TÍTULO V · Infracciones y sanciones
Artículo 18. Infracciones
1. Las infracciones de los preceptos del Reglamento (UE) 910/2014 y de esta Ley se clasifican en muy graves, graves y leves. 2. Son infracciones muy graves: b) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando ello afecte a la mayoría de los certificados cualificados expedidos en el año anterior al inicio del procedimiento sancionador o desde el inicio de la actividad del prestador si este periodo es menor. b) Actuar en el mercado como prestador cualificado de servicios de confianza, ofrecer servicios de confianza como cualificados o utilizar la etiqueta de confianza «UE» sin haber obtenido la cualificación de los citados servicios. c) En caso de que el prestador expida certificados electrónicos, almacenar o copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular. d) No proteger adecuadamente los datos de creación de firma, sello o autenticación de sitio web cuya gestión se le haya encomendado en la forma establecida en el artículo 9.1.b) de esta Ley. e) No registrar o conservar la información a la que se refiere el artículo 9.3.a) de esta Ley. f) El incumplimiento de la obligación de notificación de incidentes establecida en el artículo 19.2 del Reglamento (UE) 910/2014, en los términos previstos en el artículo 13 de esta Ley. g) En caso de prestadores cualificados de servicios de confianza, el incumplimiento de alguna de las obligaciones establecidas en los artículos 24.2, letras b), c), d), e), f), g), h), y k), 24.3 y 24.4 del Reglamento (UE) 910/2014, con las precisiones establecidas, en su caso, por esta Ley. h) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando no constituya infracción muy grave. i) La ausencia de adopción de medidas, o la adopción de medidas insuficientes, para la resolución de los incidentes de seguridad en los productos, redes y sistemas de información, en el plazo de diez días desde que aquellos se hubieren producido. j) El incumplimiento de las resoluciones dictadas por el Ministerio de Asuntos Económicos y Transformación Digital para requerir a un prestador de servicios de confianza que corrija cualquier incumplimiento de los requisitos establecidos en esta Ley y en el Reglamento (UE) 910/2014. k) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control, a partir del segundo requerimiento. l) No cumplir con las obligaciones de constatar la verdadera identidad del titular de un certificado electrónico y de conservar la documentación que la acredite, en caso de consignación de un pseudónimo. m) El incumplimiento por parte de los prestadores cualificados y no cualificados de servicios de confianza de la obligación establecida en el artículo 19.1 del Reglamento (UE) 910/2014 de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que presten. n) No extinguir la vigencia de los certificados electrónicos en los supuestos señalados en esta Ley. o) La prestación de servicios cualificados careciendo del correspondiente seguro obligatorio, en los términos previstos en el artículo 9.3.b) de esta Ley. b) No comunicar el inicio de actividad, su modificación o cese por los prestadores de servicios no cualificados en el plazo establecido en el artículo 12 de esta Ley. c) El incumplimiento por los prestadores cualificados de servicios de confianza de alguna de las obligaciones establecidas en el artículo 24.2, letras a) e i) del Reglamento (UE) 910/2014. d) El incumplimiento por los prestadores cualificados de servicios de confianza de su obligación de remitir un informe anual de actividad al Ministerio de Asuntos Económicos y Transformación Digital antes del 1 de febrero de cada año. e) El incumplimiento del deber de comunicación establecido en el artículo 9.3.c) de esta Ley. f) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control.
Artículo 19. Sanciones
1. Por la comisión de infracciones recogidas en el artículo anterior, se impondrán al infractor las siguientes sanciones: b) Por la comisión de infracciones graves, una multa por importe de 50.001 hasta 150.000 euros. c) Por la comisión de infracciones leves, una multa por importe de hasta 50.000 euros. b) La continuidad o persistencia en la conducta infractora. c) La naturaleza y cuantía de los perjuicios causados. d) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme en vía administrativa. e) El volumen de facturación del prestador responsable. f) El número de personas afectadas por la infracción. g) La gravedad del riesgo generado por la conducta. h) Las acciones realizadas por el prestador encaminadas a paliar los efectos o consecuencias de la infracción.
