Idioma: Español
Fecha: Subida: 2024-07-02T00:00:00+02:00
Duración: 1h 44m 11s
Lugar: Murcia - Facultad de Derecho - Salón de Grados
Lugar: Mesa redonda
Visitas: 355 visitas

La potestad sancionadora de las autoridades de control seis años después del RGPD

Descripción

• Alejandro Corral Sastre. Profesor de Derecho Administrativo. Universidad Complutense de Madrid
• Javier Sempere Samaniego. Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ)

Transcripción (generada automáticamente)

Buenos días, gracias por vuestra asistencia, a lo que ha venido presencialmente al salón, de grado de la Facultad de Derecho y también a lo que nos está siguiendo a través de Internet. Vamos a dar comienzo a lo que inicialmente planteamos como un seminario, investigación con la idea de discutir abiertamente sobre temas relacionados con el alcance de las potestades de las autoridades de control en materia de protección de datos, y pensamos que podría ser interesante reflexionar sobre la evolución que ha tenido el papel de estas autoridades bajo la aplicación del Reglamento General de Protección de Datos. 6 años después, cuando en 2018 entra en vigor mayor 1.018 Esta regulación, pues lo hemos dedicado toda la vida, el derecho administrativo, nos encontramos con una normativa muy poco precisa, muy con, nombra jurídica, muy abiertas que desde el punto de vista de la seguridad jurídica se ofrecía muchas dudas. Aquí en la sala estáis profesionales, muy destacado que hay vivido este este proceso en primera persona. Pero es que además esa es esa inseguridad que generaba una nueva regulación con un nuevo modelo regulatorio. Se incrementaba a la hora de proyectar el ejercicio de una potestad tan contundente como la sanción ahora y poner multas que eran absolutamente brutales, no hasta el 4 por 100 de la facturación de la empresa. En fin, parece que al menos desde una óptica clásica no no no casa muy bien principio como el de legalidad el de tipicidad sobre todo de culpabilidad con una serie de concepto nuevo que introduce el reglamento, como puede ser la responsabilidad proactiva o, por ejemplo, el carácter abierto de algunas de las obligaciones. Estoy pensando, por ejemplo, en que la seguridad sea la adecuada. Antes había un catálogo de medidas de seguridad según ciertos criterios que había que aplicar, y estaban definían normativamente, en definitiva esta cuestión del del la proyección del, del reglamento general de creación de datos desde el punto de vista de la imposición de sanciones por parte de la agencia y otras áreas de control? Pues nos parece un tema especialmente interesante, de manera que la primera parte a la sesión se va a dedicar a esta cuestión y luego no podíamos dejar de mirar, y voy a decir el futuro. Pero yo diría que es el presente, no como esta nueva regulación que acaba de ser, aprobada, sobre inteligencia artificial. También establece una serie de funciones de control, supervisión bueno, que pueden, no sea así; entra en contradicción, pero que hay que de alguna manera coordinar con las que establece el Reglamento y en ese sentido la segunda parte de la sesión tendrá por título el alcance de las competencias de las tareas de control en el contexto precisamente de esta nueva regulación europea en materia, voy a proceder a la presentación de los 2 primeros ponentes. Contamos con Alejandro Corral, excompañero personal administrativo en la sala Complutense de Madrid, y viene también parte como miembro investigador del proyecto de investigación, la europeización de las sanciones administrativas, la incidencia del derecho europeo al concepto de sanción, en sus garantías y en su función. De manera que le hemos pedido que, desde esta perspectiva general, pues haga una exposición acerca del alcance de la nueva regulación y los problemas que plantea desde el punto de vista más más académico, más conceptual más teórico, si queréis, con la idea de que nuestro segundo, invitado Javier su empresa Maniega, no se haga una aproximación mucho más práctica a lo que está pasando a la realidad, que él conoce bien los que los 6 a través de Internet, esa que lleva ya varios años dando perfecta cuenta nueva de todas las novedades, es la cuestión, es que van suscitándose desde el punto de vista de la interpretación, en la práctica que hacen la seguridad de control y sobre todo la agencia española a la hora de imponer sanciones. Pues con esta doble perspectiva hemos organizado esta primera mesa y se envolvió a una cuestión importante, que lo que eso es investigar en Baeza entender que lo diga, es que esta actividad se organiza en el marco del proyecto de investigación, la potestad sancionadora de la sociedad de control en materia de protección de datos, delimitación, garantías, y efectos que el que soy investigador, principal. Junto conmigo programa de compañía aérea, Manuela Pardo, y que está financiada por el Ministerio de Ciencia, Innovación y Universidades que nos obliga a que quede constancia de la financiación de la actividad investigadora, pues dicho lo cual empezamos Alejandro. Cuando quiera pues muchísimas gracias como es debido. Debo empezar agradeciendo la Universidad de Murcia, pues la invitación a esta conferencia de esta ponencia, a este seminario, por supuesto, al profesor Julián; Valero al que admiro ya hace bastantes años y bueno, pues ahora tengo la oportunidad de estar aquí en su universidad y hablando además de un tema que él hace mucho que trata, no de protección de datos, de Administración electrónica, igual también manifestar que para mí es un honor verdadero honor, compartir mesa con profesionales de la talla de Sempere, del profesorado, Sandro, mantener o hay que ir avanzando mucho a Javier. También. Bueno, a mí me toca empezar haciendo creo que la parte más fácil, que es la parte conceptual, en el marco conceptual sobre el régimen sancionador en materia de protección de datos. En la verdad es un tema que siempre me ha interesado mucho. Tuve he tenido oportunidad reescribir alguna cosa sobre ella. Investigar es una de mis líneas de investigación desde hace varios varios años y me vais a permitir que haga una pequeña introducción. Una pequeña contextualización de qué es esto de lo que estamos hablando, estamos hablando de protección de datos, estamos hablando de un derecho fundamental reconocido en nuestra Constitución expresamente, pero sí a través de 2 de una interpretación que hace el Tribunal Constitucional a través de 2 máximas sentencias, la 1.809, 2 del año 2000. Estamos hablando, por tanto, un derecho fundamental de los demás, alto rango constitucional, susceptible de amparo, etcétera, etcétera, etcétera Qué ocurre Pues que también tenemos una una vertiente europea de este derecho fundamental, que es la artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea, que este, si esta carta sí que hace referencia expresa al derecho fundamental a la protección de datos, aquí se produce un fenómeno ya que empieza, empiezan las fricciones, no ya desde ese bien pronto Por qué Porque bueno, pues en palabras del Consejo de Estado, en un informe cuando se aprueba se aprobó el anteproyecto de ley de la Ley Orgánica de Protección de Datos, a la que luego me referiré habla de que se produce un traslado parcial del canon de constitucionalidad del derecho fundamental, es decir, quien interpreta ahora el derecho fundamental a la protección de datos, el Tribunal Constitucional o el Tribunal de Justicia de la Unión . Ambos ordenamientos reconocen como derecho fundamental del más alto rango. Aquí se produce fricciones entre el derecho europeo y el derecho nacional, prisiones que salvo que yo sepa, todavía no han sido suficientemente resueltas. Sí que se han producido. Ha habido resoluciones del Tribunal de Justicia no en materia de protección de datos, pero sí en otras materias en las que, bueno, se viene a decir algo así simplificando mucho que se tendrá que dar, puesto que estamos hablando de derechos fundamentales. La interpretación que debe primar es la que más sea garantista, la que más garantista sea con el derecho fundamental. Entonces cabe la posibilidad a plantearse si la interpretación que haga el Tribunal Constitucional español o cualquier otro Tribunal Constitucional nacional de un Estado miembro es más garantista que la del Tribunal de Justicia. En principio podría cabría primar. Esto es una una sentencia no recuerdo el número del caso, pero la sentencia del Tribunal de Justicia en el caso melón y a es hacer una serie de consideraciones sus interesantes para esta. Esta materia. Bueno, y la competencia, en definitiva, sobre protección de datos la asume la Unión Europea a través del Tratado de funcionamiento en el artículo 16 de este tratado de funcionamiento y, por tanto, tiene competencia regulatoria, tiene potestad legislativa y en el desarrollo de esa potestad legislativa aprueba una norma jurídica, que es el Reglamento General de Protección de Datos, que es sobre el que aquí venimos a hablar en este este seminario. Este reglamento general de Protección de Datos se aprueba en el año 16, tiene un periodo de vacatio de 2 años muy, muy, muy amplio. Es una norma además, que lo bueno es lo normal, es un reglamento Qué implica, por tanto, que tiene alcance general, eficacia directa y es obligatorio en sus propios términos? No necesita ningún tipo de trasposición, incorporación ni nada por el estilo. Es decir, la protección de datos está regulada en el Reglamento General de Protección de Datos. En la norma de referencia las normas nacionales son normas de adaptación a esa norma principal Qué ocurre? Pues que esta es la norma que tenemos que tener de referencia. Es una norma que, aunque sea un reglamento, plantea algunas cuestiones, porque es un reglamento un poco especial porque, aunque tiene eficacia directa en alcance general, sí que deja bastante margen de actuación a las a-los Estados miembros para completar, adaptar su ordenamiento jurídico a este reglamento general, y esto lo hace lo veremos a continuación. Precisamente en el régimen sancionador veremos que sí que hay una parte muy detallada, muy regulada, pero luego hay otra parte que es un poco más, digamos amplia y que se deja a los Estados miembros su concreción bueno, por nuestra parte en el ordenamiento interno en el ordenamiento español sabéis que saben, pero se estoy enterando. Perdóneme, saben que si nada, pues tenemos la Ley Orgánica de Protección de Datos es del año 2018, que también se denomina de garantías de derechos digitales, que a mí siempre siempre me ha parecido que es un poco pegote esto de la garantía de los derechos digitales en la Ley Orgánica de Protección de Datos. Siempre que haya reconocimiento de derechos le parece, lógicamente bien, pero quizá hubiese sido necesario en otra norma jurídica, no, pero bueno, en cualquier caso, ahí están y se aplican, bueno, ya dedicándome específicamente o haciendo referencia específicamente al régimen sancionador. El marco legal del régimen sancionador en materia de protección de datos lo tenemos en el Reglamento General de Protección de Datos, como no puede ser de otra forma, los artículos 83 84. Luego también tenemos los artículos 70, 78 de la Ley Orgánica de Protección de Datos, donde se adapta el ordenamiento interno nacional, al Reglamento General de Protección de Datos, que ahora veremos que genera problemas ficciones, roces a la hora de incorporar ese ese marco sancionador en materia de protección de datos al ordenamiento interno y luego muy importante para los administrativistas. También se aplica supletoriamente la Ley 39 la 42.015, es decir, la Ley, de Procedimiento Administrativo Común, y la Ley, de Régimen Jurídico del Sector Público, que es la que regula nuestro derecho sancionador o derecho administrativo sancionador. Cuáles son los objetivos declarados del Reglamento General de Protección de Datos? En los propios considerandos sabéis que el Reglamento General de Protección de Datos, una parte importantísima, son los considerandos, tiene hasta 149, si no me equivoco, considerandos que son muy