Adaptación a la normativa europea de protección de datos

Como hemos venido informando, tanto en anteriores noticias como a través de diversas comunicaciones enviadas en las últimas semanas, el pasado 25 de mayo entró en vigor el Reglamento Europeo de Protección de Datos (RGPD), directamente aplicable en los estados miembros de la Unión, el cual sustituyó a la Ley Orgánica de Protección de Datos, al menos parcialmente, pues el Reglamento dejó a los estados la capacidad de regular ciertas áreas.

Una de ellas es el procedimiento sancionador aplicable a los incumplimientos de la nueva normativa. Si bien el Reglamento contempla sanciones económicas (bastante cuantiosas), dejaba al arbitrio de los respectivos estados miembros su desarrollo. Y precisamente esto es lo que ha hecho el Gobierno, que el pasado 27 de julio aprobó el Real Decreto Ley 5/2018, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que aprueba la regulación el procedimiento sancionador y que será aplicable hasta que se aprueba la nueva normativa a nivel nacional.

Protección de Datos. Régimen Sancionador

El R.D. que remite al Reglamento para la tipificación de las infracciones, incluye el régimen sancionador de dicho Reglamento. Como puntos más importantes regula:

Sujetos responsables del tratamiento a los que les es aplicable el régimen sancionador. Los responsables y encargados del tratamiento y sus representantes no establecidos en el territorio de la Unión Europea.
Plazos de prescripción.
- se establece un plazo de prescripción de dos años para las infracciones menos graves.
- y de tres para las de mayor gravedad.
En cuanto a las sanciones, las de importe igual o inferior a 40.000€ prescriben en el plazo de un año. Las que van entre 40.001€ y 300.000€ prescriben a los dos años. Y por último, las de importe superior a 300.000€ a los tres años.
El procedimiento sancionador. Distinguiendo entre procedimientos que hagan referencia a los derechos de los interesados o bien los de vulneración del propio Reglamento.
- La Agencia Española de Protección de Datos previo a la admisión a trámite de la reclamación, podrá dar traslado de la misma al Delegado de Protección (si estuviera designado), al responsable del tratamiento y al encargado en su caso, para que en el plazo de un mes puedan realizar alegaciones.
- Una vez admitida a trámite la reclamación, la Agencia abrirá una investigación tras la cual se iniciará el procedimiento sancionador por las supuestas infracciones que se hayan cometido y que se comunicará a la entidad o entidades responsables de las mismas. La duración máxima del procedimiento será de 9 meses a computar desde el acuerdo de inicio del expediente.

Se regula el personal competente para realizar las labores de investigación y la forma de realizarlas.
Por último, dado que el Reglamento contempla la colaboración de las distintas autoridades de control en los procedimientos transfronterizo, el Real Decreto Ley regula la suspensión o la interrupción de los plazos de prescripción, en tanto las autoridades de otros países revisan los procedimientos.

Conclusión

Por tanto contamos ya con una completa legislación en vigor. Solo nos queda a todos los sujetos obligados dar cumplimiento a esta nueva normativa, para poder evitar las cuantiosas multas que tanto el Reglamento como este nuevo Real Decreto Ley contemplan.