Adaptación de la normativa española al Reglamento General de Protección de Datos de la UE
En el BOE del día 30 de julio de 2018, se ha publicado el Real Decreto-ley 5/2018, con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos, norma de la Unión Europea que, al entrar en vigor el pasado 25 de mayo, impuso importantes modificaciones en la legislación interna, regulando también el régimen de prescripción de las sanciones previstas en el texto europeo, y que viene a clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección de Datos Personales- ciertos aspectos del Derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018 resultara de plena aplicación del Reglamento de la UE.
Estimado/a cliente/a:
En el BOE del día 30 de julio de 2018, se ha publicado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que viene a clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección de Datos Personales- ciertos aspectos del Derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018 resultara de plena aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD).
La normativa española debe adaptarse al nuevo Reglamento Europeo en aquellos preceptos en los que este deje margen o bien en todo aquello que lo contravenga. Para ello se aprobó el pasado 24 de noviembre de 2017 el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Dicho Proyecto está en fase de enmiendas y aprobación parlamentaria y, mientras llega su aprobación definitiva, se ha hecho necesaria la aprobación de este Decreto-Ley para regular algunas materias que por razones de urgencia no pueden esperar a que el Proyecto de ley esté definitivamente aprobado.
Esta norma entrará en vigor al día siguiente de su publicación en el BOE y permanecerá vigente hasta la entrada en vigor de la nueva legislación orgánica de protección de datos.
El contenido esencial de esta norma regula aquellas cuestiones que quedan fuera del ámbito de la Ley Orgánica, que son (i) el ejercicio de poderes de investigación de la Agencia Española de Protección de Datos, (ii) el régimen sancionador y (iii) los procedimientos para el caso de posibles vulneraciones de la normativa de protección de datos.
Así, entre otras medidas contenidas en el Real Decreto-Ley (RDL), destacan las siguientes:
- La delimitación de los sujetos responsables de los tratamientos a los que les es aplicable el régimen sancionador (los encargados de los tratamientos; los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea; las entidades de certificación; las entidades acreditadas de supervisión de los códigos de conducta). El RDL sigue las consideraciones del Reglamento Europeo y excluye a los Delegados de Protección de Datos de responsabilidad.
- Se establecen los plazos de prescripción de las infracciones: (i) tres años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior y (ii) dos años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
- Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la Administración para requerirnos su pago: (i) un año las sanciones con importe igual o inferior a 40.000 euros, (ii) dos años para las sanciones cuyo importe oscile entre 40.0001 euros y 300.000 euros y (iii) tres años para las sanciones por importe superior a 300.000 euros.
- Peculiaridades de los procedimientos:
- a) En caso de posible vulneración de la normativa de protección de datos se distinguen:
- Aquellos procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento.
- Aquellos en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.
- b) Suspensión automática de los plazos de tramitación cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la UE o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento General de Protección de Datos, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos, con el fin de evitar la caducidad del mismo.
- c) Actuaciones previas de investigación: Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.
- La representación española en el Comité Europeo de Protección de Datos a través de la Agencia Española de Protección de Datos.
- Por último, los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 sujetos al artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. No obstante, durante los mencionados plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a las nuevas exigencias del GDPR.
Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.
Un cordial saludo,