útiles, precisamente porque nos sirven para para interpretar luego la la normativa. En 1 de los considerandos se dice que 1 de los objetivos fundamentales es la posibilidad de que se establezcan sanciones equivalentes en todos los Estados miembros, lo menos los problemas principales que existían en el régimen anterior, como el de la directiva. La Directiva 95, 46 era precisamente que había una diversidad enorme de regímenes sancionadores. Nos encontrábamos, por ejemplo, con la Agencia Española de Protección de Datos, que imponía sanciones bastante altas, y, por ejemplo, nos encontramos con la autoridad irlandesa, que ni siquiera, si no me equivoco, tenía reconocida potestad sancionadora, no podían poner acciones, pero claro, un régimen absolutamente diverso que no era no era de recibo, que intenta hacer el reglamento pues precisamente no sé si uniformizar es la palabra, pero de alguna forma, si no armonizar, porque eso se hace a través de una directiva, pero sí uniformizar este régimen sancionador que todas las autoridades de control, que las 27 autoridades de control tengan potestad sancionadora y puedan imponer sanciones efectivas, no Entonces esto esto es es importante. La propia. El propio reglamento hace referencia a que es imprescindible la necesidad de castigar las infracciones, es decir, es muy importante que todas las autoridades de control puedan imponer sanciones efectivas, eficaces y luego otro de los objetivos. Quizá el más importante, en mi opinión, habida cuenta de las de las cuantías, de las acciones a las que se ha hecho referencia el profesor Julián Valero es la disuasión. La disuasión es muy importante. Si tu prueba es que te pueden poner una multa de hasta 20.000.000 de euros o el 4 por 100 del volumen total global anual de una empresa, puesto, lo piensan muy bien antes de incumplir el Reglamento en la Ley de Protección de Datos. Pero bueno, yo creo que estos objetivos sí que los alcanzados, y que los los viene alcanzando el reglamento y la legislación de los diferentes Estados miembros, cuáles son las características fundamentales, en mi opinión, de este nuevo régimen sancionador antes de entrar más específicamente a los puntos de fricción. Bien, pues hay un régimen doble de cómo, de sanciones. En el artículo 83 se hace referencia a multas administrativas que son de carácter económico. Este artículo, este precepto del Reglamento, es muy detallado, deja por poco margen de maniobra a los Estados miembros. Entonces, bueno, pues vuelvo a repetir, aquí sí que el reglamento es un verdadero reglamento, pero luego tenemos el artículo 84, que habla de sanciones, de otro tipo de sanciones en el que establece la posibilidad a los Estados miembros de imponer otro tipo de sanciones que entendemos o entiendo que no sean multas económicas, multas administrativas. Creo o puedo entender que aquí se hace referencia a otro tipo de sanciones que no sean económicas, como apercibimientos, declaración de infracciones, publicación de resoluciones sancionadoras, etcétera, etcétera. No, luego haré referencia muy brevemente a esta cuestión. En materia precisamente, régimen sancionador, 30, las administraciones públicas, no frente al a las instituciones públicas españolas, también se hace referencia. Bueno, hay países dentro de la Unión Europea. Los tribunales tienen reservada la posibilidad de imponer multas administrativas. Por ejemplo, está ni esto ni hay una marca en las autoridades de control de estos países, no pueden poner multas administrativas, ya sé y sé lo que hacen es incoar iniciar ese procedimiento sancionador y los tribunales competentes a los que imponen las multas administrativas. Esto es importante de cara a lo que diré posteriormente sobre el Comité Europeo de Protección de Datos , sujetos de la, de la, de la potestad sancionadora. El sujeto se sabe. Sabéis que la relación jurídica sancionador hay un sujeto activo, que es el que tiene la potestad sancionadora, que es el que impone la sanción, un sujeto pasivo, que es el que recibiera la sanción. Respecto al sujeto activo, no hay ninguna duda de que son las autoridades de control de los diferentes Estados miembros. El Comité Europeo de Protección de Datos no tiene potestad sancionadora, no me equivoco, no tiene potestad sancionadora reconocida en el Reglamento General de Protección de Datos tiene la potestad de interpretación, tiene, pero no tiene. Son las autoridades de control las que tienen reconocida la potestad sancionadora con respecto a los sujetos pasivos de la relación jurídica sancionadora. Es muy interesante porque, bueno, no, no hay dudas. Es el posible responsable, el encargado, los representantes de estos, las entidades de certificación, las entidades acreditadas. Pero a título anecdótico, yo, cuando salió cuando se publicó el Reglamento General de Protección de Datos, interese precisamente por el régimen sancionador, y cuando empecé a leer el artículo 83 me di cuenta de que entre los sujetos pasivos, aparte del responsable encargado, resulta que hacía referencia vuelvo a repetir en la versión castellana a que se podían imponer sanciones a las autoridades de control. Yo dije atiza digo esto significa que la propia Agencia Española de Protección de Datos se puede imponer una sanción a sí misma en caso de infracción de ella misma, del reglamento general, y esta es una cosa que me ha perdonado la expresión, pero ha vuelto a la cabeza local durante muchos años y es decir, siempre me he preguntado, puede una una, una Administración pública, una autoridad independiente en este caso imponerse sanciones quien controla las autoridades de control el Comité Europeo de Protección de Datos ? 358 00:16:51,030 --> 00:16:53,970 No quien controla, que las autoridades de control no infrinjan. El Reglamento General de Protección de Datos lógicamente esta versión en castellano no se refería a las autoridades de control, sino que se refería a las autoridades de supervisión de códigos de conducta. Lo que pasa es que había un error, un error de traducción de la versión en castellano, porque la versión italiana, la inglesa, la francesa sí que se hacían referencia a las estas autoridades de certificación, de códigos de conducta, pero bueno, es es luego esto se corrigió digámoslo así en la Ley Orgánica de Protección de Datos, donde sí que se hace referencia a quiénes son los verdaderos sujetos pasivos de la relación jurídica sancionadora. Otra de las características esenciales al que llevamos ya hemos hecho referencia es el sustancial incremento de las sanciones. Esto yo creo que es 1 de los de los sí; si tuviéramos que hacer un titular de todo el régimen sancionador, pues sería, pues, como como en su momento se hizo el sensible incremento de las sanciones, lo que plantea en el ordenamiento interno abordaremos un problema a continuación voy a referirme A cuáles son los visto las características esenciales. Hoy someramente, muy muy un esbozo muy muy, muy amplio de las características. Voy a referirme a los que yo considero, en mi opinión, cuáles son los principales puntos de fricción. Los principales puntos críticos que se plantean desde el momento de la aprobación del Reglamento General de Protección de Datos a la hora de adaptarlo al ordenamiento interno español desde el punto de vista del régimen sancionador, algunos de ellos veremos, se han solucionado con la aprobación de la Ley Orgánica de Protección de Datos, pero otros creo que quedan absolutamente abiertos y sin sin solución. Nuestros principios de régimen sancionador están regulados en el artículo 24 25 de la Constitución española en los artículos 25 a 31 de la Ley 42.015, de Régimen Jurídico del Sector Público, y luego también tenemos el procedimiento administrativo común sancionador específicamente sancionador, que está regulado en la Ley 39 de la Ley de Procedimiento Administrativo. Con estos mimbres, pues tenemos que hacer el texto no e intentar tejer el régimen sancionador europeo a nuestro régimen sancionador interno y el principal problema que yo me encuentro o que me encuentro cuando empiezo a estudiar esta. Esta materia es la presunción de inocencia. 1 de los principales principios del Reglamento General de Protección de Datos es el principio de responsabilidad proactiva, principio de responsabilidad proactiva, reconocido en el artículo 24 del Reglamento. Me dice que yo no solo tengo que cumplir el Reglamento General de Protección de Datos, sino que tengo que poder demostrar que lo cumple. Entonces, yo me planteo si tengo que poder demostrar que cumplo. Quien me acusa lo tiene muy fácil, porque no tiene que demostrar que yo sé que en el régimen sancionador esto es el principio de presunción de inocencia es muy relativo, porque tenemos un artículo en la Ley de Procedimiento Administrativo, el 77, 5, que me dice que si hay un acta, un funcionario con potestad, con potestad, con autoridad, pues eso hace prueba de mi culpabilidad. Pero, claro, por lo menos hay un acta, por lo menos hay una prueba. Si a mí me trasladan la prueba de poder tener que demostrar a priori que cumplan reglamento, pues se puede generar algún tipo de ficción, no, yo me parece que esto no sé si se ha estudiado suficientemente o hay algo que aquí a mí personalmente no me cuadra. No me no me encaja demasiado demasiado bien, luego también hay otra. Otra cuestión importante es el principio de proporcionalidad de las sanciones. Tradicionalmente en el derecho sancionador español hay jurisprudencia del Tribunal Constitucional que dice que no se pueden imponer sanciones muy altas en nuestro régimen anterior. Hay un artículo del profesor torno más donde dice que las sanciones que preveía el régimen anterior de 600.000 euros era una barbaridad y que atentaba contra el principio de proporcionalidad reconocida en la la Constitución, cuando vemos que ahora se pueden imponer sanciones de 20.000.000 de euros o 447.000.000 de euros, como el impuesto Amazon, pues este principio de proporcionalidad salta por los aires, no, entonces sí que es cierto que hay otros regímenes sancionadores como, por ejemplo, el derecho de la competencia en que se prevén sanciones, saben muy amplias, pero bueno, al final es nuestro derecho interno y nuestra jurisprudencia constitucional, y hay que hay que tenerla también en cuenta. Otra de las cuestiones que anime, me planteaba dudas, pero estas sí que considero que está resuelta la del principio de legalidad, es decir, si la norma, que atribuye la potestad sancionadora tiene suficiente rango, yo creo que si el Reglamento General de Protección de Datos es una norma de las llamas alto rango a nivel europeo, la la más alto rango de hecho y, por tanto, el principio legalidad hasta está cubierto, no así con el principio de tipicidad. Yo creo que aquí sí que se producen importantes problemas. Tengo que distinguir entre la tipicidad de las infracciones. La tipicidad de las sanciones. La tipicidad de las infracciones, el Reglamento General de Protección de Datos utiliza una técnica que se llama una técnica remisión, expresa no tipifica directamente las conductas, no describe directamente las conductas infractoras, sino que lo que hace es remite directamente a las normas del Reglamento General de Protección de Datos, que establecen las obligaciones, y dice que el incumplimiento de esas obligaciones es una infracción. Bueno, es una técnica que en nuestro nuestro derecho sancionador español ha sido admitida por la doctrina más más cualificada, por ejemplo, el profesor Alejandro Nieto, tristemente fallecido. Hace pocos meses preveía que esto era constitucional dentro de nuestro ordenamiento jurídico, por tanto, el Reglamento General de Protección de Datos aquí sí que cumple el principio de tipicidad. Según nuestra visión del derecho sancionador lo que ocurre, lo que ocurre es que el legislador español no se incluyen dentro de que me imagino que se adaptarán al ordenamiento interno. Empieza a describir conductas como lo los artículos 70 siguientes empieza a describir todas las conductas es tal, es así que se queda sin letra de la