Jueves, Agosto 2, 2018 - 10:07
Medidas urgentes para adaptar el Derecho español a la normativa europea en materia de protección de datos
El Reglamento UE/679/2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, es ya de plena aplicación en España desde el pasado 25 de mayo. Por ese motivo, actualmente se encuentra en tramitación parlamentaria un Proyecto de Ley Orgánica para la adecuación de dicho Reglamento Europeo al Derecho interno español.
Entre tanto no se apruebe el Proyecto de Ley, y en aras de adoptar la normativa interna al Reglamento Europeo, se ha aprobado el RD-Ley 5/2018, de 27 de julio, que únicamente se compone de 14 artículos, 2 disposiciones adicionales y 2 disposiciones transitorias. Así mismo, se derogan los artículos 40, 43,44, 45, 46, 47, 48 y 49 de la Ley Orgánica 15/1999 (todavía vigente).
El Capítulo I atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigación que el Reglamento otorga a las autoridades de control. Se regula el modo en que pueden ejercerse dichos poderes, qué personas ejercen la actividad de investigación e inspección y en qué consisten esas atribuciones.
El Capítulo II articula el régimen sancionador, reemplazando los tipos infractores actualmente contenidos en la LOPD. Dos cuestiones fundamentales que se regulan son:
- Sujetos responsables del tratamiento a los que les es aplicable el régimen sancionador.
Se señalan a los responsables y encargados del tratamiento y sus representantes no establecidos en el territorio de la Unión Europea. Además, se señalan a las entidades de certificación y a las entidades acreditadas de supervisión de los códigos de conducta. Mención expresa es la exclusión del delegado de protección de datos del régimen sancionador.
- Los plazos de prescripción de las infracciones y sanciones:
En cuanto a las infracciones se preve un plazo de prescripción de dos años para las menos graves y tres para las de mayor gravedad (según el artículo 83 apartados 4, 5 y 6 del Reglamento (UE) 2016/679. En cuanto a las sanciones, las de importe igual o inferior a 40.000 euros, prescriben en el plazo de un año. Las de 40.001 y 300.000 euros prescriben a los dos años y las de importe superior a 300.000 euros a los tres años.
Hasta ahora existía un vacío legal en el régimen sancionador del Reglamento Europeo, que debía completarse por la normativa de cada país. Esto había llevado a muchos especialistas a decir que las infracciones cometidas al nuevo Reglamento no podían ser sancionadas. Esta posición, en cierta medida, viene a ratificarse con este RDL, que tan sólo aborda aspectos procedimentales y de infracciones de la nueva normativa.
El Capítulo III contiene la regulación del procedimiento en caso de que exista una posible vulneración del Reglamento. Para dar respuesta a las facultades de inspección que prevé el RGPD, el RD 5/2018 designa al personal competente para el desempeño de dichas facultades y se regula además el modo en que se ejercerán dichos poderes de investigación.
Además, el RD 5/2018 da respuesta al problema de los procedimientos transfronterizos, ya que en muchos casos es necesario recabar información de las autoridades responsables de protección de datos de otros países en aquellos supuestos que afectan a varios Estados. En este sentido, el RD prevé la suspensión de los procedimientos cuando sea necesario recabar información procedente de autoridades de otros Estados miembros. Además, se designa a la AEPD como representante de España en el Comité Europeo.
Por último, se designa a la AEPD como representante de España en el Comité Europeo, y se establecen previsiones sobre la publicidad de las resoluciones de la AEPD, con el fin de garantizar la transparencia de su actuación. Se regula que antes de resolver sobre la admisión a trámite de la reclamación, la AEPD podrá remitir la misma al Delegado de Protección de Datos, en el caso de que se disponga, o al responsable del tratamiento en el caso contrario, para dar respuesta a la reclamación en el plazo de un mes. De esta forma permite a los responsables del tratamiento a resolver de forma amistosa una reclamación antes de iniciar el procedimiento sancionador.
Asimismo la AEPD podrá inadmitir la reclamación cuando el responsable hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos siempre y cuando no se haya causado perjuicio al afectado, y el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
ALCALDEALDIA