Després de l’entrada en vigor del Reglament General de Protecció de dades (RGPD) el passat 25 de maig i a l’espera de l’aprovació de la nova Llei Orgànica de Protecció de Dades, el Consell de Ministres ha aprovat el Reial decret Llei 5/2018 del 27 de juliol per incorporar al dret espanyol el règim sancionador, l’activitat inspectora en matèria de protecció de dades, i la regulació del procediment en cas de vulneració d’aquest marc normatiu.
És ben conegut que el RGPD és d’aplicació directa, no obstant això, el mateix estableix diferents remissions a la normativa dels estats membres de la Unió Europea. En aquest sentit, a fi que l’Agència Espanyola de Protecció de Dades (AEPD) pugui sancionar d’acord amb el RGPD – normativa que estableix sancions molt més elevades que la LOPD 15/1999 – s’ha aprovat transitòriament aquest Reial decret Llei de mesures urgents, el qual tindrà vigència des del 31 de juliol del 2018 fins al moment de l’aprovació de la nova LOPD.
Marc normatiu
En l’actualitat, el marc normatiu vigent en matèria de protecció de dades està integrat per:
– Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril del 2016 – RGPD.
– Llei Orgànica 15/199, de 13 de desembre, de Protecció de Dades de caràcter Personal (LOPD). En el que no contradigui a tal reglament. Tenint en compte la derogació dels seus articles 40, i del 43 al 49 amb excepció del 46.
– Reial decret Llei 5/2018, de 27 de juliol, de mesures urgents per a l’adaptació del Dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades.
Aspectes rellevants del Reial decret Llei 5/2018
Alguns dels aspectes més rellevants continguts en el Reial decret Llei són els següents:
1.Regulació de la inspecció en matèria de protecció de dades
Els funcionaris de l’AEPD, o aquells expressament habilitats per aquesta, seran els competents per a l’activitat de recerca en aquesta matèria. Així mateix, aquesta normativa desenvolupa l’abast l’activitat d’inspecció.
2.Règim sancionador
Estan subjectes al règim sancionador establert en el RGPD i la normativa espanyola de protecció de dades:
– Els responsables dels tractaments.
– Els encarregats dels tractaments.
– Els representants dels responsables o encarregats dels tractaments no establerts al territori de la Unió Europea.
– Les entitats de certificació.
– Les entitats acreditades de supervisió dels codis de conducta
El règim sancionador en aquesta matèria no serà aplicable al DPO (Delegat de protecció de dades).
3. Prescripció
De les infraccions:
– Les infraccions previstes a l’apartat 4 de l’article 83 del RGPD prescriuran als dos anys
– Les infraccions previstes als apartats 5 i 6 de l’article 83 del RGPD prescriuran als tres anys.
De les sancions:
– Les sancions per import igual o inferior a 40.000 euros, prescriuen en el termini d’un any.
– Les sancions per import comprès entre 40.001 i 300.000 euros prescriuen als dos anys.
– Les sancions per un import superior a 300.000 euros prescriuen als tres anys.
4. Regulació del procediment tramitat per l’AEPD en cas de vulneració del marc normatiu
S’estableixen tres formes d’inici:
– Quan l’afectat reclami que no ha estat atesa la seva sol·licitud d’exercici dels drets establerts en els articles 15 a 22 del RGPD.
Termini per resoldre el procediment: SIS MESOS* explicats des de la data que hagués estat notificada l’admissió a tràmit.
– Quan el procediment tingui per objecte la determinació de la possible existència d’una infracció del que es disposa en el marc normatiu de protecció de dades.
Termini per resoldre el procediment: NOU MESOS* explicats des de la data de l’acord d’inici, o si escau, del projecte d’acord d’inici.
– Com a conseqüència de la comunicació a l’AEPD per part de l’autoritat de controld’un altre Estat membre de la UE.
*Aquests terminis quedessin suspesos automàticament quan hagi de realitzar-se alguna consulta, sol·licitud, entre d’ altres
5. Inadmissió del tràmit de reclamació davant l’AEPD
L’AEPD no admetrà les reclamacions quan:
– No versin sobre qüestions de protecció de dades de caràcter personal
– Manquin manifestament de fonament
– Siguin abusives
– O no aportin indicis racionals de l’existència d’una infracció.
Així mateix, podrà no admetre la reclamació quan el responsable o encarregat de tractament, previ advertiment formulat per l’Agència, hagués adoptat les mesures correctives encaminades a posar fi al possible incompliment de la legislació de protecció de dades i concorri alguna de les següents circumstàncies:
– Que no s’hagi causat en perjudici a l’afectat
– El dret de l’afectat que plenament garantit mitjançant l’aplicació de les mesures.
6. Contractes d’Encarregats del Tractament subscrits abans del 25 maig del 2018
Els contractes d’Encarregat del tractament subscrits amb anterioritat al 25 de maig del 2018 a l’empara de la LOPD 15/1999 mantindran la seva vigència fins la data de venciment assenyalada en els mateixos i en cas d’haver-se pactat de forma indefinida, fins al 25 de maig de 2022.
7. Derogació normativa
Queden derogats els següents articles de la LOPD 15/1999, del 3 de desembre:
– L’article 40.
– Els articles 43 al 49, amb excepció de l’article 46.