This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.
Nº33 Se publica en el BOE un Real Decreto-ley de medidas urgentes para adaptar el derecho español a la normativa europea de protección de datos
En fecha 30 de julio de 2018 se ha publicado en el BOE el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho Español a la normativa de la Unión Europea en materia de protección de datos. Este Real Decreto-ley entrará en vigor al día siguiente de su publicación en el BOE, es decir, el 31 de julio de 2018 y lo estará hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos).
Tal y como señala el preámbulo del Real Decreto-ley, los aspectos que configuran el contenido esencial del derecho fundamental a la protección de datos de carácter personal requieren de una ley orgánica. Sin embargo, existen determinadas cuestiones que no son objeto de reserva de ley orgánica que requieren de la necesaria adaptación del Derecho español al Reglamento General de Protección de Datos, siendo ello el objeto de este Real Decreto-ley.
El Real Decreto-ley contiene catorce artículos estructurados en tres capítulos, dos disposiciones adicionales, dos transitorias, una derogatoria y una final, afectando, según señala, a cuestiones cuya inmediata incorporación a nuestro Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos.
De las novedades de este Real Decreto-ley debemos señalar, en primer lugar, que el Capítulo I se refiere a la inspección en materia de protección de datos, regulando el ámbito y personal competente para el ejercicio de la actividad de investigación, así como el alcance de la misma.
De este Real Decreto-ley destacamos especialmente la regulación del Capítulo II, que articula el nuevo régimen sancionador establecido por el Reglamento General de Protección de Datos, lo que implica que se deroguen los artículos 43 al 49, con excepción del artículo 46 (infracciones de las Administraciones Públicas) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal- LOPD-.
Desde el punto de vista de los sujetos responsables, ello se regula en el artículo 3 del Real Decreto-ley, señalando que el régimen sancionador en materia de protección de datos no será de aplicación al delegado de protección de datos.
El artículo 4, relativo a las infracciones, establece que constituyen infracciones las vulneraciones del Reglamento General de Protección de datos a las que se refieren los apartados 4, 5 y 6 de su artículo 83.
Los artículos 5 y 6 se refieren a la prescripción de las infracciones y sanciones, respectivamente, previéndose prescripciones de las infracciones de tres y dos años, y prescripción de las sanciones en el plazo de un, dos o tres años, en función de la cuantía de las mismas.
El Capítulo III regula los procedimientos relacionados con la vulneración de la normativa de protección de datos, ya sea los relativos a la reclamación de un afectado por no haberse atendido una solicitud de ejercicio de derechos reconocidos en el Reglamento General de Protección de Datos, o para determinar la posible existencia de una infracción del citado Reglamento General (procedimiento sancionador). Se establece que la duración máxima del procedimiento sancionador, desde la fecha de acuerdo de inicio, será de nueve meses, produciéndose su caducidad transcurrido dicho plazo.
Resulta interesante la previsión establecida en el artículo 9.3 relativa a que la Agencia Española de Protección de Datos -AEPD- podrá inadmitir una reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la AEPD, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos, siempre que no se haya causado perjuicio al afectado o que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
El artículo 11 regula las actuaciones previas de investigación antes de la adopción del acuerdo de inicio del procedimiento, señalándose que no podrán tener una duración superior a los doce meses.
El artículo 13 regula las medidas provisionales, facultando a la AEPD, durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, a acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos, pudiendo, entre otros, implicar el bloqueo cautelar de los datos o la cesación de tratamientos.
Finalmente, destacamos también que la Disposición transitoria primera regula el régimen transitorio de los procedimientos ya iniciados a la entrada en vigor del Real Decreto-ley, que se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado; y la Disposición Transitoria segunda, relativa a los contratos de encargado de tratamiento, estableciendo que estos contratos suscritos con anterioridad al 25 de mayo de 2018 al amparo del artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos, excepto que su hubiese pactado de forma indefinida, en cuyo caso mantendrán la vigencia hasta el 25 de mayo de 2022. Se establece expresamente que durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato para que resulte conforme al artículo 28 del Reglamento General de Protección de Datos.
Barcelona, 31 de julio de 2018.
Ignacio Baranera / Antonio Sánchez