Protección de datos: el Gobierno fija un nuevo procedimiento sancionador adaptado al RGPD
Comentario Mercantil 3-2018
A través de un nuevo Real Decreto-ley, aprobado en Consejo de Ministros el viernes 27 de julio y publicado en el BOE este lunes, trata de adaptar la normativa española al Reglamento General de Protección de Datos de la UE, regulando también el régimen de prescripción de las sanciones previstas en el texto europeo.
En el día de hoy se ha publicado en el Boletín Oficial del Estado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL), que fue aprobado por el Consejo de Ministros el pasado viernes y que viene a clarificar – a espera de la aprobación de la nueva Ley Orgánica de Protección de Datos Personales- ciertos aspectos del Derecho interno que se encontraban desplazados desde que el pasado 25 de mayo de 2018 resultara de plena aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD).
Este RDL tiene vocación temporal ya que entrará en vigor mañana y permanecerá vigente hasta la entrada en vigor la nueva Ley Orgánica de Protección de Datos que se encuentra en fase de tramitación parlamentaria y que según las últimas informaciones en foros con la Agencia Española de Protección de Datos (AEPD) se espera que esté aprobada a finales de otoño.
Habida cuenta de que el derecho a la protección de datos personales tiene carácter de derecho fundamental, todo lo relativo al contenido de ese derecho sólo puede ser regulado por Ley Orgánica y no por Real Decreto-ley. Por ello, el contenido esencial de esta norma que se publica hoy regula aquellas cuestiones que quedan fuera del ámbito de la Ley Orgánica, que son (i) el ejercicio de poderes de investigación de la Agencia Española de Protección de Datos, (ii) el régimen sancionador y (iii) los procedimientos para el caso de posibles vulneraciones de la normativa de protección de datos.
Como novedades destacables del citado RDL podemos subrayar las siguientes:
- Se establecen los plazos de prescripción de las infracciones: (i) tres años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior y (ii) dos años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
- Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la Administración para requerirnos su pago: (i) un año las sanciones con importe igual o inferior a 40.000 euros, (ii) dos años para las sanciones cuyo importe oscile entre 40.0001 euros y 300.000 euros y (iii) tres años para las sanciones por importe superior a 300.000 euros.
- Se recoge expresamente la posibilidad de que la AEPD redirija una reclamación al Delegado de Protección de Datos de un responsable o encargado para que este responda en el plazo de un mes a la reclamación planteada (en caso de no contar con dicha figura se podrá redirigir directamente al responsable o encargado del tratamiento).
- Se establece la validez de contratos de encargado de tratamiento: vía disposición transitoria el RDL decreta la validez de todos los contratos de encargado de tratamiento que se hayan formalizado con anterioridad al 25 de mayo de 2018 conforme a lo establecido en la Ley Orgánica 15/1999 de protección de datos de carácter personal hasta que finalice la vigencia de dichos contratos. En caso de que dichos contratos sean indefinidos los mismos tendrán que adaptarse al RGPD antes del 25 de mayo de 2022.
En relación con este punto, todo responsable o encargado debe ser especialmente cauteloso puesto que podemos encontrarnos en supuestos en los que nuestra contraparte se encuentre sometida a la jurisdicción de otro Estado miembro en el cual no se haya establecido jurídicamente este periodo transitorio para la regularización de los contratos de encargado de tratamiento y, por tanto, se deberá actualizar su contenido (el propio RDL indica que cualquiera de las partes podrá exigir su actualización a la otra su actualización). - Finalmente, el RDL reitera algo que ya dispone el RGPD, y es que la responsabilidad puede recaer tanto en los responsables del tratamiento, como en los encargados del tratamiento, como incluso en los representantes en la Unión Europea de empresas ubicadas fuera de la UE. Adicionalmente, se añaden como sometidas a procedimientos y sanciones las entidades de certificación y las encargadas de supervisar códigos de conducta.
Por otra parte, el RDL viene a regular expresamente otros aspectos que si bien no estaban recogidos expresamente en ninguna normativa ya resultaban de aplicación, ya sea por teoría general del derecho o por interpretación doctrinal, por ejemplo, expresamente se reconoce la inviolabilidad del domicilio en actuaciones inspectoras de la AEPD o que el delegado de protección de datos no es sujeto sometido al régimen sancionador.
Sin duda este nuevo RDL viene a atender las necesidades trasladadas desde sectores jurídicos en cuanto a la inseguridad jurídica en materia de prescripción de infracciones y sanciones, si bien, deberemos esperar a la nueva Ley Orgánica de Protección de Datos Personales para poder considerar que el territorio español se encuentra adaptado completamente al RGPD.
Profesional de contacto