Noticias JurídicasOrigen https://noticias.juridicas.com

Actualidad Noticias
31/07/2018 08:23:39 RGPD 7 minutos

El Gobierno modifica el régimen sancionador en materia de protección de datos sin esperar a la aprobación de la nueva ley

El Real Decreto-ley 5/2018, de 27 de julio, pretende adecuar el ordenamiento español al Reglamento General de Protección de Datos en determinados aspectos, sin perjuicio de la ulterior aprobación de la nueva ley orgánica, actualmente en trámite parlamentario. Deroga siete artículos de la vigente LOPD.

El Real Decreto-ley 5/2018, de 27 de julio, tiene por objeto la adecuación del ordenamiento interno al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en aquellos aspectos concretos que, sin estar reservados a la ley orgánica, no admiten demora.

El citado Reglamento europeo de Protección de Datos es plenamente aplicable en España desde el pasado 25 de mayo, desplazando aquellas disposiciones de Derecho interno que no sean conformes con lo que el mismo establece.

Teniendo ello en cuenta, y sin perjuicio de la necesidad de aprobar una ley orgánica para adaptar nuestro ordenamiento jurídico a lo establecido en el referido Reglamento y que actualmente se encuentra en tramitación parlamentaria, el texto considera imprescindible la adopción urgente de una norma con rango de ley que permita adaptar determinadas cuestiones.

Inspección en materia de protección de datos

El primer capítulo del Real Decreto-ley se ocupa de la inspección en materia de protección de datos. A estos efectos identifica al personal competente para ejercitar los poderes de investigación que el artículo 58.1 del Reglamento General de Protección de Datos otorga a las autoridades de control. Así, establece que la actividad de investigación de la Agencia Española de Protección de Datos se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director, los cuales tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.

En aplicación del artículo 62.3 del RGPD señala que, en caso de actuaciones conjuntas de investigación, el personal de las autoridades de control de otros Estados Miembros de Unión Europea que colabore con la Agencia ejercerá sus facultades con arreglo a lo previsto en la normativa española y bajo la orientación y en presencia del personal de ésta. Asimismo, determina el alcance de esta actividad de investigación.

Régimen sancionador

En el segundo capítulo el nuevo texto incluye el régimen sancionador establecido en el Reglamento General de Protección de Datos, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Señala que están sujetos al mismo los responsables de los tratamientos, los encargados de los tratamientos, los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta. Establece que constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83 y especifica los plazos prescriptivos aplicables a las infracciones y sanciones previstas en la norma europea.

Procedimientos en caso de posible vulneración de la normativa de protección de datos

En el tercer y último capítulo de la norma se regulan los procedimientos a seguir en caso de posible vulneración de la normativa de protección de datos, con la finalidad última de hacer posible la aplicación de las especialidades del régimen procedimental del Reglamento General de Protección de Datos.

En la práctica el Reglamento General de Protección de Datos distingue tres tipos de tratamientos a los que aplica distintas normas procedimentales: los tratamientos transfronterizos, definidos por el artículo 4.23 RGPD; los transfronterizos con relevancia local en un Estado miembro, a los que se refiere el artículo 56 del mismo, y los que tendrían la condición de exclusivamente nacionales, entre los que figuran en todo caso los previstos en el artículo 55 de la norma europea.

Para los dos primeros supuestos la regulación europea establece la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades, que dispondrán de plazos tasados para la emisión de “observaciones pertinentes motivadas”, previéndose el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.

El texto se ocupa de la forma de iniciación del procedimiento y de su duración; de la admisión a trámite de las reclamaciones; de la determinación del alcance territorial del procedimiento a seguir; de las actuaciones previas de investigación; del acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora y de las medidas provisionales.

Debe destacarse la inclusión de la suspensión del procedimiento en los supuestos en que proceda recabar el parecer de las autoridades de otros Estados miembros durante todo el tiempo previsto para su obtención, dado que en caso contrario existe una muy alta probabilidad de caducidad de los procedimientos, con las consecuencias negativas que ello conlleva no sólo para la aplicabilidad en España de las normas de protección de datos, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto en aquellos casos en que la Agencia Española de Protección de Datos tuviera la condición de autoridad de control principal.

Y dispone que todo ello será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.

Por último el Real Decreto-ley designa como representante de España en el Comité Europeo a la Agencia Española de Protección de Datos, que informará a las autoridades autonómicas acerca de las decisiones adoptadas en dicho organismo de la Unión y recabará su parecer cuando se trate de materias de su competencia, y contiene previsiones en lo relativo a la publicidad de sus resoluciones para garantizar la transparencia de su actuación.

Modificaciones legislativas

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal : quedan derogados el artículo 40 y los artículos 43 al 49, con excepción del artículo 46.

Entrada en vigor y régimen transitorio

El Real Decreto-ley 5/2018, de 27 de julio, entra en vigor el 31 de julio de 2018, al día siguiente de su publicación en el Boletín Oficial del Estado, y lo estará hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016.

Los procedimientos ya iniciados a la entrada en vigor del real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado. Ello será también de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal , aprobado por Real Decreto 1720/2007, de 21 de diciembre.

Y los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.

Te recomendamos