Primeros pasos para la adaptación del Derecho nacional al Reglamento General de Protección de Datos
Tras la entrada en vigor del Reglamento General de Protección de Datos (a continuación, RGPD) en 2016 y su reciente aplicación desde el pasado mayo, se generó en España un vacío legal entre las disposiciones del texto legal que hasta el momento había regido la materia, la Ley Orgánica de Protección de Datos (a continuación, LOPD), y aquellas otras de la normativa europea, que introducía importantes novedades. Dado que la LOPD no ha sido derogada y el RGPD despliega efectos sin necesidad de incorporación específica en el Derecho nacional, surge una situación en la que conviven dos textos que regulan el ámbito de protección de datos pero que se contradicen en algunos puntos, de tal modo que el segundo desplaza al primero en tales aspectos.
En este contexto, el Consejo de Ministros ha aprobado un Real Decreto-ley (Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos) que procura esta adaptación a fin de adecuar el ordenamiento español, pero sólo a las disposiciones europeas que no admiten demora, con lo que se trata de una medida parcial y que tendrá vigencia sólo hasta el momento en el que las Cortes aprueben el proyecto de ley, que será el paso definitivo a fin de que la normativa interna se ajuste a la totalidad de los estándares fijados por la Unión Europea. Dicho proyecto se encuentra por el momento en fase de tramitación parlamentaria.
El objeto del mencionado Decreto-ley concierne únicamente a los siguientes elementos:
– Inspección. Se atiende a la necesidad de delimitar el modo en que podrán ejercerse dichos poderes, qué personas llevarán a cabo la actividad de investigación e inspección y en qué consistirán dichas atribuciones.
– Régimen sancionador. Reemplaza los tipos infractores de la LOPD, se definen los sujetos que pudieran incurrir en la responsabilidad y se determinan los plazos de prescripción de las infracciones y sanciones. Se asume así el régimen sancionador del RGPD. Se establece lo siguiente:
o Sujetos responsables: responsables, encargados, representantes en la Unión Europea, entidades de certificación y entidades de supervisión de los códigos de conducta; los delegados de protección de datos no serán considerados responsables a estos efectos.
o Aquellas infracciones sancionadas con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (art. 83.5 y 83.6 RGPD) prescribirán a los tres años, mientras que las infracciones sancionadas con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, prescribirán a los dos años.
o Los plazos de prescripción de las sanciones son los siguientes:
• Sanciones por importe igual o inferior a 40.000 euros: un año.
• Sanciones por importe comprendido entre 40.001 y 300.000: dos años.
• Sanciones por un importe superior a 300.000 euros; tres años.
– Procedimiento de instrucción. Comprende principalmente la forma de iniciación del procedimiento y su duración, las condiciones de admisión a trámite de las reclamaciones, la determinación del alcance territorial y las medidas provisionales. La falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 RGPD deberá resolverse en seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite; si no hay contestación se entiende estimado, por aplicación del silencio positivo. Por otro lado, cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y la normativa española de protección de datos, la duración será de nueve meses.
El Decreto-ley deroga en consecuencia el artículo 40 LOPD (“potestad de inspección”) y el Título III del mismo cuerpo normativo (Infracciones y sanciones), a excepción del artículo 46 (“Infracciones de las Administraciones públicas”).
