3 septiembre, 2018

El Ejecutivo aprueba medidas urgentes en materia de protección de datos

A la espera de la aprobación de la futura Ley Orgánica de Protección de Datos, aún en trámite parlamentario, el pasado 31 de julio entró en vigor el Real Decreto- Ley 5/2018, de 27 de julio, aprobado por el Ejecutivo por vía de urgencia. Estableciendo una serie de medidas urgentes destinadas a adaptar el Derecho Español al nuevo Reglamento General de Protección de Datos – en adelante RGPD-, que como es sabido, comenzó a desplegar plenos efectos sobre los Estados Miembros el 25 de mayo del año en curso.

La plena aplicación del RGPD en España, implica que hayan de considerarse desplazadas aquellas disposiciones de nuestro Derecho interno que no resulten conformes con lo establecido en el mismo, como así sucede con muchos preceptos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre, creando así la necesidad de suplir ese vacío jurídico.

Además, son numerosos los preceptos del reglamento europeo que remiten al ordenamiento nacional. De igual forma, existen disposiciones que, pese a no existir una remisión directa y expresa, exigen de una adecuación del derecho interno a las nuevas directrices europeas. Es decir, el RGPD establece la necesidad y obligatoriedad de que los Estados Miembro, partiendo de unos patrones ya marcados, actúen para crear su propio “traje a medida”.

Por lo tanto, el Real Decreto- Ley, tiene por objeto regular determinados aspectos en materia de protección de datos de carácter personal, que se han considerados ajenos a la reserva de ley orgánica, mediante la adopción de medidas destinadas a ajustar nuestra legislación al nuevo RGPD. Estas medidas tienen carácter temporal ya que sólo estarán vigentes hasta que llegue la futura Ley Orgánica de Protección de Datos, que debió, sin duda, haber entrado en vigor junto con la aplicabilidad del Reglamento Europeo.

En particular, el contenido del RDLey está enfocado, esencialmente, a la actividad supervisión y control de cara a asegurar el correcto cumplimiento de las disposiciones del RGPD, y sancionar aquellas actuaciones y conductas que no se ajustan lo establecido en éste. De esta manera, el RDLey regula la labor inspección y el régimen sancionador, así como los procedimientos a seguir en caso de que pudiera existir vulneración del RGPD.

Entre los principales aspectos regulados en el Real Decreto Ley, es preciso destacar, en primer lugar, la delimitación de los sujetos responsables de los tratamientos a los que le es aplicable el régimen sancionador (art. 4 RDL). Se trata de los responsables y encargados de los tratamientos, los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, las entidades de certificación y, las entidades de supervisión de los códigos de conducta.

El RDL aclara expresamente, que el régimen sancionador no será de aplicable al Delegado de Protección de Datos, no dejando margen de interpretación en este sentido. Sin embargo, debemos inferir en que en el trámite de enmiendas al proyecto de ley orgánica fueron varios los grupos parlamentarios que propusieron que, efectivamente, el régimen sancionador no fuera aplicable al DPO, salvo la existencia de negligencia grave o dolo en el desempeño de sus funciones por lo que puede que dicha circunstancia sea modificada en un futuro.

En segundo lugar, el RDLey regula el procedimiento para los supuestos de posible infracción del RGPD (Cap. III, art. 7 y ss.). Así, en caso de posible vulneración de la normativa de protección de datos, se distingue hasta tres procedimientos diferentes:

a) Aquellos procedimientos tramitados por la Agencia Española de Protección de Datos – en adelante AEPD- en los que un afectado reclama que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento;

b) En los que la AEPD investiga la existencia de una posible infracción de lo dispuesto en el RGPD, bien por propia iniciativa o por reclamación;

c) Y procedimientos tramitados como consecuencia de la comunicación, por parte de autoridades de control de otros Estados Miembros, de una reclamación realizada a aquellos, donde la AEPD tuviese la condición de autoridad de control principal.

Se prevé, a su vez, la facultad de la AEPD para inadmitir una reclamación cuando no verse sobre protección de datos de carácter personal, carezca manifiestamente de fundamento, sea abusiva o carezca de indicios racionales de la existencia de una infracción. Del mismo modo, y esto es importante destacar, la AEPD podrá inadmitir una reclamación, cuando el responsable o el encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner al posible incumplimiento de la legislación de protección de datos, siempre que, a) no se haya causado perjuicio al afectado o, b) el derecho del afectado quede plenamente garantizado con la aplicación de las medidas.

Por lo que respecta a la actividad de investigación, el RDLey contempla que serán los funcionarios de la AEPD o funcionarios ajenos a ella habilitados expresamente por su director, quienes ejerzan una labor investigadora. En este sentido, es de destacar que el RDLey posibilita a la AEPD a realizar actuaciones previas de investigación antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación, si la hubiese, con el fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

Cuando la AEPD considere que la continuación del tratamiento puede comportar un menoscabo grave del derecho de protección de datos, podrá ordenar el bloqueo y la cesación del tratamiento y, en caso de incumplimiento, proceder a su inmovilización.

