco lo lo consigo.
Vea a eso de que por error
merece un nombre,
sino minimizar y de repente le
impongan una procedimiento.
En este caso no tiene m谩s,
pero ah铆 hay una cuesti贸n
de fondo enorme,
donde yo s茅 que esto ya es
m谩s de principio general,
de derecho sancionador
y tal, pero me preocupa en relaci贸n
a lo que a lo que usted dec铆a,
pues al final hay el procedimiento.
Los procedimientos transfronterizos
intentan, yo creo,
si no me equivoco, equilibrar un
poco y a intentar que es,
pues con la participaci贸n
de las autoridades interesadas
las autoridades principales,
que de alguna forma armonizar
y que haya una igualdad,
que no haya discriminaci贸n en cuanto
perd贸n a las a las infracciones
que se puedan imponer y en
cuanto al tratamiento.
Pero pero vamos,
es esa es mi opini贸n,
es que much铆simas,
much铆simas gracias.
Voy al rev茅s, a ver.
Sobre lo del DPD.
La primera reclamaci贸n que recibi贸
la agencia sobre no nombra un DPD.
Fue contra contra Murcia?
Me parece, por luego, parece ser que
era la de la Consejer铆a de Educaci贸n
y dem谩s que las que ha tramitado yo
te hablo de las de la agencia,
porque creo que el Consejo
de Transparencia
lo que ha hecho es un plan
de inspecci贸n me parece
o algo exigiendo no s茅 seguro
vale la agencia
tramita contra administraciones
varias vale,
pero creo que deben ser
unos 15 por ah铆,
pero si te fijas probablemente
no lo s茅, lo intuyo,
pero probablemente esos
5 que comentase
de la Comunidad de Madrid,
este probablemente el reclamante
sea el mismo, vale,
algunos tienen incluso el
n煤mero es correlativo,
vale y probablemente, pero
me puedo equivocar.
Haya sido una consultora que
haya ofrecido vez de.
No me lo contratas.
Pongo una reclamaci贸n vale
de estas a veces
se hubo ayer lo coment谩bamos hace un
par de a帽os en a finales de julio
se har铆a una reclamaci贸n.
Estar谩n todas iguales, una p谩gina
web, peque帽as peque帽os,
comercios, pol铆tica de privacidad
y con todas,
como me parece, antigua.
Esto tiene, pero lo intuyo que no.
No, no lo s茅 con seguridad.
Sobre el tema del DPD
yo creo que tambi茅n
lo que hay que hacer es
potenciar el mensaje,
o sea, yo, esto de que hay que
nombrar un DPD en la Administraci贸n,
hay que decir para que no
y luego otra cosa.
El nombramiento es que 茅l tiene
que tiene que haber un DPD
pero lo que tiene que haber es
alguien que se encargue
de que de cumplir con esto no,
porque la figura son diferentes.
Sobre el tema de las cerrajer铆a vas
a ver, si no recuerdo mal,
una era de archivo, pero
la archivaron
porque cuando recibieron el
requerimiento de la agencia
ten铆an contratado all铆 una persona
o contratar a una persona.
Les adecu贸 la pol铆tica de privacidad
de la de la p谩gina web,
vale Esto era la reclamaci贸n.
Vienen a trav茅s del Instituto de
Consumo del Ayuntamiento de Madrid,
a veces hay comunidades aut贸nomas
que se ponen a ver la p谩gina
web de los de empresas
y no mandan a las autoridades
de control.
Entonces, como lo adecuaron
se archiv贸 y luego,
si es cierto que la mayor铆a
se perciben,
pero hay una, que se multa
con 1.500 euros
y ah铆 es cierto lo que t煤 comentas,
no le quedar铆a pues lo que pasa,
Que a ver c贸mo lo alega.
Porque 茅l no sabe la resoluci贸n
de los otros
salvo que en el plazo
de poder resolver
se hubiese publicado la resoluci贸n.
Pero entre esa y el resto que se
percibe hay una diferencia.
Se le multa por porque
no contest贸 sea,
se le multa, porque por incumplir el.
Qu茅 no tiene la pol铆tica
de privacidad?
Pero como las otras hab铆an
contestado,
algo se les apercibe y a esta, como
no hab铆a hecho absolutamente
nada, se le multa va.
