Miércoles, 12 Septiembre 2018

Real Decreto-Ley 5/2018 de 27 de julio: Medidas urgentes para la adaptación del Derecho español al RGPD

VolverEl pasado 27 de julio de 2018, a propuesta de la Ministra de Justicia, previa deliberación del Consejo de Ministros, se aprobó el Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Se trata de un Real Decreto-Ley (RDL) que se limita a la adecuación de nuestro ordenamiento al Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) en aquellos aspectos concretos que, sin rango orgánico, no admiten demora y debe entenderse sin perjuicio de la necesidad de una legislación orgánica de protección de datos que procure la plena adaptación de la normativa interna a los estándares fijados en la materia por la Unión Europea. La necesidad de adaptar el marco normativo interno al RGPD supuso la aprobación por el Consejo de Ministros en su sesión de 10 de noviembre de 2017 de un proyecto de Ley Orgánica, remitido a las Cortes Generales, que actualmente se encuentra en tramitación parlamentaria y que se espera se apruebe a finales de año.

La vigencia del Real Decreto Ley, en principio, será temporal. Estará vigente hasta la aprobación del mencionado proyecto de Ley Orgánica de protección de datos. Sin embargo, estimamos que sus preceptos serán trasladados a la nueva Ley, al tratarse de un ámbito de regulación tan importante como el régimen sancionador y de inspección. Hasta ahora existía un vacío legal en el régimen sancionador del RGPD que debía completarse por la normativa de cada país. Esto había llevado a muchos especialistas a decir que las infracciones cometidas al nuevo Reglamento no podían ser sancionadas. Esta posición, en cierta medida, viene a ratificarse con este Real Decreto-Ley, que tan sólo aborda aspectos procedimentales y de infracciones de la nueva normativa.

Este último razonamiento se recoge en la nota de prensa del Consejo de Ministros del pasado viernes 27 de julio, en cuyo seno se aprobó el citado Real Decreto-Ley. Dicha nota argumenta lo siguiente: “El reglamento europeo establece un régimen sancionador aplicable en España, pero no regula cuestiones tan esenciales como los plazos de prescripción o las sanciones, al considerar que deben fijarse en el ordenamiento interno de los Estados. Esos dos factores son básicos para garantizar la seguridad jurídica de los procedimientos abiertos y proteger de manera efectiva los derechos de los ciudadanos. De no acometer cuanto antes su regulación, sería muy complicado aplicar el régimen sancionador, lo que también debilitaría el sistema de protección de datos y generaría el riesgo de que la Comisión Europea estudiase emprender acciones contra España por incumplimiento de su reglamento general”.

Es por ello que el Real Decreto-Ley entra a regular aspectos relacionados con la inspección, el régimen sancionador y el procedimiento de instrucción que son relevantes para la garantía efectiva del derecho a la protección de los datos personales, dado que aportan la seguridad jurídica necesaria sin cuya existencia el modelo europeo de supervisión queda debilitado y, con él, las opciones de los ciudadanos de hacer valer su privacidad. En este sentido, el Real Decreto-Ley fija cuál es el personal competente para realizar las labores de investigación previstas en el RGPD y regula el modo en que podrán desarrollar su actividad de inspección. Asimismo, determina el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros de la Unión Europea que participen en actuaciones conjuntas de investigación.

Analicemos cómo se regulan esos aspectos en el Real Decreto-Ley 5/2018 más detenidamente:

Capítulo I – Inspección en materia de protección de datos

Este capítulo atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigación que el RGPD otorga a las autoridades de control. En este sentido, el RDL estipula que serán competentes para la actividad de investigación los funcionarios de la AEPD o los funcionarios ajenos autorizados por el Director de la AEPD. Estos funcionarios tendrán la consideración de agentes de la autoridad. Además, en cuanto al alcance de la actividad de investigación, dichos funcionarios podrán inspeccionar todo lo necesario para el cumplimiento de sus funciones de investigación y la entrada en domicilios deberá ejercerse conforme a las normas procesales, esto es, se necesitará control judicial para entrar en un edificio (antes no era preciso si no era un domicilio).

Capítulo II – Régimen sancionador en materia de protección de datos

Este capítulo articula el novedoso régimen sancionador establecido en el RGPD, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica de Protección de Datos por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 del RGPD.