En relación con los procedimientos por infracción, por último, resulta interesante resaltar que el RDLey contempla la suspensión automática de los plazos de tramitación cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de una autoridad de otros Estados, por el tiempo necesario hasta su notificación a la AEPD, con el fin de evitar la caducidad del mismo.

La Agencia Española de Protección de Datos ha sido designada como representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos. Se dispone también la obligación de la AEPD de informar a las autoridades autonómicas y de racabar su parecer en materias de su competencia.

Por otro lado, respecto al régimen de infracciones y sanciones (cap II, art. 4 a 6), a diferencia de lo establecido al respecto en el proyecto de Ley Orgánica de Protección de Datos, no clasifica las infracciones calificándolas de leves, graves y muy graves, sino que para la tipificación de las mismas remite únicamente al RGPD, determinando que, constituirán infracciones las vulneraciones que las que se refieren los apartados 4, 5 y 6 del artículo 83 del RGPD.

El plazo de prescripción de las infracciones recogidas en los apartados 5 y 6 del artículo 83, sancionables con las cantidades más elevadas – sanciones que puede alcanzar los 20 millones de euros, o el 4% de la facturación anual global-, será de tres años, mientras que aquellas recogidas en el apartado 4 – infracciones sancionables con hasta 10 millones o el 2% de la facturación anual global-, el plazo de prescripción será de dos años.

A su vez, fija también plazos de prescripción para las sanciones impuestas en aplicación del RGPD, distinguiendo entre tres grupos, según su importe: será de un año para la de importe igual o inferior a 40.000 euros; de dos años para las de importe comprendido entre 40.001 y 3000.000 euros y; de tres años para las superiores a 300.000 euros.

En este sentido, y por lo que atañe a las posibles infracciones cometidas por las Administraciones Públicas en materia de protección de datos, es necesario recordar que el apartado 7 del artículo 83 del RGPD, otorga a los Estados Miembros la capacidad de establecer normas respecto a si se puede imponer multas administrativas a la administración pública y, en su caso, la medida de las mismas. En el caso de España, el RDL ha derogado, de forma expresa, el artículo 40 y el Título VII destinado a la regulación de infracciones y sanciones de la vigente LOPD, a excepción del art. 46 que regula las infracciones de las Administraciones Públicas por lo que, de momento, éstas continuarán rigiéndose en este aspecto por lo establecido en la LOPD 15/1999, y no podrán ser sancionadas mediante multa administrativa. El proyecto de Ley Orgánica tampoco prevé la posibilidad de que aquellas puedan ser sancionadas con multa económica, sino únicamente con apercibimiento y sin perjuicio de las medidas que la autoridad de control adopte para que cese la conducta y se corrijan los efectos de la infracción que en su caso se cometiera.

Por último, hacer mención de las disposiciones transitorias que dan luz a una cuestión que ha dado varios quebraderos de cabeza: qué hacer con los contratos suscritos entre responsable y encargado bajo la LOPD de 1999. Pues bien, como ya prevé el Proyecto de la LOPD, aquellos contratos de encargados de tratamiento suscritos al amparo de la LOPD de 1999 antes del 25 de mayo de 2018, mantendrán su vigencia hasta la fecha de vencimiento, y en caso de haberse pactado una duración indefinida, hasta el 20 de mayo de 2022. No obstante, el RDL establece la posibilidad, de que, durante el plazo de duración del contrato, cualquiera de las partes pueda exigir a la otra la modificación del mismo para adaptarlo al RGPD.

En relación con los procedimientos ya iniciados a la entrada en vigor del RGPD, se tramitarán conforme a la normativa anterior, salvo aquellos en que la regulación establecida en el RDLey resulta más favorable al interesado.

Pues bien, estas son algunas de las novedades que trae consigo el nuevo RDLey en materia de protección de datos de carácter personal. Novedades que como hemos advertido anteriormente, son temporales, pues el RDLey busca suplir parcialmente la ausencia de una LOPD adaptada al RGPD.

Obviamente, resulta beneficioso y garante, además de necesario, contar con las medidas adoptadas en esta nueva norma. No obstante, es ineludible la adopción de una disposición que permita la adaptación, de forma íntegra, del Derecho Español a la normativa de la Unión Europea en materia de protección de datos para garantizar de forma efectiva el derecho del artículo 18.4 de la Constitución en un marco de seguridad jurídica.

Resulta paradójico que las instituciones hayan manifestado su preocupación al advertir que la mayoría de los sujetos responsables todavía no se han adaptado a las exigencias del RGPD, mientras que el poder legislativo no ha realizado el esfuerzo necesario para adaptar nuestro ordenamiento a la norma europea; quedando aspectos esenciales pendientes de regular. El tiempo pasa igual para todos, incluso, quizás, puede que aquellos que exigen, hayan tenido un margen aún mayor para evitar que día de hoy, nos encontremos ante la necesidad de crear “remiendos legislativos”.


, .

Deja un comentario