Aprobación de medidas urgentes en materia de protección de datos

Todos estábamos pendientes del Proyecto de Ley Orgánica de Protección de Datos (podéis ver el seguimiento de la iniciativa parlamentaria pinchando aquí), que este Real Decreto-ley que vamos a comentar nos ha pillado casi por sorpresa.

El pasado martes saltaba la noticia [1] [2] de que el gobierno modificaría con urgencia el régimen sancionador de la Ley de protección de datos. El pasado viernes día 27, el Consejo de Ministros aprobaba el Real Decreto Ley que finalmente ha sido hoy publicado en el Boletín Oficial del Estado (BOE). El Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos adapta aquellos preceptos en los que el Reglamento General de Protección de Datos (en adelante, RGPD) remitía su desarrollo a los Estados miembros, y que no requieren rango de ley orgánica. Este Real Decreto Ley entra en vigor el 31 de julio de 2018. La vigencia de esta norma queda supeditada a la aprobación de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al RGPD, y completar sus disposiciones.

La norma recientemente aprobada regula los siguientes aspectos:

• Identifica a los funcionarios de la Agencia Española de Protección de Datos (en adelante, AEPD), o aquellos funcionarios ajenos habilitados expresamente por la Dirección, como personal competente para el ejercicio de los poderes de investigación, y otorga a estos la consideración de agentes de la autoridad en el ejercicio de sus funciones. En este sentido, regula que en el caso de actuaciones conjuntas con autoridades de control de otros Estados miembros, estas ejercerán sus facultades con arreglo a lo previsto en la normativa europea.
• Articula el régimen sancionador según lo establecido en el RGPD, actualizando así los tipos infractores regulados actualmente en la Ley Orgánica 15/1999. En este Real Decreto-ley se determinan los plazos de prescripción de las infracciones y las sanciones:

Queda excluido de este régimen sancionador el delegado de protección de datos.

• Otro aspecto que regula el Real Decreto-ley es el procedimiento en caso de que exista una posible vulneración del RGPD. A este respecto cabe destacar que en caso de que el procedimiento se deba a una falta de atención de una solicitud de ejercicio de los derechos de los interesados, esta se resolverá en el plazo de seis meses. Transcurrido este plazo el interesado podrá considerar estimada su reclamación. En el caso de un procedimiento debido a otro incumplimiento del RGPD y la normativa española, el procedimiento tendrá una duración máxima de nueve meses.

A este respecto se regula que antes de resolver sobre la admisión a trámite de la reclamación, la AEPD podrá remitir la misma al Delegado de Protección de Datos, en el caso de que se disponga, o al responsable del tratamiento en el caso contrario, para dar respuesta a la reclamación en el plazo de un mes. De esta forma permite a los responsables del tratamiento a resolver de forma amistosa una reclamación antes de iniciar el procedimiento sancionador. Asimismo la AEPD podrá inadmitir la reclamación cuando el responsable hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos siempre y cuando no se haya causado perjuicio al afectado, y el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

• Nombra a la AEPD como representante de las autoridades de protección de datos en el Comité Europeo de Protección de Datos. La AEPD deberá informar a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas y recabará su parecer cuando se trate de materias de su competencia.
• Introduce una disposición transitoria que mantiene adecuados a derecho los contratos de encargado del tratamiento que, cumpliendo con el artículo 12 de la Ley Orgánica 15/1999, todavía se encuentren vigentes. Estos mantendrán su vigencia hasta la fecha de vencimiento o hasta un máximo de 4 años los pactados de forma indefinida.
• Por último, este Real Decreto-ley deroga el título VII de la Ley Orgánica 15/1999 a excepción del artículo relativo a las Infracciones de las Administraciones públicas que permanece vigente.

CONCLUSIONES

Mientras el Proyecto de Ley Orgánica para la adecuación del Derecho español al RGPD sigue los trámites parlamentarios, la aprobación urgente de este Real Decreto-ley legisla sobre las competencias de investigación de la AEPD, el régimen sancionador en materia de protección de datos y los plazos de prescripción de estos, así como el procedimiento en caso de posible vulneración de la normativa. Además, tal y como estaba previsto en el Proyecto de Ley Orgánica, da un margen para adecuar los contratos de encargado del tratamiento hasta su fecha de vencimiento, con el plazo límite del 25 de mayo de 2022, sin que sea óbice para que Tanto el responsable del tratamiento como el encargado puedan exigir a la otra parte la modificación del contrato a fin de que resulte conforme al RGPD.  El Real Decreto-ley entra en vigor el 31 de julio de 2018 y estará vigente hasta la aprobación de la nueva Ley Orgánica.

Estos cambios no introducen nuevos requisitos que modifiquen de modo alguno el trabajo que las organizaciones vienen realizando para la adecuación al RGPD. Por tanto, sigamos trabajando en el cumplimiento de los principios de protección de datos y del resto de aspectos recogidos en el RGPD mientras el Proyecto de Ley Orgánica sigue su curso.

REFERENCIA

• BOLETÍN OFICIAL DEL ESTADO – REAL DECRETO-LEY 5/2018

(N.d.E: Este post ha sido elaborado con la colaboración de Samuel Segarra).