vecindad la AVE la hace. Es una perdonarme una gala, una auténtica locura. Yo tuve ocasión de dirigir un trabajo de fin de máster, perdonarme que no me recuerda el título de nombre de autor, pero hizo un análisis de si el las conductas que recogía la Ley Orgánica de Protección de Datos en estos artículos coincidían con lo que decía el reglamento y nos salían como 4 o 5 infracciones más de las que decía el reglamento, y yo me plantee estas infracciones son acorde al derecho de la Unión Europea, es decir, puede el legislador español establecer infracciones sin que el reglamento ley haya autorizado. En mi opinión, no, eso sería ir en contra del derecho de la Unión. Esto es lo que ha hecho el legislador español. Yo lo critico, pero bueno, si es se puede hacer, es decir, es recoger las infracciones de escribes las conductas, y esa es la infancia. Sí que se produce un problema. Yo creo que esto no ha sido resuelto, es 1 de los principales problemas que tenemos o, en mi opinión, tenemos actualmente es el principio de tipicidad de las acciones, con las acciones que tenemos, un verdadero problema. Creo pienso humildemente. Por qué? Porque nuestro ordenamiento jurídico sí que en el artículo 27, 2 de la Ley 39, 2015, derivado del artículo 25, también de la Constitución, es que estamos hablando de cuestiones relevantes. Que haya una adecuada definición de la sanción. Es decir, que cuando se incoa un procedimiento sancionador, el sujeto pasivo, ese procedimiento sancionador tenga cierta certeza jurídica, de cuál es la sanción que le van a imponer, pues aquí estamos hablando de que la autoridad de control correspondiente, por ejemplo, la Agencia Española de Protección de Datos, que pueden imponer una sanción que va de 0 a los 20.000.000 de euros Pues sí que es verdad que luego hay en el apartado segundo del artículo 83 del Reglamento y en el artículo 76, criterios de modulación de las sanciones. También habla el reglamento de la necesidad de que esas sanciones sean proporcionadas, pero ahí está la posibilidad de que una autoridad de control te imponga una sanción. Hace poco y aquí le meto un poco en la parte a lo mejor el otro ponente, una empresa recibió una, una multa de 70.000 euros por una grabación, a una trabajadora que, cumpliendo la mayoría, le pusieron una multa, que, en mi opinión es bastante desproporcionada, bastante amplia, es decir, la posibilidad. Existe. La potestad sancionadora existe los criterios de modulación, al final, los aplica la autoridad y bueno, pues tiene discrecionalidad, que a veces puede convertirse en arbitrariedad. Aquí estos estas estos criterios de modulación de las sanciones, además, bueno, sí que están previstos en el artículo 83, 2 del Reglamento, como digo, en el artículo 76, pero luego hay unas directrices del Comité Europeo de Protección de Datos sobre interpretación de estos criterios de modulación de las sanciones, y aquí yo me planteo esto. Qué eficacia jurídica tiene un informe, unas directrices del Comité Europeo de Protección de Datos que sí que tiene potestad de interpretación, pero no tiene potestad sancionadora, no tiene potestad regulatoria. Imaginemos en el caso de Dinamarca o Estonia o en el caso de España un tribunal está obligado a interpretar estos criterios de modulación conforme a lo que dicen las directrices del Comité Europeo de Protección de Datos . En mi opinión. Bueno, pues surgen dudas, ahí lo dejo. El derecho ya sabéis es es interpretable y yo aquí pues yo creo que si yo me pongo en el rol de juez, a mí esto lo no, no, no me vincula como tal, me va a servir de ayuda, desde luego que sí si no tengo demasiada idea sobre el tema pues me va a ser de otra ayuda. No me va a vincular jurídicamente entiendo. Bueno, otra de las de las cuestiones que también fue resuelta por el legislador español fue el Reglamento General de Protección de Datos. No clasificaba las infracciones graves, muy graves o leves, sí que había una sí que se deducía que había ciertas infracciones más graves en función de las sanciones que pudieran imponer, pero realmente no las las clasificaba; tampoco lo hacía con las con las sanciones en la Ley Orgánica de Protección de Datos, sí que clasifica las infracciones muy graves, graves y leves, sin embargo no clasifica las sanciones, y aquí volvemos otra vez a lo mismo. Es decir, esto es todo el principio de tipicidad. No se atreve a clasificar. Sí que hace una especie de clasificación; en el artículo 78 en relación a la prescripción a la que ahora me referiré, pero realmente no es una, no es una clasificación. Podríamos hacer una clasificación, deducir una clasificación en función del tiempo de prescripción de la sanción, pero España yo creo que hubiese sido más fácil tipificarlo. No se tipificó porque no no, no había; no podía. No había una. Realmente una tipificación de las sanciones que vuelvo a repetir en mi opinión sigue sin sin sin haber, y, por último, el tema de la prescripción. El Reglamento General de Protección de Datos no preveía la prescripción de las infracciones y las sanciones, lo que atentaba directamente contra el principio de seguridad jurídica y aquí sí que el legislador español estableció periodo de prescripción, infracciones y sanciones transcurre a las cuales ya no, no, la potestad sancionadora se puede ejercer, pero lógicamente a la inflación ha prescrito luego ya para terminar, me voy a referir al la posibilidad, porque a mí misma una cuestión que me ha interesado mucho siempre. La posibilidad de imponer sanciones a las administraciones públicas o las entidades del sector público institucional. El Reglamento General de Protección de Datos daba libertad a los Estados miembros para quién efecto; pudieran establecer en sus legislaciones internas la posibilidad de imponer multas administrativas, multas económicas a las entidades del sector público. El legislador español optó por qué no, porque era suficiente con la declaración de infracción. Entonces, el informe del Consejo de Estado sobre el anteproyecto de ley Orgánica de Protección de Datos, al que antes me refería, hace referencia a que esta posibilidad podría ser considerada discriminatoria, porque, cuál es la razón por la que se pueden imponer sanciones económicas tan altas al sector privado y no al sector público? El profesor, José Luis Piñar, ha hablado en muchas ocasiones este estos temas. Me viene a decir que es una tontería imponer multas administrativas a las administraciones públicas y el dinero sale de los Presupuestos Generales del Estado, pero a mí sin embargo me parece importante que no solo hay una declaración, sino que da una vuelta económica y que en esos presupuestos los ciudadanos vean que se merman, porque las autoridades públicas, los funcionarios no han hecho bien su trabajo, igual, porque aquí hay como una doble rasero, una doble vara de medir, que a mí la verdad es que no me convence demasiado. Bueno, por cualquier caso, lo que sí que se ha hecho ha sido modificar un poco este régimen. El año pasado, en el año 2023, o a una modificación de la Ley Orgánica de Protección de Datos se han incluido otras medidas como, por ejemplo, la posibilidad de incoar procedimientos disciplinarios a los funcionarios que infringen el Reglamento General de Protección de Datos, publicar las resoluciones sancionadoras, que se imponen a las a las administraciones públicas o el sector público institucional, de forma diferente publicarlas en la web. Comunicar estas infracciones al Defensor del Pueblo, etcétera. Bueno, esto es un poco un poco. Mi visión de cómo está actualmente desde la aprobación del Reglamento General de Protección de Datos hasta hasta la actualidad y con esto terminaría mi mi ponencia. Muchísimas gracias y por supuesto si queréis hacer alguna pregunta alguna, alguna cuestión, alguna corrección o incluso pues estaré encantado. Muchas gracias. Bien, no te preocupes, que ahora hay temas de debate suficientes y trascendencia y relevancia. La segunda parte de la sesión, como se dicho, correrá a cargo de Javier empresa me niego, aunque les director de supervisión y control de Policía del Consejo General del Poder Judicial hoy viene aquí como un humilde investigador académico en protección de datos. No en vano está a punto de opositar su tesis doctoral, o alguien más que hay alguien en la sala. Estamos ya en capilla, no Javier, y ya. Pues bueno lo peor no plantea el momento de culminación. Ahí hay de devolver a dar la razón. Bueno, pues cabía, viene a compartir con nosotros esa experiencia académica e investigadora y el enorme trabajo que yo creo que está haciendo a la hora de divulgar este tipo de cuestiones en redes sociales pues muchas gracias Javier mal bueno buenos días lo primero muchas gracias por la invitación Juliana y sobre todo a encontrarme aquí con algunos amigos alguno de ellos que hace bastante tiempo que no lo veía. Como decía, Julián. Yo voy a hacer la que ahora soy director de supervisión y control de Protección de Datos, que es la autoridad de control de protección de datos en el ámbito judicial, que no se conoce mucho. Voy a hacer la presentación sobre, digamos, desde un punto de vista investigador. Me voy a referir sobre todo a cuestiones resoluciones de la Agencia Española Protección de Datos , también alguna cuestión de otra autoridad, y también me voy a hacer algunos comentarios sobre la anterior presentación porque pone preparado muchas cosas comentar también respecto a la presentada a la Mesa que va después de la nuestra. Si alguno tiene interés en la página web del Consejo General del Poder Judicial se ha publicado un informe en el que una parte analiza la posición del consejo como autoridad de control en el ámbito de la inteligencia artificial, porque los temas de justicia son declarados de alto riesgo y, por otra parte, el tema de inteligencia artificial. Justicia es ahora en lo que está más regulado en España con el Real del del año del año pasado. Bueno, voy a hacer primero una introducción. Comentaba antes Alejandro que la normativa sancionadora está en el reglamento y en la Lope de. Pero, bueno, se está tramitando un reglamento que va a regular solo el procedimiento de reclamaciones transfronterizas, que además tiene una peculiaridad. Si lo comparamos luego entraré en las reclamaciones transfronterizas. Si lo comparamos con las reclamaciones locales, no vamos a encontrar que el reclamante tiene una mayor va a tener una mayor participación si el procedimiento es transfronterizo, que si no es transfronterizo, junto al adjunto a ello, que también ha apuntado Alejandro. Se ha referido a las directrices del Comité Europeo de Protección de Datos sobre los criterios de graduación. Pero es que en materia sancionadora nos encontramos toda una batería de directrices del Comité Europeo de Protección de Datos , que yo creo que están realizando en algunas ocasiones, entre comillas, un desarrollo encubierto, porque nos yo siempre me pregunta esto de las directrices, que son exactamente no tales algunas. Por ejemplo, la mayor parte de ellas se refiere a las reclamaciones transfronterizas, pero, por ejemplo, esa que veis en rojo vale que todavía no se sobre los criterios de grabación. Hay 2. Una, la que aprobó en su día el el grupo del artículo 29 luego esta no esa todavía no se ha aplicado si os dedicáis a defender a clientes el día que que que tengáis un cliente que venga con una resolución, que empiece a aplicarse esas directrices o vais a abordar de mí de lo que voy a decir ahora, porque son unas directrices sumamente complejas, no hay quien las entienda, desde mi punto de vista, y crean 6 etapas diferentes para cuantificar una multa y todo, básicamente, bueno, toman alguna norma europea como de modelo, pero digamos entre comillas, está un poco como inventado. No hay 1 se pregunta si esto debería estar en unas directrices o no, si no debería estar en otra norma. Esto no acaba. Aquí hay más directrices del Comité Europeo de Protección de Datos y algunas que no, que no he traído vale. Vamos a encontrar en torno de haber entre 10 o 15 documentos sobre