Pasados ya dos meses desde la plena aplicación del Reglamento General de Protección de Datos (en adelante, “RGPD”), en España seguimos sin contar con una Ley Orgánica de Protección de Datos de carácter personal adaptada a esta normativa.

Debido al retraso en la aprobación de la nueva Ley Orgánica de Protección de Datos, el pasado 27 de julio se aprobó el Real Decreto-ley 5/2018, de 27 de julio de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos (en adelante, “Real Decreto”) cuya publicación en el BOE ha tenido lugar el 30 de julio de 2018.

El objeto de este Real Decreto es la adecuación de nuestro ordenamiento al RGPD en aquellos aspectos concretos que, sin rango orgánico, no admiten demora y debe entenderse sin perjuicio de la necesidad de una legislación orgánica de protección de datos que procure la plena adaptación de la normativa interna a los estándares fijados en la materia por la Unión Europea a través de una disposición directamente aplicable.

Este Real Decreto comprende catorce artículos estructurados en tres capítulos, dos disposiciones adicionales, dos transitorias, una derogatoria y una final.

A continuación, analizamos los aspectos más relevantes de este Real Decreto:

Capítulos:

Capítulo I: Este capítulo atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigación que el RGPD otorga a las autoridades de control.

Ello exige que el Derecho interno regule el modo en que podrán ejercerse dichos poderes, qué personas ejercerán la actividad de investigación e inspección y en qué consistirán estas atribuciones expresamente establecidas en el RGPD desde el punto de vista del ordenamiento español.

Capítulo II: Este Capítulo articula el novedoso régimen sancionador establecido en el RGPD, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica de Protección de Datos por la remisión a los que están establecidos en los apartados 4,5 y 6 del artículo 83 del RGPD.

  • Sujetos responsables: Están sujetos al régimen sancionador del RGPD: (i)los responsables y encargados del tratamiento; (ii) los representantes de los responsables o encargados de tratamiento no establecidos en el territorio de la Unión Europea; (iii) las entidades de certificación; y (iv) las entidades acreditadas de supervisión de los códigos de conducta.

Se excluye expresamente de tal responsabilidad al Delegado de Protección de Datos.

  • Prescripción de las infracciones: Se establece un plazo de tres años para la prescripción de las infracciones contenidas en los apartados 5 y 6 del artículo 83 del RGPD, y un plazo de dos años para las establecidas en el apartado 4 del mismo artículo.
  • Prescripción de las sanciones: se regula la prescripción de las sanciones en función de su cuantía, estableciendo que: (i) las sanciones con un importe igual o inferior a 40.000 euros prescribirán en el plazo de un año; (ii) las sanciones con un importe comprendido entre 40.001 y 300.000 euros prescribirán a los dos años; y (iii) las sanciones superiores a 300.000 euros prescribirán a los tres años. El plazo de prescripción en los tres casos comenzará a contarse desde el día siguiente a aquel en el que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

Capítulo III: El capítulo III contiene la regulación del procedimiento en caso de que exista una posible vulneración del RGPD.

La iniciación o los plazos de resolución del procedimiento sancionador varía en función del objeto del mismo:

  • Si el objeto del procedimiento hace referencia a los derechos de los interesados establecidos en los artículos 15 a 22 del RGPD, se iniciará el procedimiento por acuerdo de admisión a trámite de la Agencia Española de Protección de datos, que dispondrá de un plazo de resolución de seis meses desde que el reclamante hubiera sido notificado del mencionado acuerdo. Transcurrido el mismo, el interesado podrá considera estimada su reclamación.
  • Si el procedimiento tiene por objeto la determinación de la existencia de una infracción del RGPD, se iniciará mediante acuerdo de inicio adoptado a iniciativa de la Agencia Española de Protección de Datos o como consecuencia de una reclamación cuya admisión haya sido aceptada por esta autoridad de control.

Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia podrá remitir la reclamación al Delegado de Protección de Datos, designado por el responsable o el encargado del tratamiento para que pueda dar en su caso contestación en el plazo de un mes. En caso de no haber designado un Delegado de Protección de Datos se podrá igualmente remitir la reclamación al propio responsable o encargado.

Tras su admisión a trámite, y con carácter previo al acuerdo de inicio, la Agencia Española de protección de Datos podrá iniciar una fase de investigación, con una duración máxima de doce meses a contar desde la fecha de acuerdo de admisión a trámite. Concluidas las actividades de investigación, se dictará el acuerdo de inicio del procedimiento sancionador en el que se concretarán los hechos, la identificación de la entidad contra la que se dirigirá el procedimiento, la infracción que se hubiera podido cometer y su posible sanción. La duración máxima de este procedimiento será de nueve meses a contar desde la fecha del acuerdo de inicio.

Disposiciones:

De las disposiciones del Real Decreto destacamos las siguientes:

  • Disposición adicional primera: Designa como representante en España en el comité Europeo a la Agencia Española de Protección de Datos.
  • Disposición transitoria segunda: En esta disposición se establece que los contratos de encargado de tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de carácter personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

La vigencia de este Real Decreto se limita al periodo que medie entre el día siguiente de su publicación en el BOE y la entrada en vigor de la nueva Ley Orgánica que se encuentra en tramitación parlamentaria.

Desde Letslaw analizamos y revisamos todas las cuestiones sobre la normativa en materia de protección de datos, al objeto de informar a las empresas sobre las novedades y sus consecuencias tanto en España como en el resto de Europa, para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.

Si necesitas más información sobre la normativa sobre protección de datos de carácter personal puedes consultarnos.