Del mismo modo, hace mención a quiénes están sujetos al régimen sancionador del RGPD, como sujetos responsables:

(i) los responsables y encargados del tratamiento;

(ii) los representantes de los responsables o encargados de tratamiento no establecidos en el territorio de la Unión Europea;

(iii) las entidades de certificación;

(iv) las entidades acreditadas de supervisión de los códigos de conducta. Se excluye expresamente de tal responsabilidad al Delegado de Protección de Datos.

También se regula la prescripción de las infracciones: se establece un plazo de tres años para la prescripción de las infracciones contenidas en los apartados 5 y 6 del artículo 83 del RGPD, y un plazo de dos años para las establecidas en el apartado 4 del mismo artículo.

Y por último, se establece la prescripción de las sanciones: se regula la prescripción de las sanciones en función de su cuantía, estableciendo que: (i) las sanciones con un importe igual o inferior a 40.000 euros prescribirán en el plazo de un año; (ii) las sanciones con un importe comprendido entre 40.001 y 300.000 euros prescribirán a los dos años; y (iii) las sanciones superiores a 300.000 euros prescribirán a los tres años. El plazo de prescripción en los tres casos comenzará a contarse desde el día siguiente a aquel en el que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

Capítulo III – Procedimientos en caso de posible vulneración de la normativa de protección de datos

Este capítulo contiene la regulación del procedimiento en caso de que exista una posible vulneración del RGPD. La iniciación o los plazos de resolución del procedimiento sancionador varían en función del objeto del mismo:

a. Si el objeto del procedimiento hace referencia a los derechos de los interesados establecidos en los artículos 15 a 22 del RGPD, se iniciará el procedimiento por acuerdo de admisión a trámite de la Agencia Española de Protección de Datos, que dispondrá de un plazo de resolución de seis meses desde que el reclamante hubiera sido notificado del mencionado acuerdo. Transcurrido el mismo, el interesado podrá considerar estimada su reclamación. Este punto trasladado literalmente del RDL suscita dudas en su aplicación puesto que la inacción de la AEPD podría suponer un perjuicio al responsable o al encargado ya que incluso con anterioridad a dicha reclamación podrían haber garantizado el derecho del afectado mediante la aplicación de las medidas correctivas correspondientes no habiéndoles dado en este caso la oportuna audiencia para la defensa de sus derechos.

b. Si el procedimiento tiene por objeto la determinación de la existencia de una infracción del RGPD, se iniciará mediante acuerdo de inicio adoptado a iniciativa de la Agencia Española de Protección de Datos o como consecuencia de una reclamación cuya admisión haya sido aceptada por esta autoridad de control.

Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia podrá remitir la reclamación al Delegado de Protección de Datos, designado por el responsable o el encargado del tratamiento para que pueda dar en su caso contestación en el plazo de un mes. En caso de no haber designado un Delegado de Protección de Datos se podrá igualmente remitir la reclamación al propio responsable o encargado.

Tras su admisión a trámite, y con carácter previo al acuerdo de inicio, la Agencia Española de Protección de Datos podrá iniciar una fase de investigación, con una duración máxima de doce meses a contar desde la fecha de acuerdo de admisión a trámite. Concluidas las actividades de investigación, se dictará el acuerdo de inicio del procedimiento sancionador en el que se concretarán los hechos, la identificación de la entidad contra la que se dirigirá el procedimiento, la infracción que se hubiera podido cometer y su posible sanción. La duración máxima de este procedimiento será de nueve meses a contar desde la fecha del acuerdo de inicio.

De las Disposiciones Adicionales y Transitorias

De las disposiciones adicionales y transitorias del Real Decreto-Ley 5/2018 destacamos por su valor jurídico las siguientes:

Disposición adicional primera: Designa como representante en España en el Comité Europeo a la Agencia Española de Protección de Datos.

Disposición transitoria segunda: En esta disposición se establece que los contratos de encargado de tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Los Departamentos de Derecho Mercantil y Digital de Belzuz Abogados cuenta con profesionales cualificados para prestar la asesoría jurídica necesaria respecto al asesoramiento y defensa de las empresas responsables del tratamiento de datos personales, pudiendo asistirlas en toda clase de expedientes de tutela de derechos, sancionadores y recursos contencioso-administrativos. Igualmente, podemos actuar en defensa de los derechos de los interesados en materia de protección de datos de carácter personal así como ante el inicio de cualquier procedimiento en caso de posible vulneración de la normativa de protección de datos.

Departamento Derecho mercantil y societario | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa