Nos encontramos ante un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada. Este organismo actúa con independencia de las administraciones públicas en el ejercicio de las funciones que le han sido encomendadas y que son las siguientes:
. Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación.
. Dictar las instrucciones precisas para adecuar los tratamientos a los principios de la Ley de Protección de Datos (LPD).
. Atender las peticiones y reclamaciones formuladas por las personas afectadas.
. Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
. Requerir a los responsables y los encargados de los tratamientos la adopción de las medidas necesarias para la adecuación del tratamiento de datos a la Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
. Ejercer la potestad sancionadora.
Infracciones y sanciones en materia de protección de datos
Para proteger los derechos de las personas en cuanto a la protección de sus datos se han descrito una serie de infracciones y establecido unas sanciones. Las infracciones leves, sancionadas con multa de 601 euros a 60.101,21 euros, son:
. No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.
. No proporcionar la información que solicite la Agencia Española de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos.
. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción grave.
. Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información legal necesaria.
. Incumplir el deber de secreto, salvo que constituya infracción grave.
Se consideran infracciones graves, sancionadas con multa de 60.101,21 euros a 300.506,05 euros:
. Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el Boletín Oficial del Estado o diario oficial correspondiente.
. Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.
. Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la LPD o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.
. El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.
. Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la Ley ampara.
. La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.
. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
. No remitir a la Agencia Española de Protección de Datos las notificaciones previstas en la LPD o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquel a tales efectos.
Son infracciones muy graves, sancionadas con multa de 300.506,05 euros a 601.012,10 euros:
. La recogida de datos en forma engañosa y fraudulenta.
. La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.
. Recabar y tratar los datos de carácter personal referidos a la ideología, religión o creencias cuando no medie el consentimiento expreso del afectado.
. No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia Española de Protección de Datos o por las personas titulares del derecho de acceso.
. Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.
. No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.
. No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero.