CARGANDO...
SP/DOCT/82724

Artículo Monográfico. Mayo 2019

Artículo 27. Tratamiento de datos relativos a infracciones y sanciones administrativas

Irene Martínez González. Áudea Seguridad de la Información
Gestión Documental
1. A los efectos del artículo 86 del Reglamento (UE) 2016/679, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:
a) Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.
b) Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.
2. Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.
3. Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
Comentario
Este precepto actualiza el art. 7.5 LOPD, en el que se establecían, dentro de la categoría de datos especialmente protegidos, los tratamientos de datos relativos a infracciones penales o administrativas, los cuales solo podrían ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras.
Por lo tanto, el tratamiento de estos datos quedaba limitado a las Administraciones Públicas en el ejercicio de las facultades que tengan conferidas, es decir, a aquellos casos en que el órgano responsable del tratamiento fuera responsable de la competencia que pudiera justificar el tratamiento y, exclusivamente, cuando así lo estableciera una norma con rango suficiente.
En consecuencia, es ilícito el tratamiento de las infracciones y sanciones administrativas por parte de entidades privadas u otros sujetos que no gocen de la condición de autoridad pública, entendiendo como tratamiento el recabar, publicar, almacenar y explotar de cualquier forma la información contenida en las posibles sanciones administrativas sin estar legitimado para ello.
Este punto ha sido discutido y tratado en diferentes resoluciones por parte de la Agencia Española de Protección de Datos y también de Juzgados y Tribunales, debido a lo que puede suponer para un particular y para su derecho a la protección de datos la publicación de actos administrativos que le incumben. De hecho,