Medidas Urgentes de Regulación del Proceso Sancionador

El Gobierno de España ha publicado mediante el Real Decreto Ley 5/2018, una serie de medidas para adecuar el ordenamiento jurídico español a la normativa europea.

En su publicación allá por 2016, el Reglamento Europeo de Protección de Datos (2016/679 UE), contemplaba que los Estados Miembros debían regular, con sus propias herramientas normativas, aspectos particulares que quedaban indefinidos o abiertos, dejando un espacio de dos años para que esta regulación fuera efectiva. Es decir, para que la antigua LOPD, basada en la derogada Directiva Europea 95/46/CE, fuera actualizada en consonancia con el RGPD.

A día de hoy, sea porque la normativa española (LOPD 15/1999 y RD 1720/2007) ya era de las más avanzadas, o porque la situación política ha desplazado las prioridades legislativas, la nueva LOPD, que tenía que completar el RGPD, no está más que en fase de anteproyecto, generándose una inseguridad jurídica derivada del solapamiento implícito de las distintas normas. Por ejemplo, en la aplicación efectiva de las infracciones y sanciones.

datos-proteccion-origami-cisne-rgpd-lopd

Por ello, y para evitar mayores perjuicios en la efectividad de la supervisión y aplicación sancionadora de la norma, el pasado viernes 27 de Julio, el Gobierno de España publicó una serie de medidas urgentes para alinear la LOPD al RGPD mediante el Real Decreto Ley 5/2018, en el que hay que destacar lo siguiente:

Bonus Track (Contratos con Encargados de Tratamiento)

  • Aunque este aspecto figura en el final del decreto, cabe destacarlo en el inicio, porque afecta a la redacción de contratos de confidencialidad con terceros. Según lo establecido, los contratos firmados con los Encargados de Tratamiento con anterioridad al 25 de Mayo de 2018, serán vigentes hasta el 25 de Mayo de 2022, salvo que se hubiera pactado una vigencia inferior.
  • No obstante, cualquiera de las partes afectadas, podrá solicitar la modificación de los mismos para adecuarlos al RGPD.

Potestad de Investigación de la Agencia Española Protección de Datos (AEPD)

  • La potestad de investigación recaerá en funcionarios (considerados como agentes de la autoridad) designados por la Agencia Española de Protección de Datos. En caso de investigaciones conjuntas con otras autoridades de control europeas, éstas podrán ejercer sus facultades, siempre en presencia de personal de la AEPD y bajo su orientación.
  • El personal que investigue podrá recabar información precisa, requerir que se exhiba, pedir su envío, examinar en el propio local del investigado, obtener copias, inspeccionar equipos y programas. La entrada a domicilios deberá ejercerse bajo autorización judicial.

Sujetos Sancionables

  • Salvo el Delegado de Protección de Datos, estarán sujetos a posibles sanciones, los responsables de tratamiento, los encargados, los representantes de responsables o encargados no establecidos en la UE, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta. 

Procedimientos de Sanción

  • En procedimientos exclusivamente referidos a la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 (acceso, rectificación, derecho al olvido, limitación, portabilidad, supresión, oposición…) se admitirá a trámite la reclamación, y podrá ser resuelto en 6 meses.
  • Para los procedimientos que tengan por objeto determinar la posible existencia de infracción, la AEPD podrá actuar por iniciativa propia o como consecuencia de una reclamación, y tendrá una duración máxima de 9 meses.
  • Se podrá no admitir a trámite las reclamaciones cuando:
    • Carezcan de fundamento, sean abusivas o no aporten indicios racionales
    • Cuando la propia AEPD, habiendo advertido al posible infractor, éste hubiera aplicado medidas correctivas y:
      • No hubiera causado perjuicio al afectado
      • El derecho del afectado quede garantizado mediante la aplicación de las medidas.
    • Antes de iniciar el procedimiento, la AEPD podrá remitir la reclamación al responsable, al encargado de tratamiento, o al delegado de protección de datos, para que respondan sobre la misma en el plazo de 1 mes.
    • En algunos casos, antes de tomar una decisión sobre el inicio de un procedimiento, la AEPD podrá realizar actuaciones previas de investigación para lograr una mejor determinación de los hechos y circunstancias. Estas investigaciones podrán un máximo de 12 meses y en este período se podrán establecer medidas provisionales.
    • Los procedimientos abiertos antes de la entrada del real decreto ley 5/2018 se regirán por la normativa anterior, salvo que el nuevo régimen fuera más favorable al interesado.

Prescripción de las Infracciones

Este es el tiempo que pasa desde que se comete la infracción hasta que pueda ser sancionable.

  • 2 años: infracciones referentes a los artículos 83.4 del RGPD.

Sanciones previstas con multas de hasta 10 millones de euros o 2% del volumen de facturación del ejercicio anterior, optándose por la mayor cuantía, referentes a:

Obligaciones del Responsable y del Encargado contempladas en los artículos:

○ 8:          Tratamiento Datos de menores.
○ 11:         Tratamientos que no requieren identificación.
○ 25 a 39:  Protección desde el diseño y por defecto, corresponsables del tratamiento, representante de responsable no establecidos en la UE, encargados de tratamiento, registro de actividades, cooperación con la AEPD, medidas de seguridad de los datos, notificación de brechas de seguridad, evaluaciones de impacto, consultas a la AEPD, delegado de protección de datos.
○ 42-43:    Procesos y Organismos de certificación.

Obligaciones de los Organismos de Certificación contempladas en los artículos:

  ○ 42-43:   Procesos y Organismos de certificación

Obligaciones de la Autoridad de Control, contempladas en el artículo:

  ○ 4:           Organismos autorizados por la AEPD

  • 3 años: infracciones referentes a los artículos 83.5 y 83.6 del RGPD.

Sanciones previstas con multas de hasta 20 millones de euros o 4% del volumen de facturación del ejercicio anterior, optándose por la mayor cuantía. referentes a:

Principios básicos del tratamiento, según artículos:

○ 5:    Principios del tratamiento (licitud, transparencia, lealtad, con fines determinados).
○ 6:    Licitud del tratamiento (cumple las condiciones necesarias).
○ 7:    Condiciones para el consentimiento.
○ 9:    Tratamiento de Categorías Especiales de datos (salud, datos biométricos, religión…).

Derechos de los interesados, según artículos:

○ 12 a 22:  Derecho a la transparencia, deber de informar, y ejercicio de derechos del Interesado.

Transferencias Internacionales, según artículos 44 a 49.

Obligaciones que el RGPD determina que deben ser reguladas por los Estados Miembros, relativos a:

○ La libertad de expresión y de información, el acceso a documentos oficiales, el tratamiento de números de identificación nacional, el tratamiento en el ámbito laboral, el interés público, la investigación científica o fines estadísticos, el tratamiento por asociaciones religiosas y obligaciones de secretos.

Incumplimiento resoluciones o limitaciones del Tratamiento efectuadas por la autoridad de control (AEPD), contempladas en los artículos:

○ 58 .1:   Poderes de Investigación.
○ 2:         Poderes correctivos.

portatil-ordenador-teclado-mecanografia-escribir-datos-proteccion-rgpd-lopd

Prescripción de las Sanciones

Es el tiempo que tiene la administración para hacer efectivas las sanciones, a contar desde que sea ejecutable la resolución por la que se impone la sanción).

  • 1 año: sanciones por importe igual o menor que 40.000 euros.
  • 2 años: sanciones entre 40.001 y 300.000 euros.
  • 3 años: sanciones superiores a 300.000 euros.
2018-09-28T14:17:44+00:00

Leave A Comment

Esta página usa cookies de terceros para mejorar la experiencia del usuario política de cookies

ACEPTAR
Aviso de cookies