Resumen — La Ley 09-08 relativa a la protección de las personas físicas respecto al tratamiento de datos personales establece un régimen sancionador severo en Marruecos. Las empresas no conformes se exponen a multas de hasta 300.000 MAD, penas de prisión de hasta 2 años y sanciones administrativas que incluyen el cierre del establecimiento. Este artículo detalla todas las sanciones previstas en el Capítulo VII (artículos 51 a 66) de la ley.
¿Por qué tomar en serio las sanciones de la CNDP?
La Comisión Nacional de Control de la Protección de Datos Personales (CNDP) dispone de amplios poderes para sancionar las infracciones a la Ley 09-08. El régimen represivo fue diseñado para disuadir eficazmente los incumplimientos, con una gradación de sanciones que va desde la multa simple hasta la prisión y el cierre de empresa.
Toda empresa, asociación u organismo público que trate datos personales en Marruecos debe conocer con precisión los riesgos que conlleva el incumplimiento.
Sanciones penales: artículo por artículo
Artículo 52 — Falta de declaración o autorización
Todo responsable del tratamiento que ponga en marcha un fichero de datos personales sin efectuar la declaración previa o sin obtener la autorización requerida ante la CNDP se expone a una multa de 10.000 a 100.000 MAD.
Esta infracción afecta especialmente a las empresas que recopilan datos de clientes, recursos humanos o prospectos sin haber cumplido los trámites administrativos obligatorios.
Artículo 53 — Denegación de derechos de los interesados
El hecho de denegar los derechos de acceso, rectificación u oposición previstos por la ley expone al responsable del tratamiento a una multa de 20.000 a 200.000 MAD por infracción.
Cada denegación constituye una infracción distinta, lo que significa que las multas pueden acumularse rápidamente en caso de incumplimientos sistemáticos.
Artículo 54 — Recopilación fraudulenta o ilícita
La recopilación de datos personales por medios fraudulentos, desleales o ilícitos se sanciona con una pena de prisión de 3 meses a 1 año y una multa de 20.000 a 200.000 MAD.
Se contemplan prácticas como la recopilación de datos sin consentimiento informado, el uso de formularios engañosos o la captación clandestina de información.
Artículo 55 — Tratamiento de datos sensibles sin autorización
El tratamiento de datos sensibles (orígenes raciales, opiniones políticas, convicciones religiosas, datos de salud, etc.) sin la autorización previa de la CNDP o sin el consentimiento expreso del interesado se castiga con una pena de prisión de 6 meses a 2 años y una multa de 50.000 a 300.000 MAD.
Se trata de la sanción penal más severa del dispositivo, lo que refleja la especial sensibilidad de estas categorías de datos.
Artículo 57 — Conservación excesiva de datos
El mantenimiento de datos personales más allá de la duración necesaria para la finalidad del tratamiento se sanciona con una pena de prisión de 3 meses a 1 año y una multa de 20.000 a 200.000 MAD.
Las empresas deben definir y respetar plazos de conservación proporcionados para cada categoría de datos tratados.
Artículo 58 — Insuficiencia de medidas de seguridad
El responsable del tratamiento que descuide la implementación de las medidas de seguridad técnicas y organizativas apropiadas para proteger los datos se expone a una pena de prisión de 3 meses a 1 año y una multa de 20.000 a 200.000 MAD.
Esto incluye la ausencia de cifrado, control de accesos, copias de seguridad o política de seguridad informática.
Artículo 59 — Tratamiento pese a oposición legítima
Continuar un tratamiento de datos pese a la oposición legítima del interesado se castiga con una pena de prisión de 3 meses a 1 año y una multa de 20.000 a 200.000 MAD.
El derecho de oposición es un derecho fundamental que todo responsable del tratamiento debe respetar sin demora.
Artículos 60 y 61 — Transferencia internacional ilegal
La transferencia de datos personales a un país que no ofrezca un nivel de protección adecuado, sin la autorización de la CNDP, expone al responsable a una pena de prisión de 3 meses a 1 año y una multa de 20.000 a 200.000 MAD.
Esta disposición se dirige especialmente a las empresas que alojan sus datos en el extranjero o que comparten información con socios internacionales sin haber verificado las garantías de protección.
Artículos 62 y 63 — Obstrucción a los controles de la CNDP
Toda persona que obstaculice las misiones de control y verificación de la CNDP se expone a una pena de prisión de 3 meses a 1 año y una multa de 10.000 a 100.000 MAD.
