Estos son los aspectos más destacados del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
Esta primera fase del proceso de adaptación se limita a las materias que no requieren ley orgánica, que seguirán su proceso con la tramitación del proyecto de ley de la nueva LOPD en el Congreso de los Diputados.
Entre las medidas contenidas en el Real Decreto Ley, destacan las siguientes:
- La inspección de las infracciones del RGPD.
- El régimen sancionador en materia de protección de datos.
- Los procedimientos aplicables en caso de vulneración del RGPD.
- La delimitación de los sujetos a los que les es aplicable el régimen sancionador.
- La determinación de los plazos de prescripción de las infracciones y sanciones previstas en el RGPD.
El Real Decreto-ley deroga el artículo 40 de la LOPD, relativo a la potestad de inspección y el Título VII de la LOPD, relativo a las infracciones y las sanciones, a excepción del artículo 46 (Infracciones de las AAPP).
La vigencia del Real Decreto-ley será temporal, ya que entraró en vigor el 31.07.2018 (al día siguiente de su publicación en el BOE) y permanecerá vigente hasta la entrada en vigor de la nueva LOPD, que se encuentra en tramitación parlamentaria.
Inspección en materia de protección de datos.
El Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos establece el siguiente régimen en materia de inspección.
Personal competente para el ejercicio de la actividad de investigación de la AEPD:
- La actividad de investigación se llevará a cabo por los funcionarios de la AEPD.
- También podrán llevarla a cabo funcionarios ajenos a la AEPD habilitados expresamente por su Director.
- Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones.
- Estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.
Alcance de la actividad de investigación de la AEPD.
Los funcionarios que desarrollen la actividad de investigación podrán:
- Recabar las informaciones precisas para el cumplimiento de sus funciones.
- Realizar inspecciones.
- Requerir la exhibición o el envío de los documentos y datos necesarios.
- Examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos.
- Obtener copia de ellos.
- Inspeccionar los equipos físicos y lógicos
- Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.
Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa.
Régimen sancionador en materia de protección de datos.
El Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos establece el siguiente régimen sancionador en materia de protección de datos.
Sujetos responsables.
Están sujetos al régimen sancionador establecido en el RGPD y la normativa española de protección de datos las siguientes personas físicas o jurídicas:
- Los responsables de los tratamientos.
- Los encargados de los tratamientos.
- Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
- Las entidades de certificación.
- Las entidades acreditadas de supervisión de los códigos de conducta.
No será de aplicación al Delegado de Protección de Datos (DPD) el régimen sancionador en esta materia.
Prescripción de las infracciones.
- Las infracciones con multas de hasta 20 millones prescribirán a los tres años.
- Las infracciones con multas de hasta 10 millones prescribirán a los dos años.
- Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador.
- Se reiniciará el plazo de prescripción si el expediente sancionador estuviese paralizado durante más de seis meses por causas no imputables al presunto infractor.
Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.
Los detalles del procedimiento se regulan en el el artículo 7 y siguientes del Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
Régimen transitorio de los contratos de encargado del tratamiento.
El Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos. En el caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD.