El pasado 27 de julio se aprobó el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (en adelante, el “RDL 5/2018”), cuya publicación en el BOE ha tenido lugar el 30 de julio. El RDL 5/2018 viene a adecuar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”), respecto a determinadas cuestiones que, sin necesitar de una ley orgánica para su regulación, resultan indispensables para su correcta aplicación en España.
El RDL 5/2018 se divide en tres títulos, regulando en su Título I la inspección en materia de protección de datos, el régimen sancionador en el Título II y los procedimientos en caso de posible vulneración de la normativa de protección de datos en su Título III, dejando para las disposiciones adicionales, transitorias, derogatoria y final, cuestiones como, entre otras, la publicación de las resoluciones de la Agencia Española de Protección de Datos; la derogación normativa; o su periodo de vigencia.
Destacamos a continuación los aspectos más relevantes del RDL 5/2018:
- Aplicabilidad del régimen sancionador. Sujetos responsables: están sujetos al régimen sancionador del RGPD: (i) los responsables y encargados del tratamiento; (ii) los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea; (iii) las entidades de certificación; y (iv) las entidades acreditadas de supervisión de los códigos de conducta. Se excluye expresamente de tal responsabilidad al Delegado de Protección de Datos.
- Prescripción de las infracciones: se establece un plazo de tres años para la prescripción de las infracciones contenidas en los apartados 5 y 6 del artículo 83 del RGPD, y un plazo de dos años para las establecidas en el apartado 4 del mismo artículo.
- Prescripción de las sanciones: se regula la prescripción de las sanciones en función de su cuantía, estableciendo que: (i) las sanciones con un importe igual o inferior a 40.000 euros prescribirán en el plazo de un año; (ii) las sanciones con un importe comprendido entre 40.001 y 300.000 euros prescribirán a los dos años; y (iii) las sanciones superiores a 300.000 euros prescribirán a los tres años. El plazo de prescripción en los tres casos comenzará a contarse desde el día siguiente a aquel en el que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.
- Procedimiento sancionador: la iniciación y los plazos de resolución del procedimiento sancionador varía en función del objeto del mismo:
- Si el objeto del procedimiento hace referencia a los derechos de los interesados establecidos en los artículos 15 a 22 del RGPD, se iniciará el procedimiento por acuerdo de admisión a trámite de la Agencia Española de Protección de Datos, que dispondrá de un plazo de resolución de seis meses desde que el reclamante hubiera sido notificado del mencionado acuerdo. Transcurrido el mismo, el interesado podrá considerar estimada su reclamación.
- Si el procedimiento tiene por objeto la determinación de la existencia de una infracción del RGPD, se iniciará mediante acuerdo de inicio adoptado a iniciativa de la Agencia Española de Protección de Datos o como consecuencia de una reclamación cuya admisión haya sido
aceptada por esta autoridad de control.
Resulta importante señalar que el RDL 5/2018 establece que, antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la reclamación al Delegado de Protección de Datos designado por el responsable o el encargado del tratamiento para que pueda dar, en su caso, contestación en el plazo de un mes. En caso de no haber sido designado un Delegado de Protección de Datos se podrá igualmente remitir la reclamación al propio responsable o encargado.
Tras su admisión a trámite, y con carácter previo al acuerdo de inicio, la Agencia Española de Protección de Datos podrá iniciar una fase de investigación, con una duración máxima de doce meses a contar desde la fecha de acuerdo de admisión a trámite. Concluidas las actividades de investigación, se dictará el acuerdo de inicio del procedimiento sancionador en el que se concretarán los hechos, la identificación de la entidad contra la que se dirigirá el procedimiento, la infracción que se hubiera podido cometer y su posible sanción. La duración máxima de este procedimiento será de nueve meses a contar desde la fecha del acuerdo de inicio.
Por último, la Disposición transitoria primera dispone que los procedimientos ya iniciados a la entrada en vigor del RDL 5/2018 se regirán por la normativa anterior salvo que éste contenga disposiciones más favorables para el interesado.
- Contratos de encargado de tratamiento: la disposición transitoria segunda establece, respecto a los contratos de encargado de tratamiento que hayan sido suscritos conforme a lo establecido en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y con anterioridad al 25 de mayo de 2018, que mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y, en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.