Tras la entrada en vigor del Reglamento General de Protección de datos (RGPD) el pasado 25 de mayo y a la espera de la aprobación de la nueva Ley Orgánica de Protección de Datos, el Consejo de Ministros ha aprobado el Real Decreto Ley 5/2018 del 27 de Julio para incorporar al derecho español el régimen sancionador, la actividad inspectora en materia de protección de datos, y la regulación del procedimiento en caso de vulneración de dicho marco normativo.
Es bien conocido que el RGPD es de aplicación directa, no obstante, el mismo establece diferentes remisiones a la normativa de los estados miembros de la Unión Europea. En este sentido, a fin de que la Agencia Española de Protección de Datos (AEPD) pueda sancionar de acuerdo con el RGPD – normativa que establece sanciones mucho más elevadas que la LOPD 15/1999 – se ha aprobado transitoriamente este Real Decreto Ley de medidas urgentes, el cual tendrá vigencia desde el 31 de Julio del 2018 hasta el momento de la aprobación de la nueva LOPD.
Marco normativo
En la actualidad, el marco normativo vigente en materia de protección de datos está integrado por:
– Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril del 2016 – RGPD.
– Ley Orgánica 15/199, de 13 de diciembre, de Protección de Datos de carácter Personal (LOPD). En lo que no contradiga a tal reglamento. Teniendo en cuenta la derogación de sus artículos 40, y del 43 al 49 con excepción del 46.
– Real Decreto Ley 5/2018, de 27 de Julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
Aspectos relevantes del Real Decreto Ley 5/2018
Algunos de los aspectos más relevantes contenidos en el Real Decreto Ley son los siguientes:
1. Regulación de la inspección en materia de protección de datos
Los funcionarios de la AEPD, o aquellos expresamente habilitados por esta, serán los competentes para la actividad de investigación en esta materia. Así mismo, esta normativa desarrolla el alcance la actividad de inspección.
2. Régimen sancionador
Están sujetos al régimen sancionador establecido en el RGPD y la normativa española de protección de datos:
– Los responsables de los tratamientos
– Los encargados de los tratamientos
– Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
– Las entidades de certificación
– Las entidades acreditadas de supervisión de los códigos de conducta
El régimen sancionador en esta materia no será de aplicación al DPO (Delegado de protección de datos).
3. Prescripción
De las infracciones:
– Las infracciones previstas en el apartado 4 del artículo 83 del RGPD prescribirán a los dos años.
– Las infracciones previstas en los apartados 5 y 6 del artículo 83 del RGPD prescribirán a los tres años.
De las sanciones:
– Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
– Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
– Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
4. Regulación del procedimiento tramitados por la AEPD en caso de vulneración del marco normativo
Se establecen tres formas de inicio:
– Cuando el afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD.
Plazo para resolver el procedimiento:SEIS MESES* contados desde la fecha que hubiera sido notificada la admisión a trámite.
– Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el marco normativo de protección de datos.
Plazo para resolver el procedimiento: NUEVE MESES* contados desde la fecha del acuerdo de inicio, o en su caso, del proyecto de acuerdo de inicio.
– Como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la UE.
*Dichos plazos quedaran suspendidos automáticamente cuando deba realizarse alguna consulta, solicitud, entre otros.
5. Inadmisión del trámite de reclamación ante la AEPD
La AEPD inadmitirá las reclamaciones cuando:
– No versen sobre cuestiones de protección de datos de carácter personal
– Carezcan manifiestamente de fundamento
– Sean abusivas
– O no aporten indicios racionales de la existencia de una infracción.
Así mismo, podrá inadmitir la reclamación cuando el responsable o encargado de tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:
– Que no se haya causado en perjuicio al afectado
– Que el derecho del afectado que plenamente garantizado mediante la aplicación de las medidas.
6. Contratos de Encargados del Tratamiento suscritos antes del 25 Mayo del 2018
Los contratos de Encargado del tratamiento suscritos con anterioridad al 25 de mayo del 2018 al amparo de la LOPD 15/1999 mantendrán su vigencia hasta la fecha de vencimiento señaladaen los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
7. Derogación normativa
Quedan derogados los siguientes artículos de la LOPD 15/1999, del 3 de diciembre:
– El articulo 40
– Los artículos 43 al 49, con excepción del artículo 46.