Yo creo que, aunque conteste o no,
conteste, no verse la diferencia,
porque los hechos son los mismos y
luego sobre lo que comentaban del
Comit茅 Europeo de Protecci贸n
de Datos ,
yo creo que hay que diferenciar
las directrices,
es decir, no todas son iguales las
las que en su d铆a adopt贸 el Grupo
del art铆culo 29 sobre los criterios
de graduaci贸n,
explicando c贸mo aplicar cada
criterio de graduaci贸n.
En qu茅 consiste cada criterio
grabaci贸n me parecen bien
las nuevas, creando todo un sistema
en 6 pasos diferentes que
no sabe de d贸nde salen.
Me parece que ah铆 se
est谩n excediendo,
porque est谩n creando todo un sistema
que no aparece en ning煤n sitio,
porque adem谩s hacen clasificar el
a la clasifican en funci贸n
de la gravedad tanto porcentuales en
relaci贸n al la cuant铆a econ贸mica,
yo creo que eso es excesivo.
Hay otra que, bueno, es,
hay que tener mucha moral
para para le茅rsela,
no por, pero es una cuesti贸n,
no me parece mal,
pero es bastante entre
comillas, infumable.
No es una que cuando es el cuando
no se ponen las autoridades
de control, de acuerdo en el
procedimiento transfronterizo
pueden presentar objeciones
pertinentes
y adecuadas, no.
Entonces, estas directrices analizan
que se entiende con una objeci贸n
como pertinente y adecuada,
porque puede ser pertinente
y no adecuada,
pero puede ser adecuada
y no pertinente.
Entonces Es esto un galimat铆as?
Aquello?
Bueno, eso es una relaci贸n
entre ellos a la hora
del propio procedimiento,
entre ellos,
por bueno, no me parece mal,
pero creo que hay que diferenciar
cada una de ellas
y ver hasta cierto que tiene
el comit茅 funciones,
pero hay que ver hasta qu茅
punto puede puede llegar
que a lo mejor tenemos que
plantearnos si hay cuestiones
que deber铆an estar en otra norma.
Sobre el tema de la igualdad, que
ha suscitado la intervenci贸n,
llama manera.
Cada autoridad ha o tienen
autonom铆a para hacerlo.
Por eso yo creo que es especialmente
importante
reforzar los mecanismos
de cooperaci贸n.
En qu茅 sentido?
Por ejemplo, a la hora de hacer
un una gu铆a pr谩ctica
del sector p煤blico,
que no solamente lo haga una
agencia por su cuenta,
sino que haya mecanismos que
permitan de alguna manera
sentarse y poner encima de la
mesa criterios compartidos,
no hasta donde se pueda
ser interesante.
De todas maneras,
a m铆 lo que me preocupa
al sector p煤blico
especialmente no es tanto
que haya multas o no,
porque usted es un deal de ayer,
lo tuvimos tambi茅n qui茅n
paga la multa,
al final va al presupuesto, lo
van a construir impuesto.
Creo que el problema es que
no hay incentivo personal
para la autoridad o el titular
del 贸rgano administrativo.
No hay una autoridad
para que funcione,
porque a veces le echamos el muerto
al funcionario p煤blico claro,
al funcionario p煤blico.
De hecho, la autoridad vasca en su
ley en la ley que la regula,
tiene un r茅gimen muy estricto de
responsabilidad disciplinaria,
pero la mayor parte de las ocasiones
no es que el funcionario,
como trabaja el personal al servicio
de la Administraci贸n
tenga una decisi贸n, sino
que a lo mejor
la la falta de adaptaci贸n al
esquema, senador, seguridad,
porque hay un equipo de Gobierno
que no tienen su prioridad
cuando realmente yo creo que el
problema es el siguiente.
Si estamos admitiendo la utilizaci贸n
de datos personales por parte
de una entidad p煤blica en ejercicio,
la misi贸n de servicio p煤blico,
ah铆 el ciudadano no se puede negar a
que tambi茅n esa persona persona,
pero s铆 que tiene una expectativa
leg铆tima
que se va a cumplir con la norma,
y eso puede pasar por nombramiento
de un DPD que participe adecuadamente
en toda la toma de decisiones,
etc茅tera,
o que se adopten la medida
de seguridad.
