top of page
Foto del escritorArrangoiz & Asociados

MEDIDAS PARA LA ADAPTACIÓN DE ESPAÑA AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS

Ana García Lucero, Abogada área Mercantil. AGM Abogados

AGM Abogados . Bufete de abogados corresponsales en España.





Como es de sobra conocido por todos gracias a las constantes compañas de actualización de sus políticas de privacidad de infinidad de empresas, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)(en adelante el RGPD), es plenamente aplicable en España desde el pasado 25 de mayo. Sin embargo y a pesar de que el RGPD es como decimos plenamente aplicable, en el mismo existen numerosos preceptos que requieren desarrollo, obligatorio o potestativo, por parte de los Estados miembros. Así por ejemplo, el RGPD establece un régimen sancionador en el que se tipifican conductas infractoras, pero no regula cuestiones tan esenciales como los plazos de prescripción de dichas infracciones, al considerar que dicha cuestión corresponde determinarla por parte de los ordenamientos internos de los Estados miembros. Por ello, y puesta de manifiesto la necesidad de adaptar el marco normativo interno al RGPD, el 10 de noviembre de 2017 nuestro Consejo de Ministros aprobó un Proyecto de Ley Orgánica, que remitió a las Cortes Generales, y que aún a fecha de hoy se encuentra en tramitación. Dado el retraso de la aprobación de la nueva Ley Orgánica de Protección de Datos, nuestro ejecutivo ha considerado la extraordinaria y urgente necesidad de regular ciertas cuestiones (no atribuidas a la competencia exclusiva de la Ley Orgánica) a través de un Real Decreto-Ley que a continuación pasaremos a analizar. El referido Real Decreto-Ley se compone de tres Capítulos y un total de quince artículos, dos Disposiciones Adicionales, dos Disposiciones Transitorias, una Disposición Derogatoria y una Disposición Final. En el Capítulo I el Real Decreto-Ley se limita a determinar que la Agencia Española de Protección de Datos (AEPD) a través de sus funcionarios tendrá la facultad inspectora, contando para ello con la colaboración de las Administraciones Públicas, en caso de que sea necesaria su participación en el proceso inspector para recabar información e identificar a los responsables. En el Capítulo II, establece el Real Decreto-Ley los sujetos que pueden resultar responsables en los procedimientos sancionadores (responsables y/o encargados del tratamiento, así como representantes de los referidos responsables y/o encargados, entidades de Certificación, y las entidades de supervisión de códigos de conducta). Es de especial interés indicar que se excluye expresamente como posible sujeto responsable a los Delegados de Protección de Datos. Así mismo, se determinan los plazos de prescripción tanto de las infracciones como de las sanciones:

  • Infracciones muy graves (art. 83. 5 y 6 del RGPD): prescriben a los 3 años.

  • Infracciones graves (art. 83.4 del RGPD): prescriben a los 2 años. La iniciación de procedimiento sancionador interrumpe el plazo de prescripción, el cual se reanudará si el expediente sancionador estuviera paralizado durante más de seis meses por causas no imputables al presunto infractor.

  • Sanciones por importe inferior a 40.000€: prescriben al año.

  • Sanciones por importe entre 40.001€-300.000€: prescriben a los 2 años.

  • Sanciones por importe superior a 300.000€: prescriben a los 3 años. El inicio del procedimiento de ejecución interrumpe el plazo de prescripción, el cual se reanudará en caso de que la ejecución estuviera paralizada durante más de seis meses por causas no imputables al sancionado.

El Capítulo III del Real Decreto-Ley es el que establece el procedimiento a seguir en caso de vulneración de la normativa de Protección de Datos, ya sea por reclamaciones de los afectados, inspecciones de oficio o a instancias de una Autoridad de Control de otro Estado Miembro. A continuación trataremos describir gráficamente el procedimiento: 1. Legitimación activa para el inicio del procedimiento: El procedimiento sancionador podrá iniciarse por cualquiera de los siguientes interesados:

  • Reclamación de un afectado por no haberse atendido sus derechos.

