En el BOE del día 30 de julio de 2018, se ha publicado el Real Decreto-ley 5/2018, con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos, norma de la Unión Europea que, al entrar en vigor el pasado 25 de mayo, impuso importantes modificaciones en la legislación interna, regulando también el régimen de prescripción de las sanciones previstas en el texto europeo, y que viene a clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección de Datos Personales- ciertos aspectos del Derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018 resultara de plena aplicación del Reglamento de la UE.
En
el BOE del día 30 de julio de 2018, se ha publicado el Real Decreto-ley 5/2018,
de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la
normativa de la Unión Europea en materia de protección de datos, que viene a
clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección
de Datos Personales- ciertos aspectos del Derecho interno que se encontraban
desplazados desde que el pasado 25 de mayo de 2018 resultara de plena
aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de
27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y a la libre circulación de
estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de
Protección de Datos o RGPD).
el BOE del día 30 de julio de 2018, se ha publicado el Real Decreto-ley 5/2018,
de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la
normativa de la Unión Europea en materia de protección de datos, que viene a
clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección
de Datos Personales- ciertos aspectos del Derecho interno que se encontraban
desplazados desde que el pasado 25 de mayo de 2018 resultara de plena
aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de
27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y a la libre circulación de
estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de
Protección de Datos o RGPD).
La
normativa española debe adaptarse al nuevo Reglamento Europeo en aquellos
preceptos en los que este deje margen o bien en todo aquello que lo
contravenga. Para ello se aprobó el pasado 24 de noviembre de 2017 el Proyecto
de Ley Orgánica de Protección de Datos de Carácter Personal. Dicho Proyecto
está en fase de enmiendas y aprobación parlamentaria y, mientras llega su
aprobación definitiva, se ha hecho necesaria la aprobación de este Decreto-Ley
para regular algunas materias que por razones de urgencia no pueden esperar a
que el Proyecto de ley esté definitivamente aprobado.
normativa española debe adaptarse al nuevo Reglamento Europeo en aquellos
preceptos en los que este deje margen o bien en todo aquello que lo
contravenga. Para ello se aprobó el pasado 24 de noviembre de 2017 el Proyecto
de Ley Orgánica de Protección de Datos de Carácter Personal. Dicho Proyecto
está en fase de enmiendas y aprobación parlamentaria y, mientras llega su
aprobación definitiva, se ha hecho necesaria la aprobación de este Decreto-Ley
para regular algunas materias que por razones de urgencia no pueden esperar a
que el Proyecto de ley esté definitivamente aprobado.
Esta
norma entrará en vigor al día siguiente de su publicación en el BOE y
permanecerá vigente hasta la entrada en vigor de la nueva legislación orgánica
de protección de datos.
norma entrará en vigor al día siguiente de su publicación en el BOE y
permanecerá vigente hasta la entrada en vigor de la nueva legislación orgánica
de protección de datos.
El
contenido esencial de esta norma regula aquellas cuestiones que quedan fuera
del ámbito de la Ley Orgánica, que son (i) el ejercicio de poderes de
investigación de la Agencia Española de Protección de Datos, (ii) el régimen
sancionador y (iii) los procedimientos para el caso de posibles vulneraciones
de la normativa de protección de datos.
contenido esencial de esta norma regula aquellas cuestiones que quedan fuera
del ámbito de la Ley Orgánica, que son (i) el ejercicio de poderes de
investigación de la Agencia Española de Protección de Datos, (ii) el régimen
sancionador y (iii) los procedimientos para el caso de posibles vulneraciones
de la normativa de protección de datos.