Yo s铆 que creo que hay un
derecho subjetivo,
m谩s all谩 de la condici贸n de
reglamento denunciante,
que esto dar铆a para un seminario
monogr谩fico
a que la Administraci贸n p煤blica.
Ataques, dato personal conforme
a la regla de juego.
Eso no son todas la baraja,
tiene muchas cartas,
hay que cumplirlas toda.
Entonces, en ese sentido creo que
como reflexione, hay que regular
y establecer mecanismos cautelares
a veces que obliguen
al responsable de tratamiento
a cumplir, por ejemplo,
todas las antes de la prohibici贸n
del tratamiento.
Es un castigo, es una sanci贸n,
pero yo, despu茅s de haber le铆do
en numerosas ocasiones
el marco normativo a partir del
reglamento de la Ley Org谩nica
de 2018, no veo que haya
medidas cautelares,
como antes se contemplan, con
la suficiente contundencia
ante casos de incumplimiento
flagrante.
Voy a paralizar cautelarmente
tratamiento
y ver谩 como entonces era
la entidad p煤blica.
S铆 tendr谩 un incentivo encubr铆an
tener multas de 1.000 euros
y lo solucione.
Es un debate que no denominar铆a
y sobre,
y creo que si prohibiesen la entrada
a la piscina en verano tambi茅n.
La del grupo de empresas
que planteaba sana,
yo creo que hay un elemento de
principio de culpabilidad
muy en el fondo,
no como si el grupo de empresas
son responsables el grupo,
porque va a haber una cesi贸n interna
de informaci贸n de una empresa,
entonces s铆 que se puede ser,
sea responsable totalmente
y en ese caso se le puede sancionar.
Ahora bien, solamente porque
sea un grupo de empresas
hacer el c谩lculo.
Yo estaba leyendo ahora mismo
sobre la marcha reglamento
y no le veo, no conozco
el caso concreto
e habr铆a que demostrar que
el beneficio claro
del grupo empresarial, porque el
tratamiento en definitiva
tambi茅n de alguna manera obedece a
esa l贸gica del grupo empresarial,
porque si no, quiz谩 el principio de
culpabilidad y la persona jur铆dica
a cada una de las empresas ser铆a
un l铆mite de dif铆cil
de superar.
Pero bueno, no conozco el caso,
pero luego, si quiere me lo
explica, as铆 lo haremos.
Vemos Bueno, David, no s茅 si hab铆a.
Quer铆as.
Muy buenas, en primer lugar,
felicitar a los 2 ponentes
que han estado magistral, ello
hay que que lo est谩 en julio
en su valoraci贸n en mi pregunta
era pues eso,
buscando la opini贸n de los ponentes
sobre la situaci贸n de los
corresponsables en el tratamiento
y haci茅ndome eco de la
propia intervenci贸n
que ha hecho Alejandro, es sabiendo
que el Tribunal de
Justicia de la Uni贸n Europea
en la sentencia reciente
de diciembre de este pasado 1.023
con ocasi贸n de la obligaci贸n ETA
-COVID en Lituania
pues se fija una corresponsabilidad
entre la Administraci贸n
y la empresa desarrollada.
De ese eso, bueno, pues,
al hilo de ese diferente tratamiento
sancionador que esa misma figura
tendr铆a en Espa帽a; cuando
la Administraci贸n local
encargue el desarrollo
de una aplicaci贸n
o de los sistema inform谩tico,
a trav茅s de los cuales
se reprime sancione autob煤s
matizadamente etc茅tera
en esa externalizaci贸n
pues podr铆an obtener
que un ayuntamiento se ha declarado
corresponsable,
junto con la empresa es arrolladora
de ese software,
esa contratista y entonces
al contratista,
si le multamos econ贸micamente;
mientras que a la Administraci贸n
solamente podr铆a percibirse entonces
m谩s que una cuesti贸n
de diferente tratamiento Pues ah铆
habr铆a incluso una cuesti贸n
Constitucional.
No s茅 si esa valoraci贸n
se podr铆a compartir.
Lo ponente.