Artículo 19 bis. Apercibimiento
1. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el artículo anterior, podrán acordar no iniciar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable, a fin de que en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta ley. 2. Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
Artículo 20. Potestad sancionadora
1. La imposición de sanciones por el incumplimiento de lo previsto en esta ley corresponderá, en el caso de infracciones muy graves, a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, a la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial. 2. La potestad sancionadora regulada en esta ley se ejercerá de conformidad con lo establecido al respecto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en sus normas de desarrollo. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de iniciación. El plazo máximo de duración del procedimiento simplificado será de tres meses.
Disposición adicional primera. Fe pública y servicios electrónicos de confianza
Lo dispuesto en esta Ley no sustituye ni modifica las normas que regulan las funciones que corresponden a los funcionarios que tengan legalmente atribuida la facultad de dar fe en documentos en lo que se refiere al ámbito de sus competencias.
Disposición adicional segunda. Efectos jurídicos de los sistemas utilizados en las Administraciones públicas
Todos los sistemas de identificación, firma y sello electrónico previstos en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrán plenos efectos jurídicos.
Disposición adicional tercera. Documento Nacional de Identidad y sus certificados electrónicos
1. El Documento Nacional de Identidad electrónico es el Documento Nacional de Identidad que permite acreditar electrónicamente la identidad personal de su titular, en los términos establecidos en el artículo 8 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, así como la firma electrónica de documentos. 2. Todas las personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del Documento Nacional de Identidad para acreditar la identidad y los demás datos personales del titular que consten en el mismo, así como la identidad del firmante y la integridad de los documentos firmados con sus certificados electrónicos. 3. Los órganos competentes del Ministerio del Interior para la expedición del Documento Nacional de Identidad cumplirán las obligaciones que la presente Ley impone a los prestadores de servicios electrónicos de confianza que expidan certificados cualificados. 4. Sin perjuicio de la aplicación de la normativa vigente en materia del Documento Nacional de Identidad en todo aquello que se adecúe a sus características particulares, el Documento Nacional de Identidad se regirá por su normativa específica.
Disposición adicional cuarta. Secreto de la identidad de los miembros del Centro Nacional de Inteligencia
Lo dispuesto en los artículos 7 y 8 de esta Ley se entenderá sin perjuicio de lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, en relación con la obligación de guardar secreto sobre la identidad de sus miembros.
Disposición transitoria primera. Comunicación de actividad por prestadores de servicios no cualificados ya existentes
Los prestadores de servicios no cualificados que ya vinieran prestando servicios deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses a contar desde la entrada en vigor de esta Ley. Se exceptúan aquellos que hubieran comunicado los servicios prestados al Ministerio de Asuntos Económicos y Transformación Digital antes de la entrada en vigor de esta Ley.
Disposición transitoria segunda. Desarrollo reglamentario del Documento Nacional de Identidad
Hasta que se desarrolle reglamentariamente el Documento Nacional de Identidad, se mantendrá en vigor el Real Decreto 1553/2005, de 23 de diciembre, por el que se regula la expedición del Documento Nacional de Identidad y sus certificados de firma electrónica.
Disposición derogatoria
Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta Ley, y en particular: b) El artículo 25 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. c) La Orden del Ministerio de Fomento de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
Disposición final primera. Modificación de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información
Se modifica el apartado 1 del artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, que queda redactado como sigue: b) Consulta de sus datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los últimos tres años y el contrato suscrito, incluidas las condiciones generales si las hubiere. c) Presentación de quejas, incidencias, sugerencias y, en su caso, reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa. d) Ejercicio de sus derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.»
Disposición final segunda. Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil
Uno. Se modifica el apartado 3 del artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que queda redactado en los siguientes términos: Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 300 a 1200 euros.»
