TÍTULO VII
Infracciones y sanciones
Artículo 42. Responsables.
1. Los responsables de los ficheros estarán sujetos al régimen sancionador establecido en la presente Ley.
2. Cuando se trate de ficheros de los que sean responsables las Administraciones Públicas se estará, en
cuanto al procedimiento y a las sanciones, a lo dispuesto en el articulo 45, apartado 2.
Artículo 43. Tipos de infracciones.
1. Las infracciones se calificarán como leves, graves o muy graves.
2. Son infracciones leves:
a) No proceder, de oficio o a solicitud de las personas o instituciones, legalmente habilitadas para ello, a la
rectificacion o cancelación de los errores, lagunas o inexactitudes de carácter formal de los ficheros.
b) No cumplir las instrucciones dictadas por el Director de la Agencia de Protección de Datos, o no
proporcionar la información que éste solicite en relación a aspectos no sustantivos de la protección de datos.
c) No conservar actualizados los datos de carácter personal que se mantegan en ficheros automatizados.
d) CuaIquiera otra que afecte a cuestiones meramente formales o documentales y que no constituya infracción
grave o muy grave.
3. Son infracciones graves:
a) Proceder a la creación de ficheros automatizados de titularidad pública o iniciar la recogida de datos de
carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial
del Estado» o diario oficial correspondiente.
b) Proceder a la creación de ficheros automatizados de titularidad privada o iniciar la recogida de datos de
carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la
empresa o entidad.
c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas
afectadas, en los casos en que éste sea exigible, o sin proporcionarles la información que señala el artículo 5
dé la -presente Ley.
d) Tratar de forma automatizada os datos de carácter personal o usarlos posteriormente con conculación de
los principios y garantías establecidas en la presente Ley o con incumplimineto de los preceptosde protección
que impongan las disposicones reglametnarias de desarrollo, cuando no constituya una infracción muy grave.
e) El impedimento o la obstaculización del ejercicio del derecho de acceso y la negativa a facilitar la
información que sea solicitada.
f) Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los
mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley
ampara.
g) La vulneración del deber de guardar secreto, cuando no constituya infracción muy grave.
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las
debidas condiciones de seguridad que por vía reglamentaria, se determinen.
i) No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus
disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e
informaciones deba recibir o sean requeridos por aquél a tales efectos.
j) La obstrucción al ejercicio de la función inspectora.
4. Son infracciones muy graves:
a) La recogida de datos en forma engañosa y fraudulenta.
b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
c) Recabar y tratar de forma automatizada los datos de carácter personal a los que se refiere el apartado 2 del
artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar de forma automatizada los
datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido
expresamente o violentar la prohibición contenida en el apartado 4 del artículo 7.
d) No cesar en el uso ilegítimo de los tratamientos automatizados de datos de carácter personal cuando sea
requerido para ello por el Director de la Agencia de Protección de Datos o por las personas titulares del
derecho de acceso.
e) La transferencia, temporal o definitiva, de datos de carácter personal que hayan sido objeto de tratamiento
automatizado o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no
proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de
Datos.
f) Tratar de forma automatizada los datos de carácter personal de forma ¡legítima o con menosprecio de los
principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de
los derechos fundamentales.
g) La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los
apartados 2 y 3 del articulo 7.
Articulo 44. Tipos de sanciones.
1. Las infracciones leyes serán sancionadas con multa de 100.000 a 10.000.000 de pesetas.
2. Las infracciones graves serán sancionadas con multa de 10.000.001 pesetas a 50.000.000 de pesetas.
3. Las infracciones muy graves serán sancionadas con multa de 50.000.001 pesetas a 100.000.000 de pesetas.
4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al
volumen de los tratamientos efectuados, a los beneiicios obtenidos, al grado de intencionalidad y a la
reincidencia.
5. El Gobierno actualizará periódicamente la cuantía de las sanciones de acuerdo con las variaciones que
experimenten los índices de precios.
Artículo 45. Infracciones de las Administraciones Públicas.
1. Cuando las infracciones a que se refiere el artículo 43 fuesen cometidas en ficheros de los que sean
responsables las Administraciones Públicas, el Director de la Agencia de Protección de Datos dictará una
resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la
infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa
jerárquicamente y a los afectados si los hubiera.
2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarías, si
procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen
disciplinario de las Administraciones Públicas.
3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones
a que se refieren los apartados anteriores.
4. El Director de la Agencia comunicará al Pefensor del Pueblo las actuaciones que efectúe y las resoluciones
que dicte al amparo de los apartados anteriores.
Artículo 46. Prescripción.
1- Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves al año.
2. El plazo de prescripción comenzará a contarse desde el día en que la infracción se hubiera cometido.
3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador,
reanudándose el plazo de prescripción si el expediente sancionador estuviera paralizado durante más de seis
meses por causa no imputable al presunto infractor.
4. Las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves
a los dos años y las impuestas por faltas leves al año.
5. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquél en que
adquiera firmeza la resolución por la que se impone la sancion.
6. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de
ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no
imputable al infractor.
Artículo 47. Procedimiento sancionador.
1. Por vía reglamentaria se establecerá el procedimiento a seguir para la determinación de las infracciones y la
imposición de las sanciones a que hace referencia el presente Título.
2. Contra las resoluciones de la Agencia de Protección de Dat
os, u órgano correspondiente de la Comunidad
Autónoma, procederá recurso contencioso-administrativo.
Articulo 48. Potestad de inmovilización de ficheros
En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter
personal en que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los
ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la
Agencia de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los
responsables de ficheros automatizados de datos de carácter personal, tanto de titularidad pública como
privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido la
Agencia de Protección de Datos podrá, mediante resolución motivada, inmovilizar tales ficheros
automatizados a los solos efectos de restaurar los derechos de las personas afectadas.