Yo totalmente, creo, pienso
exactamente lo mismo,
hay una clara no se llama
discriminaci贸n,
porque frente a una misma sea
declarados como corresponsable,
frente a una misma hecho y con
una ponderaci贸n, etc茅tera,
pero lo comparto totalmente esa
expresi贸n por mi parte.
Yo tambi茅n es que la situaci贸n
en la entonces.
Algunas de las mesas Ricard,
Mart铆nez querr铆a hablar adelante.
Rigor claro es que est谩is teniendo
una Espa帽a que se me escucha bien
mucha bien s铆 est谩n extendiendo un
debate particularmente interesante
que avanzan cuestiones que yo
despu茅s usted tendr谩 como tesis
que es la de una posici贸n
constitucionalmente de las
autoridades de protecci贸n de datos,
como son superregulador.
Segundo, da igual lo que
digan reglamento
cualquier experto en protecci贸n de
datos que est谩 en pie de obra
sabe que las directrices de la ley
pero tambi茅n los informes,
resoluciones se帽or铆as de la Agencia
Espa帽ola de Protecci贸n
de Datos que est谩n operando
como se ha inflado,
y como verdadera jurisprudencia
en la materia,
sobre todo cuando el r茅gimen
sancionador apuesta
por una vuelta baja y nunca se
recurre ante un tribunal
anteriormente hablando, est谩n
fijando la posici贸n normativa.
Es m谩s, os animo
a que ve谩is la sanci贸n que se impuso
la Liga de F煤tbol Profesional,
donde se cita una nota al pie en
una nota t茅cnica de la agencia
como criterio para satisfacer
al deber de informaci贸n.
Por tanto, hay que tener cuidado
porque una cosa es nuestra
interpretaci贸n del derecho
y otras lo que ha estado
poniendo la realidad.
Lo que est谩 ocurriendo, la realidad
es que en muchas autoridades,
adem谩s que no abran procesos
de consulta ni di谩logo
con los sectores, est谩n
imponiendo criterios,
lo haremos despu茅s.
Se incumplir谩n la Espa帽a de acuerdo
con la ayuda de emergencia
en todas sus dimensiones.
Segundo nivel Qu茅 hay que apuntar?
El art铆culo 76
permita la autoridad?
Lo permite, ha cambiado un verbo
y ahora ponen, propondr谩 cu谩ntos
expedientes disciplinarios?
Ha abierto la autoridad de
protecci贸n de datos
a los funcionarios responsables
o ha solicitado su apertura?
Por qu茅 se cambi贸?
El verbo se cambian, podr谩 proponer,
a propondr谩 a un futuro imperativo.
Al final lo que es cu谩l sea
un funcionario p煤blico
es que le abra un expediente
sancionador
y es evidente que cuando con
manifiesta desconocimiento
o incumplimiento de la
materia no se abra
un expediente sancionador, tenemos
un problema serio
del mismo modo que tenemos
un problema serio.
Cuando las administraciones p煤blicas
est谩n contratando delegados
de protecci贸n de datos por
contratos menores,
incumpliendo manifiestamente la
regulaci贸n de la regi贸n,
que establece que al delegado
de protecci贸n de datos
se le dotar谩 de medios suficientes,
Cu谩ntos estudios ha realizado
la autoridad?
Para ver cu谩ntos de esos delegados
de protecci贸n,
de datos de Administraci贸n p煤blica
est谩n con un contrato menor,
literalmente literalmente.
Se subordinan las licitaciones,
obtener la certificaci贸n de
privacidad de la agencia,
que, por cierto, es una
certificaci贸n de muy baja
calidad para atender la complejidad
de una Administraci贸n p煤blica,
son 2 problemas significativos
que afectan a esta posici贸n.
Tambi茅n nos enfrentamos
los denunciantes
y lo digo por experiencia,
la doctrina de inter茅s leg铆timo
del denunciante,
que ocurre cuando la agencia
espa帽ola dicta una resoluci贸n
que manifiestamente desproteger
el derecho fundamental
del denunciante,
que los tribunales sistem谩ticamente
rechazar el recurso
y se han dictado resoluciones
de este tipo.
Por tanto, es la situaci贸n de
una posici贸n del regulador
particularmente significativa.
Hay una cosa que no comparto.