Disposición final tercera. Modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, se modifica en los siguientes términos: Los proveedores de servicios de intermediación que alojen o almacenen datos de usuarios a los que presten servicios de redes sociales o servicios de la sociedad de la información equivalentes deberán remitir a dichos usuarios, a su solicitud, los contenidos que les hubieran facilitado, sin impedir su transmisión posterior a otro proveedor. La remisión deberá efectuarse en un formato estructurado, de uso común y lectura mecánica. Asimismo, deberán transmitir dichos contenidos directamente a otro proveedor designado por el usuario, siempre que sea técnicamente posible, según prevé el artículo 95 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Para el cumplimiento de estas obligaciones será aplicable lo dispuesto en el artículo 12.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.» Las organizaciones y asociaciones que posean un interés legítimo de representación de usuarios profesionales o de los usuarios de sitios web corporativos, y que, cumpliendo con los requisitos del artículo 14.3 del Reglamento (UE) 2019/1150, hubieren solicitado al Ministerio de Asuntos Económicos y Transformación Digital su inclusión en la lista elaborada al efecto por la Comisión Europea, notificarán inmediatamente al citado Ministerio cualquier circunstancia que afecte a su entidad que derive en un incumplimiento sobrevenido de los mencionados requisitos.» k) El incumplimiento habitual de la obligación prevista en el artículo 12 ter. l) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación establecida en el apartado 5 del artículo 3 del Reglamento (UE) 2019/1150 en materia de visibilidad de la identidad del usuario profesional. m) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de cualquiera de las obligaciones en materia de restricción, suspensión y terminación del servicio establecidas en los apartados 1, 2 y 3 del artículo 4 del Reglamento (UE) 2019/1150. n) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea o proveedores de motores de búsqueda en línea de cualquiera de las obligaciones en materia de clasificación establecidas en el artículo 5 del Reglamento (UE) 2019/1150 que les resulten aplicables. o) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación de incluir en sus condiciones generales la información exigida en el artículo 6 del Reglamento (UE) 2019/1150 sobre los bienes y servicios auxiliares ofrecidos. p) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea o los proveedores de motores de búsqueda en línea de la obligación de incluir en sus condiciones generales la información exigida en los apartados 1 y 2, respectivamente, con las precisiones establecidas en el apartado 3, del artículo 7 del Reglamento (UE) 2019/1150, en materia de tratamiento diferenciado de bienes o servicios. q) El incumplimiento por parte de los proveedores de servicios de intermediación de la obligación establecida en la letra a) del artículo 8 del Reglamento (UE) 2019/1150, así como el incumplimiento habitual de las obligaciones contenidas en las letras b) y c) del citado precepto. r) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación de informar sobre el acceso a datos por parte de los usuarios profesionales establecida en el artículo 9 del Reglamento (UE) 2019/1150. s) El incumplimiento habitual por parte de los proveedores de servicios de intermediación en línea de la obligación de justificar las restricciones a la oferta de condiciones diferentes por otros medios prevista en el artículo 10 del Reglamento (UE) 2019/1150. t) El incumplimiento por parte de los proveedores de servicios de intermediación en línea que no sean pequeñas empresas, de la obligación de establecer un sistema interno y gratuito para tramitar las reclamaciones de los usuarios profesionales, en los términos previstos por el artículo 11 del Reglamento (UE) 2019/1150. u) El incumplimiento por parte de los proveedores de servicios de intermediación en línea que no sean pequeñas empresas, de la obligación de designar al menos dos mediadores, o de cualquier otra de las obligaciones en materia de mediación establecidas en el artículo 12 del Reglamento (UE) 2019/1150.» k) El incumplimiento de la obligación prevista en el artículo 12 ter, cuando no constituya infracción grave. l) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación establecida en el apartado 5 del artículo 3 del Reglamento (UE) 2019/1150 en materia de visibilidad de la identidad del usuario profesional, cuando no constituya infracción grave. m) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de cualquiera de las obligaciones en materia de