El Reglamento Europeo (GDPR) recoge una serie de cuestiones que pueden ser desarrolladas de manera distinta por cada Estado miembro.
En concreto en España, sin una nueva Ley Orgánica de Protección de Datos y con un Reglamento de plena aplicación, el Consejo de Ministros ha aprobado el Real Decreto Ley que desarrolla y adapta todos aquellos aspectos que no requieren rango de Ley Orgánica pero que sí se consideran de carácter urgente. De ahí a que el Real Decreto Ley se llame Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (RDL).
La vigencia del RDL se limita al período existente entre el día siguiente de su publicación en el Boletín Oficial del Estado y la entrada en vigor de la nueva ley orgánica de protección de datos.
A continuación destacaré los principales puntos a tener en cuenta:
Prescripciones
El RDL indica que el plazo de prescripción para las infracciones previstas en el artículo 83.4 del GDPR será de 2 años y para las infracciones previstas en el artículo 83.5 y 83.6 de 3 años.
El plazo de prescripción de las sanciones será el siguiente:
- Sanciones superiores a 300.000 €: 3 años
- Sanciones entre 40.001 y 300.000 €: 2 años
- Sanciones iguales o inferiores a 40.000 €: 1 año
Responsabilidades
Bajo el RDL se consideran sujetos responsables a:
- a) Los responsables de los tratamientos.
- b) Los encargados de los tratamientos.
- c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
- d) Las entidades de certificación.
- e) Las entidades acreditadas de supervisión de los códigos de conducta.
El RDL sigue las consideraciones del GDPR y excluye a los Delegados de Protección de Datos de responsabilidad.
Procedimientos
El RDL distingue dos tipos de procedimientos tramitados por la Agencia Española de Protección de Datos (AEPD). El primero se daría cuando el afectado reclama la falta de atención de su solicitud del ejercicio de sus derechos y el segundo cuando se investigue la infracción del GDPR o la normativa española en materia de protección de datos.
En este sentido cabe mencionar que la AEPD podrá inadmitir cualquier reclamación recibida cuando:
- No verse sobre cuestiones de protección de datos de carácter personal.
- Carezca de fundamento.
- Sea abusivas.
- No aporte indicios racionales de la existencia de una infracción.
- Cuando el responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado medidas correctivas, siempre que no haya causado perjuicio al interesado y el derecho del afectado quede garantizado.
Inspecciones
La AEPD podrá realizar actuaciones de investigación durante un periodo de 12 meses desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación. Estas actuaciones permitirán evaluar y determinar con más precisión las circunstancias que justifican la tramitación del procedimiento.
Contratos
Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 sujetos al artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
No obstante, durante los mencionados plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a las nuevas exigencias del GDPR.