todo el procedimiento sancionador derecha y 1, por ejemplo, que se mete en el derecho interno de los Estados miembros porque trata de regular lo que son. Hay algunos países que les permite acudir a soluciones amistosas, por ejemplo, Irlanda; la principal novedad que introduce el Reglamento General de Protección de Datos, desde mi punto de vista dentro acordaron cuando entró el reglamento, la multa 20.000.000. Para mí no es esa. La principal novedad es que cambia la forma de determinar quién es la autoridad competente para tramitar una reclamación y crea este sistema de reclamaciones transfronterizas competentes y una entidad tiene varios establecimientos, será donde esté el establecimiento principal la autoridad donde esté el establecimiento principal y si solo tiene un establecimiento y da servicios a varios países Senado, también de estese único establecimiento, pero luego pueden participar el resto de autoridades de control en el procedimiento sancionador. Hay algún procedimiento sancionador que han participado hasta 42 autoridades de control para percibir a una entidad que en términos de eficacia y eficiencia, pues creo que no es necesario que lo explique, no 42, porque están también las autoridades. Los lander alemanes tienen competencias al sancionadora. En el caso de la agencia española no ha tramitado muchas reclamaciones como autoridad principal porque aquí no hay mucha. Hay alguna sede principal de empresa, pero, como digo no ha tramitado muchas. Luego las reclamaciones transfronterizas tienen excepciones, algunas de las cuales están explicadas en alguna directriz que se mostraba anteriormente y resulta necesario leerlo 4 o 5 veces para poder entender cómo se aplica esa esa excepción. Una de ellas es que puede ocurrir que ese establecimiento principal, realice algún tipo de servicio. Hay algún tipo de servicio que no sea el principal, no que sea una sucursal la que actúe, digamos, como la que final los fines y medio del tratamiento, por ejemplo, ese caso que tenéis? Ahí Amazon la sede principal está en Luxemburgo, lo que tiene que ver todo con con los servicios de la página web, con la compraventa. La autoridad de control en la desglosan -Burgas, el caso que he comentado antes Alejandro, pero luego ha habido 1 que ha tramitado la Agencia española contra Amazon España, porque era un caso de que para la expedición de, bueno para contratar a conductores les pedían el certificado antecedentes penales y eso lo decidía la sucursal española, no la decidía la principal de de Luxemburgo, con lo cual es solo tramita la Agencia Española de Protección de Datos, con lo cual ve que todo esto de las reclamaciones transfronterizas es bastante sencillo, no porque tiene, como digo, excepcione algunos que ha tramitado la agencia con participación de otras autoridades. El primero de ellos. Bueno una aplicación de bromas llamada guasa. Este ya había sido multado con la Ley Orgánica de Protección de Datos del año 99. La reclamación vino por el no venía, pero la sede es única. Esta empresa está en España, presta servicio a otros países de la Unión Europea y luego el primero que apareció sobre qué ahora bueno, suelen aparecer más sobre la recogida excesiva del documento nacional de identidad o del pasaporte en un hotel. La reclamación interpuso un holandés. Inicialmente la agencia había archivado, pero digamos que por el empuje de la autoridad holandesa de protección de datos, se tramitó el procedimiento sancionador. Aquí lo que se hacía era escanear el pasaporte para, además, hacer una tarjeta al cliente para que pudiese entrar en determinados espacios del del hotel El. Si nos referimos? Bueno, durante este, el los últimos años han empezado a aparecer las primeras sentencias relacionadas con la aplicación del Reglamento General de Protección de Datos. Desde mi punto de vista, la más importante es esa sentencia del Tribunal Supremo del año 2021, que ha pasado un poco desapercibida. Viene de una resolución de la dirección de supervisión del control del Consejo General del Poder Judicial e interpreta, digamos, quién está legitimado principalmente para interponer una reclamación ante las autoridades de control? Interpreta lo que es el artículo 77 del Reglamento, y el Reglamento nos dice que habla de la figura del reclamante de una persona cuyos derechos el derecho a la protección de datos pueda verse afectado por un responsable o un encargado. Es decir, no habla aquí de que cualquiera que pase por la calle bueno, volver a denunciar ese que no tiene cartel de videovigilancia y ni siquiera me ha acatado la imagen, no lo que viene a decir las sentencias que tiene que haber una prioridad en aquellos casos en que el denunciante cumple esa figura del reclamante, su derecho a la protección de datos, se vea afectado y cuando no ostente, digamos esa figura. Es decir, un tercero que ponía ante una denuncia, podría decir a la autoridad de control lo que hace en función de los hechos que se estén denunciando. De hecho, parece esto creo que es la la memoria de la de la última memoria de la agencia. Parece que la en ese pie de página que aparece en un cuadro, parece que la agencia esté empezando a aplicar ya este criterio, no, porque ahí nos dice además que son las los cuadros sobre el cuarto, es el procedimiento sancionador sobre los procedimientos y nos dice que incluye también denuncias de Fuerzas y Cuerpos de Seguridad y de Ciudadanos, cuyo derecho a la protección de datos no se vea afectado por la infracción. No, con lo cual parece que estaría ya diferenciando estos 2 supuestos. Luego volveré otra vez al ala al cuadro es. En cuanto a las reclamaciones más frecuentes yo he advertido que me parece que el reglamento está pensando en una cosa y lo que reclama el ciudadano de a pie es otra que que no tiene absolutamente nada que ver. Si vemos los los grupos de reclamaciones más más frecuentes no ha cambiado nada con la López, desde la López de publicidad, videovigilancia y luego además, yo no, que no hay reclamaciones. Si estamos todo el día hablando de tecnología, pero no hay mucha reclamación sobre tecnología. De hecho, creo que si quitamos los famosos procedimientos contra meta y sus inumerables compañías alguna contra Google y luego vemos lo que es biovigilancia, publicidad, etcétera, en el medio hay un grupo como que casi no tenemos reclamaciones. Por ejemplo, casi no hay reclamaciones de teatros hay. Hace 4 años había 4.000.000 ya empezaba a haber 40 o vaya usted a saber no, no hay reclamaciones sobre drones. Si tenemos ahora sobre la biometría, pero bueno, eso yo creo que daría para otro seminario, así que lo vamos a dejar, pero, como digo, yo no toque, no hay reglas, no hay mucha reclamación relacionada con tecnología. Cuando el reglamento está pensando sobre todo en grandes empresas y en grandes tratamientos de datos. Esta es una resolución de hace de finales del año pasado sobre un bueno, un tema tecnológico, no que había puesto en marcha la Dirección General de Tráfico, un libro de taller electrónico para comunicar datos de los talleres a la DGT para tener digamos, una información actualizada del del vehículo, pero bueno, o varios problemas sobre todo relacionados con la legitimación, y luego, obviamente, un clásico. Existe las reclamaciones vendetta. No me voy a la protección de datos por saber si nos hemos cabreado, pues, por ejemplo, en el primero que visa el segundo, que veis ahí que no tiene nada, no tiene ningún sentido, no una. En una peluquería desde hace años una peluquería envió un correo electrónico con las direcciones en abierto y una persona interpone la reclamación más de 2 años después, no debieran de tener algún tipo de problema. Sería con el peinado o el corte de pelo, no tiene 60, había hasta preescrito la, la infracción y luego bueno, esto es el. Se se habla mucho de las altas multas de la agencia española, pero no en la que ha puesto con el reglamento. Las las multas más altas las ha puesto la autoridad irlandesa, la agencia, si pone, tramita más procedimientos sancionadores pero porque es la que reciben más reclamaciones en todas. El año pasado, 21.000, las 3 que veis ahí de la autoridad francesa, que están marcadas porque están relacionadas con su ley, con la parte servicios de la sociedad de la información vale, está relacionado con buques sino con la parte del Reglamento General de Protección de Datos. Bueno, pasando a los poderes correctivos, bueno, tenemos 2 tipos de procedimientos, 1 por reclamaciones, por cualquier tipo de vulneración y luego por no atender los derechos que luego comentaré algo al respecto. Pero esto es un procedimiento que solo se tramita, creo que en España es una cosa. Una rara avisen a nuestro derecho. La advertencia, el gran no se nos no sabría cómo calificarlo. Qué en las la advertencia pone. El. Bueno, se modificó en su día cuando se publica el reglamento, ponía sancionar con una advertencia cuando puede haberse cometido una infracción, pero pone, pueda, con lo cual nos ha tramitado un procedimiento sancionador. Entonces lo cambiaron, lo es sancionar por por dirigir? No, la agencia en su memoria no publica. Cuántas advertencias ha dirigido a responsables? Hay otras autoridades de control. Por ejemplo, la portuguesa están en torno a 25, 30. Si hay no se aplican. No se publican tampoco las resoluciones, salvo una que me referiré ahora. Esto es un caso que alguien publicó en Linkedin en su día no sé si lo conocéis de que había recibido una advertencia, una universidad con los temas, con el COVID, que querían utilizar el reconocimiento facial para el control de los exámenes. Venía a decir. Se le advierte de, si no cumple con la normativa, se le puede iniciar un procedimiento sancionador y luego, recientemente, si se publicó la primera vez que la única que está publicada las según la López, de las resoluciones de advertencia, no se tienen por qué publicar, pero por el Estatuto de la agencia abre la posibilidad de publicar otro tipo de resoluciones. Se publica, es está sobre la Liga de Fútbol Profesional sobre un contrato que estaban licitando para el uso de reconocimiento facial de acceso a los de control en los estadios y que a mí más que que yo haya tenido conocimiento cual creo que algunas sí me parece en videovigilancia, ojo, puede tener mucho recorrido la advertencia. No necesariamente ante una reclamación hay que tramitar un procedimiento sancionador, porque el reglamento te deja varias posibilidades y luego el cuadro que mencionaba anteriormente. Si seguimos leyendo en estos casos en que no está afectado el derecho de protección de datos de estos reclamantes da a entender pone al final y la advertencia de que en caso de no ajustarse se podrá iniciar actuaciones pertinentes, con lo cual parece dar a entender que en aquellos casos que el reclamante no el denunciante no se vea afectado por su derecho a la protección de datos se estaría la autoridad de control utilizando la advertencia vale, según lo que aparece en ese cuadro, dejémoslo luego. El apercibimiento, el apercibimiento se modificó la López de hace hace más de un año, porque se cambió a que no tuviese naturaleza sancionadora. Yo juraría que hay una sentencia de la época de la López de que dice que sí tiene naturaleza sancionadora, pero no, no consigo encontrar juraría que lo que lo he leído, cuando se modificara López de se le quita la naturaleza sancionadora, y se establece un procedimiento específico para el apercibimiento. Antes lo podamos encontrar, aunque era muy raro alguna resolución en que se hubiese apercibido y multado a la al mismo responsable. Tiene su sentido también, porque no vas a estar con el acuerdo de inicio la propuesta de resolución en la resolución, para lo cual al final acabar a percibir a percibiendo. Estas son las primeras que aparecen publicadas en la página, los primeros apercibimientos. Aplicando este procedimiento ya ya ya ya nuevo, sin naturaleza sancionadora, y los últimos que han salido, están relacionados con videovigilancia entre particulares, lo típico que la Cámara grava excesivamente o