Denegar el acceso a los locales, destruir documentos o proporcionar información falsa a los agentes de la CNDP constituye una infracción autónoma.
Artículo 64 — Personas jurídicas: sanciones duplicadas
Cuando la infracción es cometida por una persona jurídica (empresa, asociación, etc.), las multas se duplican. El tribunal también puede ordenar:
- La confiscación del material utilizado para cometer la infracción
- El decomiso de los soportes de datos
- El cierre temporal o definitivo del establecimiento
Esta disposición hace que los riesgos sean particularmente críticos para las empresas.
Sanciones administrativas de la CNDP
Además de las sanciones penales, la CNDP dispone de un arsenal de sanciones administrativas graduadas:
Advertencia
La CNDP puede dirigir una advertencia al responsable del tratamiento en caso de incumplimiento constatado. Esta medida, aunque no coercitiva, queda registrada en el expediente del responsable y puede hacerse pública.
Requerimiento formal
En caso de incumplimiento persistente, la CNDP puede dirigir un requerimiento formal con un plazo para alcanzar la conformidad. El incumplimiento de este requerimiento puede acarrear sanciones más graves.
Retirada de la autorización o del resguardo
La CNDP puede retirar la autorización o el resguardo de declaración, lo que convierte el tratamiento en ilegal y expone al responsable a las sanciones penales previstas en el artículo 52.
Suspensión o prohibición del tratamiento
En los casos más graves, la CNDP puede ordenar la suspensión temporal o la prohibición definitiva del tratamiento, con obligación de suprimir los datos recopilados.
Tabla resumen de sanciones penales
| Artículo | Infracción | Multa (MAD) | Prisión |
|---|---|---|---|
| Art. 52 | Falta de declaración/autorización | 10.000 – 100.000 | — |
| Art. 53 | Denegación de derechos | 20.000 – 200.000 | — |
| Art. 54 | Recopilación fraudulenta | 20.000 – 200.000 | 3 meses – 1 año |
| Art. 55 | Datos sensibles sin autorización | 50.000 – 300.000 | 6 meses – 2 años |
| Art. 57 | Conservación excesiva | 20.000 – 200.000 | 3 meses – 1 año |
| Art. 58 | Seguridad insuficiente | 20.000 – 200.000 | 3 meses – 1 año |
| Art. 59 | Tratamiento pese a oposición | 20.000 – 200.000 | 3 meses – 1 año |
| Art. 60-61 | Transferencia internacional ilegal | 20.000 – 200.000 | 3 meses – 1 año |
| Art. 62-63 | Obstrucción CNDP | 10.000 – 100.000 | 3 meses – 1 año |
| Art. 64 | Persona jurídica | Multas duplicadas | Decomiso / cierre |
FAQ — Preguntas frecuentes
¿Las sanciones de la CNDP afectan a todas las empresas?
Sí. Toda entidad (empresa, asociación, administración) que trate datos personales en Marruecos está sujeta a la Ley 09-08 y a su régimen sancionador, independientemente de su tamaño o sector de actividad.
¿Se pueden acumular sanciones administrativas y penales?
Sí. Las sanciones administrativas impuestas por la CNDP no impiden las acciones penales. Un mismo incumplimiento puede dar lugar tanto a una advertencia administrativa como a un procedimiento ante los tribunales.
¿Cómo evitar las sanciones de la CNDP?
La puesta en conformidad pasa por varias etapas: declaración o autorización de los tratamientos, respeto de los derechos de los interesados, securización de los datos, definición de plazos de conservación y regulación de las transferencias internacionales. El acompañamiento de un experto contable especializado facilita la gestión global del cumplimiento.
¿Cuál es el plazo de prescripción de las infracciones?
Las infracciones a la Ley 09-08 siguen el régimen de prescripción de derecho común en materia penal. Se recomienda no contar con la prescripción y ponerse en conformidad de forma inmediata.
¿La CNDP realiza auditorías proactivas?
Sí. La CNDP dispone de un poder de control in situ y documental. Puede actuar de oficio o a raíz de la denuncia de un interesado. Los controles son cada vez más frecuentes, especialmente en los sectores con gran volumen de datos.
LEA TAMBIÉN
CNDP y Ley 09-08: guía completa