Así,
entre otras medidas contenidas en el Real Decreto-Ley (RDL), destacan las
siguientes:
entre otras medidas contenidas en el Real Decreto-Ley (RDL), destacan las
siguientes:
- La
delimitación de los sujetos responsables de los tratamientos a los que les
es aplicable el régimen sancionador (los encargados de los tratamientos;
los representantes de los responsables o encargados de los tratamientos no
establecidos en el territorio de la Unión Europea; las entidades de
certificación; las entidades acreditadas de supervisión de los códigos de
conducta). El RDL sigue las consideraciones del Reglamento Europeo y
excluye a los Delegados de Protección de Datos de responsabilidad. - Se establecen
los plazos de prescripción de las infracciones: (i) tres años cuando nos
encontremos ante alguno de los supuestos sancionados por el RGPD con
multas de hasta 20 millones de euros o de una cuantía equivalente al 4%
como máximo del volumen de negocio total anual global del ejercicio
financiero anterior y (ii) dos años cuando nos encontremos ante alguno de
los supuestos sancionados por el RGPD con multa de hasta 10 millones de
euros o de una cuantía equivalente al 2% como máximo del volumen de
negocio total anual global del ejercicio financiero anterior. - Se establecen
los plazos de prescripción de las sanciones una vez impuestas, esto es, el
período del que dispone la Administración para requerirnos su pago: (i) un
año las sanciones con importe igual o inferior a 40.000 euros, (ii) dos
años para las sanciones cuyo importe oscile entre 40.0001 euros y 300.000
euros y (iii) tres años para las sanciones por importe superior a 300.000
euros. - Peculiaridades
de los procedimientos:
a) En caso de posible
vulneración de la normativa de protección de datos se distinguen:
vulneración de la normativa de protección de datos se distinguen:
·
Aquellos procedimientos tramitados
por la Agencia Española de Protección de Datos en los supuestos en los que un
afectado reclame que no ha sido atendida su solicitud de ejercicio de los
derechos reconocidos en los artículos 15 a 22 del Reglamento.
Aquellos procedimientos tramitados
por la Agencia Española de Protección de Datos en los supuestos en los que un
afectado reclame que no ha sido atendida su solicitud de ejercicio de los
derechos reconocidos en los artículos 15 a 22 del Reglamento.
·
Aquellos en los que aquélla
investigue la existencia de una posible infracción de lo dispuesto en el
mencionado reglamento y la normativa española de protección de datos.
Aquellos en los que aquélla
investigue la existencia de una posible infracción de lo dispuesto en el
mencionado reglamento y la normativa española de protección de datos.
b) Suspensión automática de
los plazos de tramitación cuando deba recabarse información, consulta, solicitud
de asistencia o pronunciamiento preceptivo de un órgano u organismo de la UE o
de una o varias autoridades de control de los Estados miembros conforme con lo
establecido en el Reglamento General de Protección de Datos, por el tiempo que
medie entre la solicitud y la notificación del pronunciamiento a la Agencia
Española de Protección de Datos, con el fin de evitar la caducidad del
mismo.
los plazos de tramitación cuando deba recabarse información, consulta, solicitud
de asistencia o pronunciamiento preceptivo de un órgano u organismo de la UE o
de una o varias autoridades de control de los Estados miembros conforme con lo
establecido en el Reglamento General de Protección de Datos, por el tiempo que
medie entre la solicitud y la notificación del pronunciamiento a la Agencia
Española de Protección de Datos, con el fin de evitar la caducidad del
mismo.
c) Actuaciones previas de
investigación: Antes de la adopción del acuerdo de inicio de procedimiento, y
una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de
Protección de Datos podrá llevar a cabo actuaciones previas de investigación a
fin de lograr una mejor determinación de los hechos y las circunstancias que
justifican la tramitación del procedimiento.
investigación: Antes de la adopción del acuerdo de inicio de procedimiento, y
una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de
Protección de Datos podrá llevar a cabo actuaciones previas de investigación a
fin de lograr una mejor determinación de los hechos y las circunstancias que
justifican la tramitación del procedimiento.
- La
representación española en el Comité Europeo de Protección de Datos a
través de la Agencia Española de Protección de Datos. - Por último,
los contratos de encargado del tratamiento suscritos con anterioridad al
25 de mayo de 2018 sujetos al artículo 12 de la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su
vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de
haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. No
obstante, durante los mencionados plazos cualquiera de las partes podrá
exigir a la otra la modificación del contrato a fin de que el mismo
resulte conforme a las nuevas exigencias del GDPR.
Pueden
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
ponerse en contacto con este despacho profesional para cualquier duda o
aclaración que puedan tener al respecto.
Un
cordial saludo,
cordial saludo,
José María Quintanar Isasi