  • Notificación de posible infracción por parte de otra Autoridad de Control de otro Estado Miembro.

  • Inicio de oficio del procedimiento por la propia AEPD.

2. Análisis de la competencia territorial de la AEPD: salvo cuando el inicio del procedimiento se produzca por la Autoridad de Control de otro Estado Miembro o de oficio por la propia AEPD, ésta deberá examinar su competencia y determinar el carácter nacional o transfronterizo del procedimiento a seguir. Si la AEPD considera que no es competente para conocer los hechos, los remitirá a la Autoridad de Control principal que considere competente. 3. Remitir comunicación al Delegado de Protección de Datos (DPO) o al Responsable del Tratamiento: la AEPD potestativamente podrá remitir la reclamación al DPO o Responsable del Tratamiento, a fin de que den respuesta en el plazo de un mes. 4. Inadmisión a trámite: La AEPD inadmitirá a trámite reclamaciones presentadas cuando:

  • No versen sobre protección de datos.

  • Carezcan de fundamento.

  • Sean abusivas.

  • No existan indicios racionales de infracción.

  • El Responsable hubiera adoptado medidas correctivas para subsanar el posible  incumplimiento, y no se hubiera causado perjuicios a los afectos.

La AEPD dispone de un plazo de tres meses para decidir sobre la admisión o inadmisión de la reclamación, y así se lo ha de comunicar también al reclamante. En caso de que se le indique nada, por Silencio Administrativo Positivo se considerará que la reclamación ha resultado admitida a trámite. 5. Admisión a trámite de la reclamación:

  • Fase de actuaciones previas de investigación: la AEPD podrá llevar a cabo una investigación previa a fin de determinar de forma más precisa los hechos y las circunstancias del tratamiento. Esta fase no podrá tener una duración superior a 12 meses.

  • Medidas provisionales: durante la fase de investigaciones previas la AEPD podrá adoptar motivadamente medidas necesarias para salvaguardar el derecho fundamental a la protección de datos, tales como:

    • Bloqueo cautelar de datos.

    • Obligación inmediata de atender al derecho solicitado.

    • Cesación del tratamiento.

    • Inmovilización de los datos.


  • Proyecto de acuerdo de inicio del procedimiento sancionador: El Director de la AEPD, dictará acuerdo de inicio del procedimiento sancionador, en el que se concretarán los hechos, la identificación de las personas/entidades infractoras, la infracción que hubiera podido cometerse y su posible sanción. De este proyecto se dará conocimiento formal a los interesados. El procedimiento tendrá una duración máxima de nueve meses a partir de la fecha del acuerdo de inicio del procedimiento sancionador. Transcurrido esto plazo se producirá su caducidad y por lo tanto su archivo. Sin perjuicio de ello, el plazo quedará suspendido en caso de que sea necesario realizar consulta o asistencia a cualquier organismo de la Unión Europea o a cualquier otra Autoridad de Control.

Según dispone la Disposición Transitoria Primera del Real Decreto-Ley los procedimientos sancionadores ya iniciados con anterioridad al mismo, se regirán por la normativa anterior. Así mismo, las resoluciones que se dicten por parte de la AEPD deberán hacerse públicas. Finalmente el Real Decreto-Ley nos confirma algo que ya se suponía, y es que la AEPD será la representante española en el Comité Europeo de Protección de Datos, y por otro lado y en cuanto a los contratos con encargados del tratamiento, establece la obligación de adaptación de los mismos como máximo en fecha 25 de mayo de 2022. El presente Real Decreto-Ley está ya en vigor y lo estará hasta en tanto se publique la nueva Ley Orgánica de Protección de Datos, habiendo derogado los artículos sobre el procedimiento sancionador establecidos en la Ley Orgánica 15/1999 de 13 de Diciembre.

5 visualizaciones0 comentarios

Comments


bottom of page