A mi buen amigo
ca铆a la disposici贸n adicional
decimos茅ptima,
los que no sea eficiente es
que no lo se ha aplicado.
Sin embargo, la Agencia Espa帽ola de
Protecci贸n de Datos ha dado un premio
de buenas pr谩cticas a la Fundaci贸n
29-M por desarrollar
un modelo de cumplimiento
en esta materia.
Por cierto,
d贸nde estaban las autoridades
de protecci贸n de datos
cuando se permit铆a utilizar
datos sin consentimiento,
en el marco de una pandemia
que inclu铆a una disposici贸n
adicional decimos茅ptima,
recuperando la de la LOPD?
En parte, y atendiendo a lo que
las asociaciones de expertos
en materia de salud p煤blica hab铆an
solicitado la cuesti贸n.
Todas estas cuestiones cuando sean
hago una afirmaci贸n de principio
particularmente rigurosa,
y es que la posici贸n si hicieran
de auctoritas y papeletas
que ocupa el regulador en protecci贸n
de datos es bastante sui g茅neris
y produce ciertos efectos
en el ecosistema,
pero de eso ya hablar茅 yo despu茅s
con un poco m谩s de detalle.
Son temas todos ellos hab茅is
acordado que a m铆 me parecen
particularmente preocupantes
compartir con Javier
y lo compartieron pueblo y con m谩s
de una ocasi贸n que me parece
que un r茅gimen sancionador econ贸mico
ser铆a altamente disuasorio.
Para las administraciones p煤blicas
espa帽olas lo que ocurre
es que deber铆a venir acompa帽ado de
la correspondiente responsabilidad
disciplinaria o en su caso
responsabilidad pol铆tica no existe,
no existe en sentido a ninguno
al cumplimiento normativo
en esta materia y, como ha escrito
en una publicaci贸n
de la universidad.
Eso significa que la transformaci贸n
digital
de las administraciones
p煤blicas y sus asalto
a la inteligencia artificial,
a d铆a de hoy es inviable,
porque cara a extender la calidad de
los datos de la confiabilidad
de las condiciones de cumplimiento
normativo
adecuados para cumplir, por ejemplo,
el requisito de gobernanza
de datos para sistemas de alto
riesgo del art铆culo 10.
De esta es la cruda realidad,
mi opini贸n.
Propietarios
UMtv (Universidad de Murcia)
Publicadores
Julian Valero Torrijos
Comentarios
Nuevo comentario
Serie: Las competencias de las autoridades de control en materia de protecci贸n de datos desde la perspectiva de la regulaci贸n europea (+informaci贸n)
Descripci贸n
10.00 h. La potestad sancionadora de las autoridades de control seis años después de la entrada en vigor del RGPD
• Alejandro Corral Sastre. Profesor de Derecho Administrativo. Universidad Complutense de Madrid
• Javier Sempere Samaniego. Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ)
11:45 h. El alcance de las competencias de las autoridades de control en el contexto de la nueva regulación europea sobre Inteligencia Artificial
• Ricard Martínez Martínez. Profesor de Derecho Constitucional. Universidad de Valencia. Director de la Cátedra Microsoft sobre “Privacidad y Transformación Digital”
• Alessandro Mantelero. Profesor de Derecho Privado y de Derecho y Tecnología en la Universidad Politécnica de Turín. Director de la Cátedra Jean Monnet sobre “Derecho y Sociedades Digitales Mediterráneas”
13.15 h. Conclusiones
• Alejandro Corral Sastre. Profesor de Derecho Administrativo. Universidad Complutense de Madrid
• Javier Sempere Samaniego. Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ)
11:45 h. El alcance de las competencias de las autoridades de control en el contexto de la nueva regulación europea sobre Inteligencia Artificial
• Ricard Martínez Martínez. Profesor de Derecho Constitucional. Universidad de Valencia. Director de la Cátedra Microsoft sobre “Privacidad y Transformación Digital”
• Alessandro Mantelero. Profesor de Derecho Privado y de Derecho y Tecnología en la Universidad Politécnica de Turín. Director de la Cátedra Jean Monnet sobre “Derecho y Sociedades Digitales Mediterráneas”
13.15 h. Conclusiones
o pulsar la combinaci贸n de teclas Ctrl+V.