que falta el cartel del derecho a la información. Luego se ha comentado anteriormente el tema de las administraciones públicas. Inicialmente, cuando se aprobara López de se les ha percibía, pero con este cambio pasa a declarar la inflación, el mismo sistema que él Qué había con la ley del año? 99 Ese es el listado que aparece en la Lopeg, aunque desde mi punto de vista falta alguno, pero no lo voy a decir eso me lo tengo que guardar y luego yo sí soy partidario de multar a las administraciones. De hecho hay otra normativa en España que se puede multar a las administraciones. Medioambiente. La Ley de protección al informante, aunque yo creo que ahí se no se dieron cuenta o, por ejemplo, el esquema nacional de seguridad de 5 jefe, puede multar a las administraciones. Yo no digo que se vaya a multar a las administraciones con 20.000.000 de euros ni el 4 por 100 del presupuesto, pero esa facultad 3 multas de 1.000 euros con su correspondiente portada en los periódicos desgraciadamente hay que decirlo hace muchísimo más que muchas publicaciones de resoluciones. Hay alguna resolución que comentábamos ayer, por ejemplo, un ayuntamiento con 5 infracciones ni aleja, vale lo que hizo el año pasado. La agencia es aquellas administraciones que incumplían sus resoluciones, pues publicó un listado de incumplidores. Tuvo una difusión en medios de comunicación y en redes sociales. Además, España es, junto a Francia y Luxemburgo, el único para los 3 únicos países que no han contemplado que se pueda multar a las administraciones el resto algunas se multan otras depende algunas han metido buenos los los italianos por ejemplo, los portugueses están bien, pero sobre todo tener la facultad en el reglamento, inteligencia artificial plantea exactamente lo mismo, deja abierto a que cada Estado miembro decida entonces nos vamos a imaginar lo que lo que va a ocurrir, y luego ocurre también la siguiente paradoja. Cuando se aprueba el reglamento se aprueba también un reglamento de protección de datos en las instituciones de la Unión Europea que la autoridad de control es el supervisor europeo, Protección de Datos, el supervisor europeo de Protección de Datos, si puede imponer multas a la Unión Europea, con lo cual nos encontramos 2 reglamentos que salen de la Unión Europea. 1 deja libertad, el otro dice que sí a mis instituciones y se las puede montar un poco contradictorio, aunque es cierto que el supervisor todavía no ha multado a nadie, pero creo que tener la facultad ya elevada, digamos, el grado de cumplimiento sobre la cuantía de las multas. Se ha comentado anteriormente también lo que es la tipificación de infracciones. Hay un artículo que no aparece ahí que no está tipificado en el la infracción. En el propio reglamento, que es el artículo 10, el de infracción, el tratamiento de datos de naturaleza penal no aparece en esa relación y luego el reglamento tiene. Comete aquí un error, no el, el 8, que es el tratar. El consentimiento de los menores debería estar en el grupo de los 20.000.000 de euros. No debería estar en el primer grupo de los 10.000.000, porque toda la parte legitimación es tal, la en la parte de las de las multas más altas y lo hay algún apartado en el 58, 2 que está bastante mal redactado, comento Alejandro que hace una la tipificación, digamos en sentido muy amplio. Esto nos lleva a que en cada artículo del Reglamento tenemos que empezar a leerlo y ver dónde puede haber una infracción y donde no puede haber una infracción, no por ejemplo, este que va del del nombramiento delegado de protección de datos en el apartado 1 hay 3 infracciones diferentes porque la letra es que lo nombre las administraciones públicas la la letra b es cuando es responsable, cuando se va a nombrar, cuando haya una observación habitual, y el tercero es tratamiento a gran escala, no de categorías especiales de datos, pero son 3 casos diferentes, no? Entonces, si se comete una infracción la la infracción, la resolución tiene que aparecer que la infracción cometida es el 37, punto 1, letra a 37 por el 37. Hay otras conductas y también puede haber conductas que no sean sancionables. Por ejemplo, el apartado 6 dice que el delegado puede formar parte de la plantilla o ser externo o algo, pues son 2 opciones, no, pero no hay ningún tipo de obligación. Si nos vamos a resoluciones sobre por no haber nombrado delegado de protección de datos, pues muchas veces no se acierta a determinar cuál es el precepto concreto que se ha incumplido, no la primera, por ejemplo, la del globo que esta fue bastante conocida en su día aparece que el. El artículo incumplidor es el 37, cuando debería haber sido el 37, 1 letra b, y en las administraciones públicas pasa lo mismo, no, y el que se incumple es el 37, 1, letra, no el 37 o el 37, apartado 1, que como dije ahí hay 3 casos bueno, los criterios de graduación ya dije anteriormente. De las directrices estas que todavía no se han aplicado yo creo que sobre todo cuando se comete una infracción a la hora de cuantificar la multa lo que hay que tener en cuenta sobre todo es el perjuicio causado al al reclamante y el grado de culpabilidad; y el tercer caso, y si ha habido algún tipo de beneficio, pero que son. Para mí no están todos en el mismo, en el mismo nivel y, sobre todo creo que hay que ver el perjuicio que perjuicio porque además en función de ese perjuicio luego esa persona puede exigir responsabilidad civil o responsabilidad patrimonial, más poderes que tiene las las autoridades de control. Bueno, esto lo calificó yo como ordeno y mando, no, entonces son ordenar al responsable que el reglamento cumpla con ajustarse al Reglamento. Esto normalmente aparecen propia en la propia resoluciones sancionadoras. Usted ha acometido esta infracción, pero además debe ajustarse, cumplir con esto o lo otro, y la comunicación de brechas de seguridad a los afectados, que puede ordenarla, la autoridad de control, y luego lo que es para mí la mayor sanción, que puede caer sobre un responsable o un encargado. Para mí no en la muy bueno podría ser la multa, pero para mí no es la multa, para mí es prohibir un tratamiento por qué porque podemos tener un negocio hombre obviamente si nos la multa asalta y tengo que pagarle por cerrar el negocio también no, pero nos podría cerrar una línea de negocio o un determinado negocio, porque nos estaría diciendo que lo que estoy haciendo es ilegal. Ahora veremos al algún ejemplo, por ejemplo, un caso en el que se se ordena aunque esto luego se anuló, se multa y se ordena además que se cumpla con el derecho de información. Fue la primera vuelta está conocida del de los de los 2 bancos. En estos casos, además, que la agencia te dice que tiene 6 meses para un mes para adecuar el tratamiento, hay que comunicárselo a la agencia cuando sea adecuado, porque si no nos pueden luego abrir un procedimiento por haber incumplido esa resolución, porque ahí no solo tenemos una parte de multas y tenemos además una parte de cumplimiento de adecuar un tratamiento de datos personales sobre la prohibición de realizar un tratamiento de datos. Voy a realizar una comparación entre entre 3 supuestos, de prohibiciones, pero que son diferentes. Esto es un negocio. Es una empresa muy conocida, Isfas, tenía un fichero llamado de reclamaciones judiciales y organismos públicos lo que hacía era acogía datos de los boletines oficiales de gente que tenía deudas con la Administración y luego lo vendía a empresas. Esto con la López de. Bueno, acordar fuentes accesibles al público, pero ahora no hay y la agencia dice prohíbe este tratamiento y se tiene que cerrar esta parte del negocio de esta empresa. Es cierto que la multa inicialmente era de 7.000.000 de euros, se baja un 1.000.000, pero prohibición del tratamiento. Aquí tenemos el, digamos, un cierre de negocio. Sin embargo, en el famoso caso de Mercadona no es un negocio lo que se habían gastado dinero en toda la seguridad, pero se prohíbe también, pero lo que teníamos era una actividad relacionada con la seguridad. Tenemos la diferencia entre 2 prohibiciones, pero son diferentes, no una, como digo, cierre del negocio es ilegal, la otra es ilegal, pero no me afecta al negocio, me afecta a la seguridad o sería también el caso ese contra contra un caso reciente contra el Burgos? Por utilizar también la huella para acceder al al-al al Estado? Y luego, relacionado con las reclamaciones transfronterizas que os dije al principio, que había excepciones, otra excepción es lo que se llama el procedimiento de urgencia, no esté cabe la posibilidad de que aunque la autoridad de control no sea la competente, pueda ordenar a una sucursal, que se adopte medidas mientras la autoridad de control principal empieza a iniciar el procedimiento o se manifiesta el Comité Europeo de Protección de Datos , y esto es lo que hemos tenido, por ejemplo, con el caso de Alcoa no o alcohol no es competente la agencia española, la competente es un lander me parece creo recordar, un lander alemán, pero la agencia le ordena a Wert que adopta una serie de medidas que prohíba el tratamiento de datos temporalmente hasta que se manifieste el Comité Europeo de Protección de Datos o decía la autoridad de control correspondiente la primera vez que se acudió al procedimiento de urgencia. Fue en Italia, en el caso de Tito, para verificar la edad de los menores, porque esto de que hacen ahora lo menor es de retos y cosas de este tipo por 2 habían acabado. Creo que había que aguantar debajo del agua de una bañera y 2 había 2, habían agua no. Entonces para la autoridad italiana ordenó a todos hacer un una limpieza y de Cuentas de menores, etcétera, etcétera, el tema de brechas de seguridad. Bueno, yo la verdad, no consigo. Bueno, no soy muy partidario de lo de la comunicación, de las brechas de seguridad; recomienda. Hay un artículo de investigación que dice que es contrario al principio a no declararse culpable. Creo que además el reglamento lo que hace es como casi obligatorio, la notificación de las brechas, a la autoridad de control y excepcional. La notificación de la brecha a los afectados creo que debería estar al revés, no me parece que más obligatoria a los afectados, y al otro probablemente esté metida la obligación a las autoridades de control para que luego la autoridad de control decida comunicada la brecha vale normalmente cuando se notifican en torno a 120, 140 brechas de seguridad, muy pocas, pasan a la parte de inspección. En ese parte de que se comunica la inspección, la agencia puede ordenarla. La comunicación de la brecha vale al a los afectados, lo ha hecho él el año pasado en en 30 ocasiones. El tema de transferencias internacionales puede. Se puede ordenar también la que se suspenda el flujo de transferencias internacionales? No hay muchas resoluciones de transferencias internacionales, porque tampoco hay mucho formulario de recogida de datos que te informe de que hay transferencias internacionales de datos. Luego los profesionales nos comemos la cabeza de cláusulas y todo eso, pero hay, si no recuerdo mal 5 reclamaciones no no hay más no entonces os acordáis el caso de Google Analytics no del extremo su NG entre comillas? No. Entonces, interpone un montón de reclamaciones a las autoridades de control con Google Analytics, la mayor parte de autoridades de control no ha multado en este caso, vale. Cuando se anula la prueba. Es decir, no solo hay una que ha multado. La primera que se que se resolvió no la segunda, en la de la primera, creo se tramita como transfronteriza. Entonces no participan varias autores de control, ahí no se multa ya dice. Bueno, pues lo normal es que el resto no nos multen, no, salvo una excepción, que aquí hubo 5 en España, la primera fue con la raíz, lo que hizo fue, había dejado de usar Google Analytics y luego la última ha sido contra la de entonces. La ley Dris tiene la condición, que es el procedimiento sancionador más extraño desde que tenemos el Reglamento General de Protección de Datos, porque es un procedimiento sancionador. Yo me lo he leído varias veces a, si digo a ver