LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 14:56:03

LegalToday

Por y para profesionales del Derecho

Primer paso en la concreción de la protección de datos: Real Decreto-ley 5/2018

Editora. Departamento de Contenidos. Área Profesional Aranzadi LA LEY

Tenemos sobradamente asumido que el nuevo Reglamento Europeo de Protección de Datos ha implicado no solo una profunda modificación del régimen en materia de protección datos, sino también el consecuente desplazamiento aplicativo de la LO 15/1999 y sus normas de desarrollo en todo aquello que contravenga lo establecido por aquél.

GDPR

A lo largo de su articulado el Reglamento Europeo encarga a los Estados miembros el desarrollo de aspectos concretos y en ocasiones les exige una adecuación al ordenamiento jurídico interno.

Concretamente, y en lo que se refiere al regimen sancionador, el Reglamento ha regulado por la técnica de la tipificación por remisión las conductas típicas, pero no ha regulado cuestiones tan importantes como los plazos de prescripción.

Del mismo modo, en los supuestos de tratamientos transfronterizos, en los que impera la idea de cooperación entre Estados miembros, tampoco se concreta cómo el Derecho interno de cada uno de ellos se puede ver afectado.

De ahí que, y ya centrándonos en nuestra propia legislación, todas aquellas cuestiones que no son objeto de Ley Orgánica, pero cuya concreción y adecuación al ordenamiento interno sí son urgentes, han sido objeto de regulación por el Real Decreto-ley 5/2018, de 27 de julio (BOE del 30), cuya entrada en vigor tendrá lugar al día siguiente de su publicación y se mantendrá vigente hasta la vigencia de la esperada nueva Ley Orgánica en materia de protección de Datos.

No obstante, los procedimientos ya iniciados se regirán por la normativa anterior, salvo que el nuevo regimen sancionador sea más favorable para el interesado.

En lo que respecta a los contratos de encargado de tratamiento suscritos con anterioridad al 25 de mayo de 2018, mantendrán la vigencia establecida en ellos y en caso de haberse pactado una vigencia indefinida, hasta el 25 de mayo de 2022.

A continuación haremos foco en aquellos puntos del nuevo Real Decreto-ley que pueden resultar más novedosos.

RÉGIMEN DE LAS INFRACCIONES

El nuevo Real Decreto-ley declara como infracciones las vulneraciones del artículo 83, apartados 4 a 6 del Reglamento Europeo, el cual tipifica las infracciones en graves y muy graves. A diferencia de la LOPD que distinguía las infracciones leves, graves y muy graves.

RÉGIMEN DE LAS SANCIONES

Respecto a las sanciones no hay ninguna concreción respecto a lo establecido en el Reglamento Europeo.

 PRESCRIPCIÓN

El Reglamento Europeo no regula regimen aplicable a la prescripción. Por su parte, el Real Decreto-ley distingue lo siguiente:

  • El plazo de prescripción de las infracciones será de 2 y 3 años, para las infracciones previstas en el artículo 83.4, por un lado y artículo 83. 5 y 6 del Reglamento Europeo, respectivamente.
  • El plazo de prespcripción de las sanciones será el siguiente:
  • Sanciones por importe superior a 300.000 €: 3 años
  • Sanciones por importe comprendido entre 40.001 y 300.000 €: 2 años
  • Sanciones por importe igual o inferior a 40.000 €: 1 año

RÉGIMEN DE RESPONSABILIDAD

En la Ley Orgánica de Protección de datos se consideraban, con carácter general, sujetos al regimen sancionador los Responsables de los ficheros y los Encargados de los tratamientos.

Por su parte, el Reglamento Europeo de Protección de Datos amplía la responsabilidad a los Organismos de certificación y a los Organismos de supervisión de los códigos de conducta. El nuevo Real Decreto-Ley añade a la lista a los Representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE.

Llama especialmente la atención el hecho de que los Delegados de Protección de Datos queden excluidos del regimen de responsabilidad.

PROCEDIMIENTO EN CASO DE VULNERACION DE LA NORMATIVA DE PROTECCIÓN DE DATOS

El nuevo Real Decreto-Ley dedica el capítulo III a los procedimientos tramitados por la AEPD y distingue:

  • Cuando el afectado reclama la falta de atención de su solicitud del ejercicio de sus derechos (regulados en los arts. 15 a 22 Reglamento Europeo).
    • Inicio: por acuerdo de admisión a trámite.
    • Plazo para resolver: 6 meses desde la notificación del acuerdo.
    • Resolución: cabe el silencio positivo.
  • Cuando se investigue la infracción del Reglamento Europeo o la normativa española en materia de protección de datos.
    • Inicio: por acuerdo de inicio adoptado por propia iniciativa, tras una reclamación o tras Comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro cuando la Agencia tuviese la condición de autoridad de control principal.
    • Plazo para resolver: 9 meses desde el acuerdo de inicio o, en su caso, del Proyecto de acuerdo de inicio. Trascurrido ese plazo, se producirá la caducidad y el archivo de actuaciones.

Cuando se presente ante la AEPD una reclamación, la inadmitirá en los casos siguientes:

  • Cuando no verse sobre cuestiones de protección de datos de carácter personal.
  • Carezcan de fundamento.
  • Sean abusivas.
  • No aporten indicios racionales de la existencia de una infracción.
  • Cuando el responsalbe o encargado del tratamiento, previa advertencia de la Agencia, hubiera adoptado medidas correctivas, siempre que no haya causado perjuicio al interesado y el derecho del afectado quede garantizado.

ACTUACIONES DE INSPECCIÓN

La AEPD podrá llevar a cabo actuaciones de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.

La actividad de investigación de la AEPD se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella, habilitados expresamente por el Director de la AEPD.

Los funcionarios tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones y estarán obligados a guardar secreto, incluso después de haber cesado en el ejercicio de la función.

En el desarrollo de la investigación podrán:

  • Recabar la información precisa para el cumplimiento de sus funciones.
  • Realizar inspecciones.
  • Requerir la exhibición o el envío de documentos o datos necesarios.
  • Examinarlos, obtener copia e inspeccionar los equipos.
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.

Las entradas a domicilio debe ejercerse de conformidad con las normas procesales, en particular, en los que se precisa la autorización judicial previa.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.