Medidas urgentes para regular el régimen sancionador del RGPD

Cuando muchos preparábamos ya las maletas para las tan merecidas vacaciones, el Gobierno nos sorprende con la aprobación del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Publicado con fecha 30 de julio de 2018, entra en vigor al día siguiente, y se adelanta a la nueva Ley Orgánica, aún en sede parlamentaria.

El objeto de este Real Decreto-ley consiste en adaptar el Derecho español al Reglamento General de Protección de Datos, que entró en vigor el pasado 25 de mayo, en aspectos concretos que no admiten demora y no pueden esperar a la publicación del proyecto de Ley Orgánica que actualmente se está tramitando en el Parlamento.

En concreto, se trata de regular aspectos de inspección y el régimen sancionador del RGPD en materia de protección de datos y los procedimientos en caso de una posible vulneración del Reglamento europeo. Así, deroga artículo 40 (potestad de inspección) y el Título VII (a excepción del artículo 46), referido a infracciones y sanciones, de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La vigencia del Real Decreto Ley, en principio, será temporal, lo estará hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016. Sin embargo, estimamos que sus preceptos serán trasladados a la nueva Ley, en un ámbito tan importante como el régimen sancionador y de inspección.

Hasta ahora existía un vacío legal en el régimen sancionador del RGPD, que debía completarse por la normativa de cada país.

Esto había llevado a muchos especialistas a decir que las infracciones cometidas al nuevo Reglamento no podían ser sancionadas.

El vacío en cuanto al regimen sancionador del RGPD, llevó a muchos especialistas a decir que las infracciones no podían ser sancionadas (Twittea esto)

Esta posición, en cierta medida, viene a ratificarse con este RDL, que tan sólo aborda aspectos procedimentales y de infracciones de la nueva normativa.

Veamos los puntos básicos del Real Decreto Ley:

• Sujetos responsables del tratamiento a los que les es aplicable el régimen sancionador:

Se señalan a los responsables y encargados del tratamiento y sus representantes no establecidos en el territorio de la Unión Europea. Además, se señalan a las entidades de certificación y a las entidades acreditadas de supervisión de los códigos de conducta. Mención expresa es la exclusión del delegado de protección de datos del régimen sancionador.

• Plazos de prescripción: En cuanto a las infracciones se prevé un plazo de prescripción de dos años para las menos graves y tres para las de mayor gravedad (según el artículo 83 apartados 4, 5 y 6 del Reglamento (UE) 2016/679.
• En cuanto a las sanciones, las de importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.

Las de 40.001 y 300.000 euros prescriben a los dos años y las de importe superior a 300.000 euros a los tres años.

El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.

• Procedimientos en caso de posible vulneración de la normativa de protección de datos. Se establecen las formas de inicio. De ellas las más habituales serán.

1. En primer lugar, la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. Deberán resolverse en seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Si no hay contestación se entiende estimado, por aplicación del silencio positivo.
2. En segundo lugar, cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento, la duración es de nueve meses.

• Contratos de encargado del tratamiento. Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.
• Se Identifica al personal funcionario de la Agencia Española de Protección de Datos (en adelante, AEPD) como al personal competente para el ejercicio de los poderes y actividad de investigación que el Reglamento General de Protección de Datos otorga a las autoridades de control, así como el alcance de sus atribuciones.

Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.

• Procedimientos transfronterizos. Se regulan la suspensión o la interrupción de los plazos de prescripción mientras las autoridades de otros países revisan los procedimientos”, ello al objeto de no provocar la caducidad.
• Régimen transitorio de los procedimientos: Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.

Estas pequeñas pinceladas sobre la nueva norma deberán ser desarrolladas en análisis posteriores. Baste ahora con su mera enumeración, y aprovechamos para desear, a quien las tenga, unas buenas vacaciones.

Monica Beloki

Consultora Jurídica en Protección de Datos