Se aprueban medidas urgentes en materia de Protección de datos

Autor: Ana Victoria Martínez 

Fecha: 25.10.2018

El Reglamento Europeo de Protección de datos (RGPD) es ya aplicable desde su entrada en vigor el 25 de mayo de 2018, seguimos no obstante, a la espera de la aprobación de la nueva Ley Orgánica de Protección de Datos que continúa en tramitación parlamentaria. A pesar de que el RGPD es directamente aplicable, son varias las remisiones que el legislador hace a los ordenamientos jurídicos internos de los Estados miembros. Éstos deberán adecuar o desarrollar algunos aspectos de su legislación nacional al RGPD. Para iniciar los pasos necesarios para la aplicación de la normativa europea sobre protección de datos en España, que a ojos del Gobierno español no admite demora, y mientras se completa la tramitación de la Ley Orgánica mencionada, se aprobó a finales de julio el Real Decreto-ley 5-2018  de 30 de julio de medidas urgentes.

El Decreto se centra en aspectos procedimentales y relativos a infracciones. Se regulan, entre otras, las siguientes cuestiones:  

Régimen de responsabilidades:

la norma incluye como sujeto que puede ser considerado responsable de las infracciones, a los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea y excluye al delegado de protección de datos. 

Infracciones y sus plazos de prescripción:

se hace remisión al RGPD, donde las multas administrativas se tipifican en función de la gravedad y llegan a los 20 000 000 Euros. Los plazos de prescripción de las infracciones oscilarán entre los dos y tres años según el importe de las mismas.

Sanciones:

la norma hace referencia únicamente a los plazos de prescripción, siendo estos: un año para las sanciones por importe igual o menor de 40.000; dos años para las sanciones de 40.001 a 300.000 y de tres años para las sanciones mayores de 300.000.

Procedimientos tramitados por la Agencia Española de Protección de Datos (AEPD):

la norma regula el procedimiento a seguir en el supuesto de que no se atienda una solicitud de un interesado de ejercicio de los derechos que le reconoce el RGPD; el procedimiento para determinar la existencia de una infracción de lo dispuesto en el RGPD o la normativa española de protección de datos; y las reclamaciones que se hayan formulado ante una autoridad de control de otro Estado miembro de la Unión Europea de la que la AEPD es autoridad de control principal. Se prevé el silencio administrativo positivo, exclusivamente para el procedimiento de reclamación de ejercicio de derechos no atendido. La AEPD inadmitirá las reclamaciones que no versen sobre cuestiones de protección de datos de carácter personal, que carezcan de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción. Además, se prevé la inadmisión cuando el responsable o encargado de tratamiento hubiera adoptado las medidas correctivas y con éstas el derecho del afectado quede plenamente garantizado y no se le ha causado perjuicio.

Actuaciones previas de investigación y medidas provisionales:

la AEPD podrá llevar a cabo actuaciones de investigación que no podrán tener una duración superior a 12 meses. Durante la realización de las mismas o iniciado ya el procedimiento, la AEPD puede acordar motivadamente medidas provisionales necesarias y proporcionadas, que pueden suponer el bloqueo de los datos y la cesación de su tratamiento y, si se incumple, incluso proceder a su inmovilización.

Agencia Española de Protección de Datos:

se le designa como autoridad de control en el territorio español.

Contratos de encargado de tratamiento:

los que se hayan suscrito con anterioridad al 25 de mayo de 2018 y según lo dispuesto en la Ley Orgánica 15/1999 conservarán su vigencia hasta la fecha de extinción prevista en los mismos y si tienen carácter indefinido, hasta el 25 de mayo de 2022.

En definitiva, el Decreto es una norma provisional, que estará vigente hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al RGPD. El Decreto responde a la necesidad de regular cuestiones esenciales, cuya regulación no se reserva a ley orgánica. Contiene, entre otras, las previsiones necesarias para la aplicación del régimen sancionador previsto en el RGPD, dando cumplimiento, de modo provisional al objetivo de proporcionar seguridad jurídica y protección de los derechos de los ciudadanos en la materia.