si soy yo que estoy equivocado, pero creo que no les pueden innovar y a veces hay acuerdo. Inicio, hay propuesta de resolución, hay resolución. Se determina que se ha incumplido un artículo por realizar la transferencia internacional, pero no hay nada, no hay, no hay multa, pero tampoco hay apercibimiento. Lo único que pone es que se suspenda la transferencia internacional. Es una cosa bastante extraña, pero puede ser como otra forma de actuar. Probablemente para ordenar la suspensión no hubiese sido necesario tramitar el acuerdo de inicio, la propuesta de resolución y la resolución y luego ya bueno, ya para para terminar. Bueno, él las reclamaciones de derechos. Aquí tenemos según el Reglamento, una de las poderes es ordenar la responsable que se a las solicitudes. No? Esto yo creo en una crítica totalmente constructiva. Creo que se ha entendido demasiado literal. No? Entonces, en las resoluciones de este tipo lo que nos encontramos es ordenando que se atienda en sentido positivo o en sentido negativo, y yo creo que no debería ser así; es decir, si una persona ejercita el derecho de acceso y no se le ha contestado, lo que no puede ser es que interponga una reclamación para que al final se le diga al responsable, atiende al derecho, en sentido positivo o en sentido negativo, y yo personalmente no lo entiendo. Yo creo que hay, tendría que resolverse, atienda, conteste el derecho de acceso, cuando además todos los derechos están en positivo, salvo excepciones. De hecho, si nos encontramos con el olvido, en cambio ahí sí hay un pronunciamiento con el olvido no hay ni esa diferencia. Yo no consigo entenderla. Luego está pasando otra cosa. Como dije al principio, no hay reclamaciones. El procedimiento de derecho no existe en otro país. No. Si hay una reclamación de derechos transfronteriza, puede ocurrir que, caiga o no, la probabilidad sube, con lo cual, si el local, atienda, hay alguna excepción en que si se ha multado, pero la regla general es responda al derecho a 10 días lo recordaba un mes y, como digo, hay alguna multa, pero sí es transfronterizo. Normalmente se ha acabado tramitando porque, claro, los otros países dicen Bueno esto que es desconocen todo este sistema y luego el. El reglamento también contempla la posibilidad de que la autoridad de control pueda ordenar la rectificación, supresión o la notificación de más. Esto ocurre, por ejemplo, ordenar la supresión. En el caso de Mercadona se prohíbe el tratamiento de datos, pero también sé que se suprima toda la que se había recabado; ahí los datos de lo de los usuarios o en el caso de Isfas, lo que pasa que yo creo que hay en esa orden de la rectificación o supresión, debería estar todos los derechos, no solo los que aparecen ahí y, por último, para terminar yo siempre suelo récord. Bueno, no lo he traído aquí pero yo siempre suelo recomendar para acercarse un poco a las resoluciones de la agencia. Siempre. Recomiendo unas resoluciones del del año 2020, creo que son, son muy sencillitas, son 7 hojas, son sobre unas webs de cerrajeros, porque ahí nos encontramos que en una se apercibe, en otra se multa y en otras archiva, con lo cual tiene los 3 tipos de resoluciones típicas o bueno para acercar un poco y son todos, y ojo si se leen de forma muy sencilla y luego está esta que fue en su día bastante llamativa, porque la multa fue bueno, sumando todo, de 8 a 8.000.000 de euros en su día. Su recorrido en el caso de la agencia Qué es bueno contra la entidad más multada desde que empezó el reglamento, que se Vodafon, en la cual a veces habría que aplicarla, la reincidencia no el esto es una campaña de bueno, de publicidad bestial. Mandaron 20.000.000 de correos electrónicos, se meses llamadas. Pero lo que tiene esta este procedimiento es que digamos se ve las 3, las 3 vertientes que tiene sancionador a la agencia. Multa por incumplimiento del Reglamento General de Protección de Datos, multa por incumplimiento de la Ley de servicios de la sociedad de información y también por la Ley General de Telecomunicaciones, por lo cual están ahí digamos los 3, los los los 3 metidos, vale? Una de la multa del Reglamento por hacer una transferencia internacional. Es otro de los casos y bueno, por mi parte, pues nada más, y cualquier cuestión, pues trataré de responder, pues es el momento para que podáis intervenir quien lo desea. Yo tengo varias preguntas preparadas, pero preferiría que puede participar activamente que lo deseen. Hay una palabra perdida. Gracias. Mi pregunta es qué vía hace poco hace 2 meses o así sale una sanción de la agencia en la que, para calcular la cuantía, no se utilizaba el volumen de negocio de una empresa, sino del grupo de empresas. Vi que la agencia ha hecho eso en 3 ocasiones creo que no 1.020, o así que una de ellas fue Orán y he leído que hay mucha gente que piensa que es por la definición que se hace de empresa, en el EGM de, pero quería preguntar cuál es vuestra opinión, si eso va a ser un nuevo criterio sobre si es una excepción o eso está eso está metido en algunos de los documentos que he mostrado antes. Por eso comenté que a esos documentos no parece que son buenos realmente. Su su trabajo en inglés son Guendulain, quepan rodante, parecen guías, pero son, está en un lado el exhorto documento. Muy brevemente el el reglamento dice que en caso de la duda se impondrá la sanción mayor y sé que el reglamento quiere potenciarse asimismo su capacidad sancionadora. Es curioso. Aquí hay un ruego, por favor, lo que me parece muy interesante, la cuestión relativa, que ya la ha planteado en vuestra intervención inicial, a qué papel deben tener estas, está aquí a estos documentos interpretativos que no tienen carácter normativo, y es una cuestión que se hiciera también con el tema de la biometría, si estamos, no ya habilitando el ejercicio de las potestades de no paralizar un tratamiento, etcétera, sino imponiendo una sanción muy discutible que el hecho de completar el principio de tipicidad, no la norma prohibida con este tipo de herramientas de soplo puedan tener un efecto jurídico tan contundente, porque quizá ahí lo que habría que plantearlo, saldría de control es que hubiese un procedimiento para la elaboración de esta guía de seguridad a participar donde las entidades del sector pudiera hacer alegaciones, y eso algunas tienen nombre al algunas del Comité Europeo de Protección de Datos y se han sometido a información pública. Algunas sí la de la que comenté yo de las de las criterios de las multas y alguna más, pero otras no. De hecho, hay alguna que al haber a ver si la de haberse me acuerdo la del nos decía por una guía de la agencia o ya 1 no existía por una vía de la agencia o unas directrices del grupo del artículo 29. Te pone que hay que informar si no hay transferencias internacionales de datos. Eso no lo ponen en ningún sitio. Entonces a veces tipificando ex novo, no una conducta no prohibida por una norma clara a veces la interpretación es tal. Es que a ver, yo creo que a ver yo yo creo que hay que diferenciar. No es cierto que las la López de permite hacer circulares como ocurrió con la de La 2, cuando el artículo de los partidos políticos y demás entonces hay que ver ahí hasta dónde se puede. Ese es el debate para que galeón hasta dónde se puede llegar a acordar los de la Instrucción, de videovigilancia famosa, lo que hace la explosión de videovigilancia famosa. Bueno, hubo 13, instrucciones de videovigilancia, no una de la agencia española, otra de la Autoridad Catalana de Protección de Datos otra vez la Agencia de Protección de Datos de la Comunidad Madrid. Porque no había más autoridades de control autonómicas, no habría habido más, no? Pero lo que hace la claro, visto ahora al pasado no lo que hace la instrucción de videovigilancia en su día es, entre comillas, legaliza las cámaras Por qué no? En el donde tenía que entrar, que era esto, proporciona lo necesario. No entra, era lo primero que habría que ver. Oiga, esto usted va a poner una cámara tipo porque al final también es una industria. Entonces hay que ver yo, yo creo, por ejemplo, cuando estamos hablando de guías, yo creo que la que están para ayudar, no la que ya es un poco sacarlo, que haya un ámbito específico, lo que se haya habido en informes, alguna resolución, y además, lo hagan, pero ensamblar todo, y hace un documento para un determinado sector que les alguna cosa más, pero ahí ya que da para hablar de la guía de buenas era para para meter, a ver si eso es ese documento, esa decisión formalizada de la agencia que se publica oficialmente, claro, puede impugnar la verdad. Le llegará cuando yo he dicho con todo el cariño del mundo yo lo había de biometría. Pues no, primero no comparto el criterio, vale? Sí si el si nos ponemos el haber. El el artículo 9 del reglamento no está desarrollado en España. Si yo cojo la ley, yo cojo los artículos. Si yo hago la misma interpretación que hay en esa guía la meta en el ámbito sanitario, porque la disposición adicional decimoséptima de ganar sea, se hizo por si yo cojo las letras. G ya se me parece que son lo que pone ahí y empieza a compararlo con las leyes españolas, a ver qué hemos estado, con una pandemia, la parte protección de datos, basándonos en una ley del año 86, que no había todavía. Entonces, si yo me voy a interpretación de más hicimos entonces. Bueno, pues aplicarlo también al ámbito sanitario, no te quede solo en el ámbito de la, y luego también la biometría. Me parece que no es todo lo mismo. Es decir, no es lo mismo un control de fichaje que aquí digamos será un tratamiento tradicional, por llamarlo de alguna forma al a sitios donde a otro tipo de uso de bien y por el de Mercadona probablemente, no fuese necesario. Pero luego se nos ha olvidado que, por ejemplo, hay determinados sitios en los que si es necesario intercambio métrica que puede ser en la caja fuerte de un banco, a lo mejor estoy hablando exactamente o por ejemplo en una central nuclear o en cosas de ese tipo, porque además es un ejemplo muy extremos y habrá también lugares intermedios, también es necesario, no Sí? Sí? Pero es que la guía lo que hace es que mezcla los 2 Sí, sí y luego el tipo de evento que tienen lugar, luego contestaré en la réplica. Es que merecen más las resoluciones sobre biometría, antes de la guía, salvo una, no se mete en la legitimación, se mete en la evaluación de impacto y vamos a ver si llueve. Voy hace una evaluación de impacto, que tiene legitimación porque acabó la evaluación de la evaluación de impacto para ver si hay algo menos, ha sido invasivo, no, y luego luego hay otra parte que es lo del tema menos invasivo, es que siempre va a haber algo menos invasivo, no se hay que mirar también en términos en otros, digamos, en otros términos. Había una palabra pedida al saldo. Vamos a coger otro micro, a verse un. Muchas gracias por la presentación. Es muy interesante. Me parece haciendo un comentario muy general que hay un poco de conflicto entre la miera. Era España. Y eso la Administración es poder estar Sánchez en todas ellas, de la Autoritat de Protección de hachís en España que como dicho, es una de las pocas que no tiene en relación al sector público. Yo creo que eso actitud digamos de leyes externas y también creo de algunos órganos nacionales de considerar la relación entre el estatuto nacional en la Unión Europea de una manera muy particular, donde la potestad se dicen de mucho. Pero tenemos que tener tener en cuenta unas cosas. La primera, otra protección, bordo de la ley, directrices que has proporcionado. Es verdad que son directrices directrices, pero es verdad que bajo el artículo 60 del Reglamento, pero pidiendo son voz, tiene que decidir cómo armonizar en caso de conflictos en sanciones muy grandes caso de, digamos, impacto transfronterizo de algunas l'activitat como caso de méritos, de fe y todo, digamos, el caso es más importante y necesario. Lo son, es vinculante, es vinculante también por la parte sancionadora y también aplicando el criterio de la línea que si la misma. Así que no es solamente solamente una directrices porque también tiene aplicación en un poder vinculante del agradecimiento personal por más importante, el principio general miembro es que el derecho nacional tiene que ser interpretado a la luz. En cuenta las directrices que hay, porque está empoderada por hacer eso bajo el Reglamento de Protección de Datos, así que me padre, padre, padre, sea un modo de la industria el valor de estas directrices diseñadas y son solo directrices, pero en España autoritat? Si estamos en la Unión Europea, tenemos que tener en cuenta, es potestad, están limitada, limitadas esto lo he muchas otras autoridades aplicando estas directrices en sus decisiones, y eso. Sanción. 