Fuente: https://www.boe.es/buscar/act.php?id=BOE-A-2018-10751.
A través de un nuevo Real Decreto-ley, aprobado en Consejo de Ministros y publicado en el BOE (véase la Fuente), se trata de adaptar la normativa española al Reglamento General de Protección de Datos de la UE (RGPD), Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), regulando también el régimen de prescripción de las sanciones previstas en el texto europeo.
Publicado en el BOE núm. 183, de 30/07/2018, con entrada en vigor: 31/07/2018 el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL), viene a clarificar a espera de la aprobación de la nueva ley orgánica de protección de datos personales, ciertos aspectos del derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018, resultara de plena aplicación el reglamento RGPD (UE) 2016/679.
Este RDL tiene vocación temporal ya que tras su entrada en vigor, permanecerá vigente hasta la entrada en vigor de la nueva ley orgánica de protección de datos que se encuentra en fase de tramitación parlamentaria y que según las últimas informaciones en foros con la Agencia Española de Protección de Datos (AEPD) se espera que esté aprobada a finales de 2018.
Considerando que el derecho a la protección de datos personales tiene carácter de derecho fundamental, todo lo relativo al contenido de ese derecho sólo puede ser regulado por Ley Orgánica y no por Real Decreto-ley.
Es por esta razón que el contenido esencial de esta norma en forma de RDL que publicó el BOE regula cuestiones que quedan fuera del ámbito de la Ley Orgánica, que pueden ser por ejemplo:
- Ejercicio de facultad investigativa de la AEPD.
- Régimen sancionador.
- Procedimientos para el caso de posibles vulneraciones de la normativa de protección de datos.
Como novedades destacables del Real Decreto-ley 5/2018, de 27 de julio, podemos enfatizar las siguientes:
Se establecen los plazos de prescripción de las infracciones:
- 3 años ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de € o de una cuantía equivalente al 4% como máximo, del volumen de negocio total anual global del ejercicio financiero anterior.
- 2 años ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de € o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la administración para requerir el pago:
- 1 año las sanciones con importe igual o inferior a 40.000 €.
- 2 años para las sanciones cuyo importe oscile entre 40.0001 € y 300.000 €.
- 3 años para las sanciones por importe superior a 300.000 €.
Se recoge expresamente la posibilidad de que la AEPD redirija una reclamación al Delegado de Protección de Datos de un Responsable o Encargado para que este responda en el plazo de un mes a la reclamación planteada. En caso de no contar con dicha figura del Delegado de Protección de Datos se podrá redirigir directamente al Responsable o Encargado del tratamiento.
El RDL establece la validez de contratos de Encargado de tratamiento vía disposición transitoria, decretándose la validez de todos los contratos de Encargado de tratamiento que se hayan formalizado con anterioridad al 25 de mayo de 2018 conforme a lo establecido en la Ley Orgánica 15/1999 de protección de datos de carácter personal, hasta que finalice la vigencia de dichos contratos. En caso de que dichos contratos sean indefinidos los mismos tendrán que adaptarse al RGPD antes del 25 de mayo de 2022.
En relación con esta exigencia, los Responsables o Encargados deben actuar cuidadosamente, puesto que pueden encontrar supuestos en los que los interesados se encuentren sometidos a la jurisdicción de otro estado miembro de la UE, en el cual no se haya establecido jurídicamente este periodo transitorio para la regularización de los contratos de Encargado de tratamiento y por tanto se deberá actualizar su contenido, ya que según indica el RDL, cualquiera de las partes podrá exigir su actualización a la otra.
También es de destacar que el RDL reitera algo que ya dispone el RGPD y es que la responsabilidad puede recaer tanto en los Responsables del tratamiento, como en los Encargados del tratamiento, como incluso en los representantes en la UE de empresas ubicadas fuera de la UE.
Como complemento a todo lo anterior se añaden como sometidas a procedimientos y sanciones las Entidades de Certificación y las encargadas de supervisar Códigos de Conducta.
Por otra parte, el RDL viene a regular expresamente otros aspectos que si bien no estaban recogidos expresamente en ninguna normativa ya resultaban de aplicación, ya sea por teoría general del derecho o por interpretación doctrinal. En este caso se encuentra el aspecto de que se reconoce expresamente la inviolabilidad del domicilio en actuaciones inspectoras de la AEPD, así como también que el Delegado de Protección de Datos no es sujeto sometido al régimen sancionador.
Estos elementos aportan aclaraciones a los administrados en ciertas necesidades trasladadas desde sectores jurídicos en cuanto a la inseguridad jurídica en materia de prescripción de infracciones y sanciones.
No obstante hasta que no se produzca el acontecimiento de que se publique en el BOE la nueva Ley Orgánica de Protección de Datos Personales, no se podrá considerar enteramente que en España nos hayamos adaptado completamente al RGPD.