Con la entrada en vigor, el día 25 de mayo, del Reglamento europeo de Protección de Datos es necesario adaptar la normativa española a las exigencias de esta ley europea. Existe un proyecto de LOPD pendiente de aprobarse y por ello, el Gobierno ha tenido que aprobar un Real Decreto Ley para adaptar el régimen sancionador establecido en el RGPD a nuestro país.

Así, el día 27 de julio se ha aprobado el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. En él se regulan tanto la inspección en el ámbito de la protección de datos como el régimen sancionador aplicable.

Inspección en Protección de Datos

El citado Real Decreto-ley identifica al personal con competencia para ejercer los poderes de investigación atribuidos por el RGPD a las autoridades de control. Así, indica que la actividad de investigación de la Agencia Española de Protección de Datos se realizará por los funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director. Estos tendrán el reconocimiento de agentes de la autoridad en el ejercicio de sus funciones. Y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.

Si se produce una investigación conjunta con otros Estados miembros, el personal de esos Estados realizará sus funciones según lo establecido en la normativa española. Y con sujeción a las instrucciones dadas por el personal de la AEPD.

Procedimiento sancionador

Hasta ahora existía un vacío legal en el régimen sancionador del Reglamento Europeo, que debía completarse por la normativa de cada país. Esto hacía que muchos especialistas consideraran que las infracciones cometidas al nuevo Reglamento no podían ser sancionadas. Esta posición viene a ratificarse con este Real Decreto-ley, que únicamente aborda aspectos procedimentales y de infracciones de la nueva normativa.

Sujetos responsables

Están sujetos al régimen sancionador establecido por la normativa de Protección de Datos:

  • Los responsables de los tratamientos.
  • Los encargados de los tratamientos.
  • Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  • Las entidades de certificación.
  • Las entidades acreditadas de supervisión de los códigos de conducta.

El DPO no está sujeto a ese régimen sancionador.

Infracciones y sanciones

Este Real Decreto-ley remite al RGPD para determinar la los tipos de infracciones.

Plazos de prescripción

En cuanto a las infracciones se prevé un plazo de prescripción de dos años para las menos graves y tres para las de mayor gravedad.

En cuanto a las sanciones:

  • las de importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
  • Las de 40.001 y 300.000 euros prescriben a los dos años y las de importe superior a 300.000 euros a los tres años.

Procedimiento en caso de infracción de la normativa

En el tercer y último capítulo de la norma se regulan los procedimientos a seguir en caso de posible vulneración de la normativa de protección de datos. Con la finalidad última de hacer posible la aplicación de las especialidades del régimen procedimental del RGPD.

En la práctica el Reglamento General de Protección de Datos distingue tres tipos de tratamientos a los que aplica distintas normas procedimentales:

  • los tratamientos transfronterizos,
  • los transfronterizos con relevancia local en un Estado miembro, y
  • los que tendrían la condición de exclusivamente nacionales.

Para los dos primeros supuestos la regulación europea establece la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades. Estas tendrán plazos tasados para la emisión de “observaciones pertinentes motivadas”. Previéndose el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.

El texto regula:

  • forma de iniciación del procedimiento y su duración;
  • admisión a trámite de las reclamaciones;
  • determinación del alcance territorial del procedimiento a seguir;
  • actuaciones previas de investigación;
  • acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora y
  • medidas provisionales.

Procedimientos transfronterizos

Se establece la posibilidad de suspensión del procedimiento en los supuestos en que proceda recabar la opinión de las autoridades de otros Estados miembros durante todo el tiempo previsto para su obtención. Dado que en caso contrario existe una muy alta probabilidad de caducidad de los procedimientos. Con las consecuencias negativas que ello conlleva no sólo para la aplicabilidad en España de las normas de protección de datos, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto en aquellos casos en que la AEPD tuviera la condición de autoridad de control principal.

Según los datos de la AEPD, en las dos primeras semanas de aplicación del RGPD se abrieron 17 procedimientos transnacionales referidos, sobre todo a:

  • ejercicio del derecho al olvido,
  • tratamiento de datos o
  • política de privacidad y los términos de servicio de grandes entidades tecnológicas.

Dichos expedientes tienen un potencial impacto en millones de ciudadanos europeos. Las autoridades de protección de datos de la UE estiman que el número de estos procedimientos transfronterizos podría situarse entre 13.000 a 16.000 al año.

Todo esto se aplicará a los procedimientos que la AEPD hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.

AEPD como representante de España

El Real Decreto-ley designa como representante de España en el Comité Europeo a la Agencia Española de Protección de Datos. Esta informará a las autoridades autonómicas acerca de las decisiones adoptadas en dicho organismo de la Unión. Y recabará su parecer cuando se trate de materias de su competencia.

La Agencia Española de Protección de Datos publicará las resoluciones de su Director que:

  • declaren haber lugar o no a la atención de los derechos arco, limitación y portabilidad,
  • pongan fin a los procedimientos de reclamación,
  • archiven las actuaciones previas de investigación,
  • sancionen con apercibimiento a las entidades de la Administración pública,
  • impongan medidas cautelares y
  • las demás que disponga su Estatuto.

Y ahora solo nos queda hacer los deberes para las vacaciones: leer el Real Decreto-ley.

Cambios en el régimen sancionador en materia de Protección de datos
4.9 (97.5%) 8 votos