2 que veamos Por qué eso se traduce en el hecho que de facto la autoridad administrativa pueden no considerar cumplimiento efectivo con la Ley de Protección de Datos Por qué la presión mucho, mucho reducida digamos, y eso me parece problemático, aún no ha pasado, pero podría recurrir enfrente para la autoridad a la autora, Aita de la Corte Europea del derecho humanos, bajo el Consejo de Europa por falta de protección por España, de la, de la protección del derecho a la privacidad, entendido donde datos los Por qué la falta de una sanción efectiva en el sector público? Ha habido un siglo protección efectiva, de un derecho fundamental, de que esta proteína, y esto también bajo la Carta de los Derechos Fundamentales del Consejo de Europa y España, es parte del Consejo de Europa. Así parece que no podemos solucionar el marco del problema solo mirando de España, parte de un marco europeo Unión Europea, Consejo de Europa que afecta el Poder Legislativo y la manera de entender el derecho, así que lo veo bastante crítico, y espero que España poco se considera este marco más amplio. Gracias. Había por aquí otra intervención. Muchas gracias a los ponentes. Yo quería preguntarles por una reflexión. El doctor Corral ha comentado una aproximación a diversos principios, régimen, régimen sancionador, y lo sabe. Siempre ha hecho un ejemplo. Al final, esa cerrajería diversa, reclamación entre un apercibimiento archivo sancionó. Yo quiero preguntar, el encaje que tendría esta situación en la que una conducta idéntica tiene una respuesta jurídica distinta por parte de la de control. Si eso encajaría con el principio de igualdad ante la ley, porque si si la conducta es sancionable Por qué sanciones una vez sí y otras veces no te hace ni siquiera admite la reclamación directamente, no admite esa proclamación in itinere extensiva? Del procedimiento? Yo quiero preguntarle sobre el encaje que tiene respecto al principio adecuada. Ante la ley de esas respuestas que dará lectura de control. Vamos a dar la palabra y hacemos una segunda tanda de respuestas. Buenos días. Mi pregunta también y va en relación a la que acaban de hacer, porque en España tenemos dictamen bueno a la la, la agencia española y luego las distintas autoridades de control según la comunidad autónoma. Bueno, pues, por ejemplo, el Consejo de Transparencia hay Protección de Datos de Andalucía, Andalucía, montón de apercibimientos, y mientras a los ayuntamientos por no por no dar por no avisar de que los ayuntamientos tengan, o sea, tienen a mejor, hay ayuntamientos que han sido requeridos, 3 o 4 veces, porque no tienen esa figura que tienen obligación de tener ya desde hace 6 años y contestación entre ayuntamientos, que me da igual quién ni voy a contestar, porque no me pasa nada. Eso por un lado. Sí sí luego la autoridad vasca, por ejemplo, de protección de datos, es su vez restrictiva y su vez exigente, a la hora de sancionar por qué otro ayuntamiento ayuntamiento que suelen cumplir con la protección de datos. Al final es una normativa que también. Si nos juntamos con el esquema nacional de seguridad, el riesgo 0 no existe en la propia normativa. Lo indica, o sea, por más que duden gas, analizarlo. Todo siempre hay cosas que se van a escapar porque es imposible, pues este ayuntamiento en un Pleno que cuando van a publicarlo siempre en su página web, se les ha al anonimizarse, se saltó el nombre de un de un ciudadano, y ese ciudadano denunció todos los nombres, están anonimizados menos -1, claramente se veía que era un error, porque el documento estaba anonimizado, se sancionó a ese ayuntamiento. Bueno, ya no se sanciona, se apercibió a ese ayuntamiento. La agencia, por ejemplo, yo he buscado resolución, y hay pocas, pocas 2 apercibimientos, a los ayuntamientos, mientras en general, por no nombrar al debe de poner nota. Por ejemplo, no veo que hay más, es algo que el Consejo de Transparencia Andalucía, salvo que hace mucho más que la Agencia Española de Protección de Datos a la hora de percibir, que no es algo en lo que esté centrado tanto, porque hay ayuntamientos que depende de la parte de España, sí que son más apercibido; por ejemplo. La Comunidad de Madrid ya lo mejor aquí que en Murcia no hay tanto ayuntamiento que falta mucho de pedir, mucho debe de hace 6 años y yo no he visto ninguna, ningún apercibimiento por parte o notificación por parte de la agencia de estos ayuntamientos. Bueno, muchas muchas preguntas, no, vas a hacer una primera ronda de la visión de parecer, y luego porque si no van a ser demasiado, quiero empezar a intervenir, por favor. Pues muy brevemente, primero, al al profesor mantener o pues sin duda estoy de acuerdo con lo que dice y que agradezco esa esa perspectiva que significa no, al final quizá perdemos la visión europea, metiéndonos en el derecho nacional lo demás, que yo también muchas veces me pongo quizá por mi yo antes de académico profesor, fui una temporada abogado y me pongo muchas veces en la piel del abogado, y digo como como recurriría. Esto no transaccional me salen, ahí las me sale aquí la vena la pena recurrente de recurrir valla y veo y veo esas esas posibilidades frente a tribunales españoles, pero sin duda tiene, tienes toda la razón y hay que ampliar esa esa visión y dejarnos llevar un poco por hora. Por eso ese viento no, porque al final es una derecho fundamental, importantísimo, y hay que hay que hacerlo, o sea que muchísimas gracias y sin duda de acuerdo también con que aquí un poco hay que hay, que ahí yo creo que imponer multas administrativas a las alas a las administraciones públicas también y ha sacado usted una cuestión que a mí me parece importantísima, que no se ha analizado suficiente y yo estoy el tema de la culpabilidad van a cultivar de la culpabilidad. El derecho sancionador concreto del derecho sancionador administrativo a mí me preocupa desde hace muchísimo tiempo Qué es esto de la culpabilidad? En el derecho? Sanciona simple infracción? Parece que sí sin plena observancia, pero si me voy al a la Ley de Procedimiento Administrativo, de la Ley de Régimen Jurídico del Sector Público, me exige dolo o negligencia. No, simple observa. Entonces yo es verdad, pero yo tampoco lo lo consigo. Vea a eso de que por error merece un nombre, sino minimizar y de repente le impongan una procedimiento. En este caso no tiene más, pero ahí hay una cuestión de fondo enorme, donde yo sé que esto ya es más de principio general, de derecho sancionador y tal, pero me preocupa en relación a lo que a lo que usted decía, pues al final hay el procedimiento. Los procedimientos transfronterizos intentan, yo creo, si no me equivoco, equilibrar un poco y a intentar que es, pues con la participación de las autoridades interesadas las autoridades principales, que de alguna forma armonizar y que haya una igualdad, que no haya discriminación en cuanto perdón a las a las infracciones que se puedan imponer y en cuanto al tratamiento. Pero pero vamos, es esa es mi opinión, es que muchísimas, muchísimas gracias. Voy al revés, a ver. Sobre lo del DPD. La primera reclamación que recibió la agencia sobre no nombra un DPD. Fue contra contra Murcia? Me parece, por luego, parece ser que era la de la Consejería de Educación y demás que las que ha tramitado yo te hablo de las de la agencia, porque creo que el Consejo de Transparencia lo que ha hecho es un plan de inspección me parece o algo exigiendo no sé seguro vale la agencia tramita contra administraciones varias vale, pero creo que deben ser unos 15 por ahí, pero si te fijas probablemente no lo sé, lo intuyo, pero probablemente esos 5 que comentase de la Comunidad de Madrid, este probablemente el reclamante sea el mismo, vale, algunos tienen incluso el número es correlativo, vale y probablemente, pero me puedo equivocar. Haya sido una consultora que haya ofrecido vez de. No me lo contratas. Pongo una reclamación vale de estas a veces se hubo ayer lo comentábamos hace un par de años en a finales de julio se haría una reclamación. Estarán todas iguales, una página web, pequeñas pequeños, comercios, política de privacidad y con todas, como me parece, antigua. Esto tiene, pero lo intuyo que no. No, no lo sé con seguridad. Sobre el tema del DPD yo creo que también lo que hay que hacer es potenciar el mensaje, o sea, yo, esto de que hay que nombrar un DPD en la Administración, hay que decir para que no y luego otra cosa. El nombramiento es que él tiene que tiene que haber un DPD pero lo que tiene que haber es alguien que se encargue de que de cumplir con esto no, porque la figura son diferentes. Sobre el tema de las cerrajería vas a ver, si no recuerdo mal, una era de archivo, pero la archivaron porque cuando recibieron el requerimiento de la agencia tenían contratado allí una persona o contratar a una persona. Les adecuó la política de privacidad de la de la página web, vale Esto era la reclamación. Vienen a través del Instituto de Consumo del Ayuntamiento de Madrid, a veces hay comunidades autónomas que se ponen a ver la página web de los de empresas y no mandan a las autoridades de control. Entonces, como lo adecuaron se archivó y luego, si es cierto que la mayoría se perciben, pero hay una, que se multa con 1.500 euros y ahí es cierto lo que tú comentas, no le quedaría pues lo que pasa, Que a ver cómo lo alega. Porque él no sabe la resolución de los otros salvo que en el plazo de poder resolver se hubiese publicado la resolución. Pero entre esa y el resto que se percibe hay una diferencia. Se le multa por porque no contestó sea, se le multa, porque por incumplir el. Qué no tiene la política de privacidad? Pero como las otras habían contestado, algo se les apercibe y a esta, como no había hecho absolutamente nada, se le multa va. Yo creo que, aunque conteste o no, conteste, no verse la diferencia, porque los hechos son los mismos y luego sobre lo que comentaban del Comité Europeo de Protección de Datos , yo creo que hay que diferenciar las directrices, es decir, no todas son iguales las las que en su día adoptó el Grupo del artículo 29 sobre los criterios de graduación, explicando cómo aplicar cada criterio de graduación. En qué consiste cada criterio grabación me parecen bien las nuevas, creando todo un sistema en 6 pasos diferentes que no sabe de dónde salen. Me parece que ahí se están excediendo, porque están creando todo un sistema que no aparece en ningún sitio, porque además hacen clasificar el a la clasifican en función de la gravedad tanto porcentuales en relación al la cuantía económica, yo creo que eso es excesivo. Hay otra que, bueno, es, hay que tener mucha moral para para leérsela, no por, pero es una cuestión, no me parece mal, pero es bastante entre comillas, infumable. No es una que cuando es el cuando no se ponen las autoridades de control, de acuerdo en el procedimiento transfronterizo pueden presentar objeciones pertinentes y adecuadas, no. Entonces, estas directrices analizan que se entiende con una objeción como pertinente y adecuada, porque puede ser pertinente y no adecuada, pero puede ser adecuada y no pertinente. Entonces Es esto un galimatías? Aquello? Bueno, eso es una relación entre ellos a la hora del propio procedimiento, entre ellos, por bueno, no me parece mal, pero creo que hay que diferenciar cada una de ellas y ver hasta cierto que tiene el comité funciones, pero hay que ver hasta qué punto puede puede llegar que a lo mejor tenemos que plantearnos si hay cuestiones que deberían estar en otra norma. Sobre el tema de la igualdad, que ha suscitado la intervención, llama manera. Cada autoridad ha o tienen autonomía para hacerlo. Por eso yo creo que es especialmente importante reforzar los mecanismos de cooperación. En qué sentido? Por ejemplo, a la hora de hacer un una guía práctica del sector público, que no solamente lo haga una agencia por su cuenta, sino que haya mecanismos que permitan de alguna manera sentarse y poner encima de la mesa criterios compartidos, no hasta donde se pueda ser interesante. De todas maneras, a mí lo que me preocupa al sector público especialmente no es tanto que haya multas o no, porque usted es un deal de ayer, lo tuvimos también quién paga la multa, al final va al presupuesto, lo van a construir impuesto. Creo que el problema es que no hay incentivo personal para la autoridad o el titular del órgano administrativo. No hay una autoridad para que funcione, porque a veces le echamos el muerto al funcionario público claro, al funcionario público. De hecho, la autoridad vasca en su ley en la ley que la regula, tiene un régimen muy estricto de responsabilidad disciplinaria, pero la mayor parte de las ocasiones no es que el funcionario, como trabaja el personal al servicio de la Administración tenga una decisión, sino que a lo mejor la la falta de adaptación al esquema, senador, seguridad, porque hay un equipo de Gobierno que no tienen su prioridad cuando realmente yo creo que el problema es el siguiente. Si estamos admitiendo la utilización de datos personales por parte de una entidad pública en ejercicio, la misión de servicio público, ahí el ciudadano no se puede negar a que también esa persona persona, pero sí que tiene una expectativa legítima que se va a cumplir con la norma, y eso puede pasar por nombramiento de un DPD que participe adecuadamente en toda la toma de decisiones, etcétera, o que se adopten la medida de seguridad. Yo sí que creo que hay un derecho subjetivo, más allá de la condición de reglamento denunciante, que esto daría para un seminario monográfico a que la Administración pública. Ataques, dato personal conforme a la regla de juego. Eso no son todas la baraja, tiene muchas cartas, hay que cumplirlas toda. Entonces, en ese sentido creo que como reflexione, hay que regular y establecer mecanismos cautelares a veces que obliguen al responsable de tratamiento a cumplir, por ejemplo, todas las antes de la prohibición del tratamiento. Es un castigo, es una sanción, pero yo, después de haber leído en numerosas ocasiones el marco normativo a partir del reglamento de la Ley Orgánica de 2018, no veo que haya medidas cautelares, como antes se contemplan, con la suficiente contundencia ante casos de incumplimiento flagrante. Voy a paralizar cautelarmente tratamiento y verá como entonces era la entidad pública. Sí tendrá un incentivo encubrían tener multas de 1.000 euros y lo solucione. Es un debate que no denominaría y sobre, y creo que si prohibiesen la entrada a la piscina en verano también. La del grupo de empresas que planteaba sana, yo creo que hay un elemento de principio de culpabilidad muy en el fondo, no como si el grupo de empresas son responsables el grupo, porque va a haber una cesión interna de información de una empresa, entonces sí que se puede ser, sea responsable totalmente y en ese caso se le puede sancionar. Ahora bien, solamente porque sea un grupo de empresas hacer el cálculo. Yo estaba leyendo ahora mismo sobre la marcha reglamento y no le veo, no conozco el caso concreto e habría que demostrar que el beneficio claro del grupo empresarial, porque el tratamiento en definitiva también de alguna manera obedece a esa lógica del grupo empresarial, porque si no, quizá el principio de culpabilidad y la persona jurídica a cada una de las empresas sería un límite de difícil de superar. Pero bueno, no conozco el caso, pero luego, si quiere me lo explica, así lo haremos. Vemos Bueno, David, no sé si había. Querías. Muy buenas, en primer lugar, felicitar a los 2 ponentes que han estado magistral, ello hay que que lo está en julio en su valoración en mi pregunta era pues eso, buscando la opinión de los ponentes sobre la situación de los corresponsables en el tratamiento y haciéndome eco de la propia intervención que ha hecho Alejandro, es sabiendo que el Tribunal de Justicia de la Unión Europea en la sentencia reciente de diciembre de este pasado 1.023 con ocasión de la obligación ETA -COVID en Lituania pues se fija una corresponsabilidad entre la Administración y la empresa desarrollada. De ese eso, bueno, pues, al hilo de ese diferente tratamiento sancionador que esa misma figura tendría en España; cuando la Administración local encargue el desarrollo de una aplicación o de los sistema informático, a través de los cuales se reprime sancione autobús matizadamente etcétera en esa externalización pues podrían obtener que un ayuntamiento se ha declarado corresponsable, junto con la empresa es arrolladora de ese software, esa contratista y entonces al contratista, si le multamos económicamente; mientras que a la Administración solamente podría percibirse entonces más que una cuestión de diferente tratamiento Pues ahí habría incluso una cuestión Constitucional. No sé si esa valoración se podría compartir. Lo ponente. Yo totalmente, creo, pienso exactamente lo mismo, hay una clara no se llama discriminación, porque frente a una misma sea declarados como corresponsable, frente a una misma hecho y con una ponderación, etcétera, pero lo comparto totalmente esa expresión por mi parte. Yo también es que la situación en la entonces. Algunas de las mesas Ricard, Martínez querría hablar adelante. Rigor claro es que estáis teniendo una España que se me escucha bien mucha bien sí están extendiendo un debate particularmente interesante que avanzan cuestiones que yo después usted tendrá como tesis que es la de una posición constitucionalmente de las autoridades de protección de datos, como son superregulador. Segundo, da igual lo que digan reglamento cualquier experto en protección de datos que está en pie de obra sabe que las directrices de la ley pero también los informes, resoluciones señorías de la Agencia Española de Protección de Datos que están operando como se ha inflado, y como verdadera jurisprudencia en la materia, sobre todo cuando el régimen sancionador apuesta por una vuelta baja y nunca se recurre ante un tribunal anteriormente hablando, están fijando la posición normativa. Es más, os animo a que veáis la sanción que se impuso la Liga de Fútbol Profesional, donde se cita una nota al pie en una nota técnica de la agencia como criterio para satisfacer al deber de información. Por tanto, hay que tener cuidado porque una cosa es nuestra interpretación del derecho y otras lo que ha estado poniendo la realidad. Lo que está ocurriendo, la realidad es que en muchas autoridades, además que no abran procesos de consulta ni diálogo con los sectores, están imponiendo criterios, lo haremos después. Se incumplirán la España de acuerdo con la ayuda de emergencia en todas sus dimensiones. Segundo nivel Qué hay que apuntar? El artículo 76 permita la autoridad? Lo permite, ha cambiado un verbo y ahora ponen, propondrá cuántos expedientes disciplinarios? Ha abierto la autoridad de protección de datos a los funcionarios responsables o ha solicitado su apertura? Por qué se cambió? El verbo se cambian, podrá proponer, a propondrá a un futuro imperativo. Al final lo que es cuál sea un funcionario público es que le abra un expediente sancionador y es evidente que cuando con manifiesta desconocimiento o incumplimiento de la materia no se abra un expediente sancionador, tenemos un problema serio del mismo modo que tenemos un problema serio. Cuando las administraciones públicas están contratando delegados de protección de datos por contratos menores, incumpliendo manifiestamente la regulación de la región, que establece que al delegado de protección de datos se le dotará de medios suficientes, Cuántos estudios ha realizado la autoridad? Para ver cuántos de esos delegados de protección, de datos de Administración pública están con un contrato menor, literalmente literalmente. Se subordinan las licitaciones, obtener la certificación de privacidad de la agencia, que, por cierto, es una certificación de muy baja calidad para atender la complejidad de una Administración pública, son 2 problemas significativos que afectan a esta posición. También nos enfrentamos los denunciantes y lo digo por experiencia, la doctrina de interés legítimo del denunciante, que ocurre cuando la agencia española dicta una resolución que manifiestamente desproteger el derecho fundamental del denunciante, que los tribunales sistemáticamente rechazar el recurso y se han dictado resoluciones de este tipo. Por tanto, es la situación de una posición del regulador particularmente significativa. Hay una cosa que no comparto. A mi buen amigo caía la disposición adicional decimoséptima, los que no sea eficiente es que no lo se ha aplicado. Sin embargo, la Agencia Española de Protección de Datos ha dado un premio de buenas prácticas a la Fundación 29-M por desarrollar un modelo de cumplimiento en esta materia. Por cierto, dónde estaban las autoridades de protección de datos cuando se permitía utilizar datos sin consentimiento, en el marco de una pandemia que incluía una disposición adicional decimoséptima, recuperando la de la LOPD? En parte, y atendiendo a lo que las asociaciones de expertos en materia de salud pública habían solicitado la cuestión. Todas estas cuestiones cuando sean hago una afirmación de principio particularmente rigurosa, y es que la posición si hicieran de auctoritas y papeletas que ocupa el regulador en protección de datos es bastante sui géneris y produce ciertos efectos en el ecosistema, pero de eso ya hablaré yo después con un poco más de detalle. Son temas todos ellos habéis acordado que a mí me parecen particularmente preocupantes compartir con Javier y lo compartieron pueblo y con más de una ocasión que me parece que un régimen sancionador económico sería altamente disuasorio. Para las administraciones públicas españolas lo que ocurre es que debería venir acompañado de la correspondiente responsabilidad disciplinaria o en su caso responsabilidad política no existe, no existe en sentido a ninguno al cumplimiento normativo en esta materia y, como ha escrito en una publicación de la universidad. Eso significa que la transformación digital de las administraciones públicas y sus asalto a la inteligencia artificial, a día de hoy es inviable, porque cara a extender la calidad de los datos de la confiabilidad de las condiciones de cumplimiento normativo adecuados para cumplir, por ejemplo, el requisito de gobernanza de datos para sistemas de alto riesgo del artículo 10. De esta es la cruda realidad, mi opinión.

Propietarios

UMtv (Universidad de Murcia)

Publicadores

Julian Valero Torrijos

Comentarios

Nuevo comentario

Serie: Las competencias de las autoridades de control en materia de protección de datos desde la perspectiva de la regulación europea (+información)

Descripción

10.00 h. La potestad sancionadora de las autoridades de control seis años después de la entrada en vigor del RGPD
• Alejandro Corral Sastre. Profesor de Derecho Administrativo. Universidad Complutense de Madrid
• Javier Sempere Samaniego. Director de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (CGPJ)
11:45 h. El alcance de las competencias de las autoridades de control en el contexto de la nueva regulación europea sobre Inteligencia Artificial
• Ricard Martínez Martínez. Profesor de Derecho Constitucional. Universidad de Valencia. Director de la Cátedra Microsoft sobre “Privacidad y Transformación Digital”
• Alessandro Mantelero. Profesor de Derecho Privado y de Derecho y Tecnología en la Universidad Politécnica de Turín. Director de la Cátedra Jean Monnet sobre “Derecho y Sociedades Digitales Mediterráneas”
13.15 h. Conclusiones