restricción, suspensión y terminación del servicio establecidas en los apartados 1, 2 y 3 del artículo 4 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave. n) El incumplimiento por parte de los proveedores de servicios de intermediación en línea o proveedores de motores de búsqueda en línea de cualquiera de las obligaciones en materia de clasificación establecidas en el artículo 5 del Reglamento (UE) 2019/1150 que les resulten aplicables, cuando no constituya infracción grave. o) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación de incluir en sus condiciones generales la información exigida en el artículo 6 del Reglamento (UE) 2019/1150 sobre los bienes y servicios auxiliares ofrecidos, cuando no constituya infracción grave. p) El incumplimiento por parte de los proveedores de servicios de intermediación en línea y los proveedores de motores de búsqueda en línea de la obligación de incluir en sus condiciones generales la información exigida en los apartados 1 y 2, respectivamente, con las precisiones establecidas en el apartado 3, del artículo 7 del Reglamento (UE) 2019/1150, en materia de tratamiento diferenciado de bienes o servicios, cuando no constituya infracción grave. q) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de las obligaciones en materia de cláusulas contractuales específicas establecidas en el artículo 8 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave. r) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación de informar sobre el acceso a datos por parte de los usuarios profesionales establecida en el artículo 9 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave. s) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de la obligación de justificar las restricciones a la oferta de condiciones diferentes por otros medios prevista en el artículo 10 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave.» 1. La imposición de sanciones por el incumplimiento de lo previsto en esta Ley corresponderá, en el caso de infracciones muy graves, a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, a la persona titular de la Secretaria de Estado de Digitalización e Inteligencia Artificial. No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren las letras a) y b) del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley. 2. La potestad sancionadora regulada en esta Ley se ejercerá de conformidad con lo establecido al respecto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en sus normas de desarrollo. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de iniciación. El plazo máximo de duración del procedimiento simplificado será de tres meses.»
Disposición final cuarta. Modificación de la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio
Se introduce una nueva disposición adicional séptima con el siguiente contenido: El incumplimiento de la prohibición de discriminación prevista en el artículo 16.3 de esta Ley y el Reglamento (UE) 2018/302 del Parlamento Europeo y del Consejo, de 28 de febrero de 2018, sobre medidas destinadas a impedir el bloqueo geográfico injustificado y otras formas de discriminación por razón de la nacionalidad, del lugar de residencia o del lugar de establecimiento de los clientes en el mercado interior y por el que se modifican los Reglamentos (CE) 2006/2004 y (UE) 2017/2394 y la Directiva 2009/22/CE, se reputará desleal a los efectos de la Ley 3/1991, de 10 de enero, de Competencia Desleal, sin perjuicio del régimen de infracciones y sanciones contenido en el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.»
Disposición final quinta. Título competencial
Esta Ley se dicta al amparo de las competencias exclusivas que corresponden al Estado en materia de legislación civil, telecomunicaciones y seguridad pública, conforme a lo dispuesto en el artículo 149.1.8.ª, 21.ª y 29.ª de la Constitución Española. El artículo 3 y la disposición final segunda se dictan, además, al amparo de lo previsto en el artículo 149.1.6.ª de la Constitución, el cual atribuye al Estado competencia exclusiva en materia de legislación procesal. Por su parte la disposición adicional segunda se dicta al amparo de lo previsto en el artículo 149.1.18.ª de la Constitución, en relación con la competencia estatal exclusiva sobre las bases del régimen jurídico de las Administraciones públicas y el procedimiento administrativo común.
Disposición final sexta. Desarrollo reglamentario
Se habilita al Gobierno para dictar las disposiciones reglamentarias que sean precisas para el desarrollo y aplicación de esta Ley.
Disposición final séptima. Entrada en vigor
La presente Ley entrará en vigor al día siguiente al de su publicación en el «Boletín Oficial del Estado».