Comentarios de urgencia sobre el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

Hoy ha salido publicado en el BOE el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Si le interesa/afecta la cuestión, no se puede ir de vacaciones sin saber a santo de qué viene esto. A continuación les dejo unos comentarios urgentes, en coautoría con Josep Jover, sobre el RDL de medidas urgentes.

¿Por qué se dicta esta norma?

Los teóricos del Derecho deben estar viviendo un momento confuso, en el que vemos que hay Directivas que prácticamente no necesitaban transposición (formalmente sí claro está) y Reglamentos europeos que, estando totalmente en vigor (véase aquí el impacto del RGPD en la administración local), no pueden ser totalmente aplicados sin un desarrollo normativo interno. En efecto, “La necesidad de adaptar el marco normativo interno al Reglamento General de Protección de Datos supuso la aprobación por el Consejo de Ministros en su sesión de 10 de noviembre de 2017 de un proyecto de ley orgánica, remitido a las Cortes Generales, que actualmente se encuentra en tramitación parlamentaria”.

En la misma linea la explicación de los motivos adelantada por la nota de prensa del Consejo de Ministros del pasado viernes 27 de julio, en cuyo seno se aprobó la norma. Como reza dicha nota, “El reglamento europeo establece un régimen sancionador aplicable en España, pero no regula cuestiones tan esenciales como los plazos de prescripción o las sanciones, al considerar que deben fijarse en el ordenamiento interno de los Estados. Esos dos factores son básicos para garantizar la seguridad jurídica de los procedimientos abiertos y proteger de manera efectiva los derechos de los ciudadanos. De no acometer cuanto antes su regulación, sería muy complicado aplicar el régimen sancionador, lo que también debilitaría el sistema de protección de datos y generaría el riesgo de que la Comisión Europea estudiase emprender acciones contra España por incumplimiento de su reglamento general”.proteccion-de-datos

Queda claro que se trata de una norma provisional, que encaja a la perfección en la razón de ser de un Real Decreto Ley (extraordinaria y urgente necesidad), y que se dicta a la espera de la Ley Orgánica ahora mismo en tramitación: “La entrada en vigor del RGPD provocó, por tanto, un vacío legal que dificulta su aplicación en España, lo que podría dejar desprotegido el derecho fundamental de los ciudadanos a su privacidad. Por eso era imprescindible y urgente la adopción de una norma con rango de ley que permita la adaptación del Derecho español al reglamento europeo en algunas cuestiones cuya regulación no está reservada a ley orgánica. El Real Decreto-ley aprobado este viernes realiza dicha adaptación y tendrá vigencia sólo hasta el momento en el que las Cortes aprueben el proyecto de ley cuya tramitación parlamentaria sigue pendiente”. Todo ello sin perjuicio del principio de reserva de Ley Orgánica.

Es por ello que el Real Decreto-ley entra a regular aspectos relacionados con la inspección, el régimen sancionador y el procedimiento de instrucción que son relevantes para la garantía efectiva del derecho a la protección de los datos personales, dado que aportan la seguridad jurídica necesaria sin cuya existencia el modelo europeo de supervisión queda debilitado y, con él, las opciones de los ciudadanos de hacer valer su privacidad. En este sentido, el Real Decreto-ley fija cuál es el personal competente para realizar las labores de investigación previstas en el RGPD y regula el modo en que podrán desarrollar su actividad de inspección. Asimismo, determina el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros de la Unión Europea que participen en actuaciones conjuntas de investigación.

10 notas de urgencia sobre el RDL (por Josep Jover)

1) Los “Agentes del la AGPD” pueden ser internos o externos, pero han de ser funcionarios y tienen condición de agentes de la autoridad. Se necesitará control judicial para entrar en un edificio (antes no era preciso si no era un domicilio).

2) el DPD (Delegado de Protección de Datos) queda exonerado de la aplicación del derecho sancionador en materia de protección de datos.

3) Sí están sujetos, por contra,

  1. a) Los responsables de los tratamientos.
  2. b) Los encargados de los tratamientos.
  3. c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. d) Las entidades de certificación.
  5. e) Las entidades acreditadas de supervisión de los códigos de conducta.

4) Las infracciones que prescriben a los 3 años son las de los apartados 5 y 6 del Art. 83 del RGPD, y a los 2 años las del apartado 4 de dicho artículo.

5) También prescriben las sanciones:

  • de igual o menos de 40.000, al año.
  • de 40.001 a 300.000, a los dos años; y
  • más de 300.000, a los tres.

6) La Agencia podrá inadmitir una denuncia porque

  1. no se haya causado perjuicio al afectado o
  2. porque quede perfectamente garantizado su derecho infringido mediante aplicacion de las medidas

(O sea, que en las denuncias habrá de acreditarse el perjuicio y que no se han aplicado medidas correctoras)

7) Con carácter previo, la Agencia debe determinar si es autoridad de control principal, si no lo es debe remitir las actuaciones a la que sea principal (¿que pasa con los servidores o servicios prestados desde el extranjero?).

8) Disposición Transitoria Primera. Los procedimientos ya iniciados a la entrada en vigor del RDL se regirán bajo la normativa anterior, SALVO QUE EL RÉGIMEN ESTABLECIDO EN EL MISMO CONTENGA DISPOSICIONES MAS FAVORABLES PARA EL INTERESADO (importante para los procedimientos en marcha, administrativos o judiciales).

9) Disposición Transitoria Segunda. Los contratos de Encargado de tratamiento suscritos con la anterior LOPD, se mantendrán vigentes hasta su fin y como máximo hasta el 25-5-2022.

10) Falta regular: Dirimir cuál será la mayoría de edad de corte para la recogida de datos de carácter personal.

Otras disposiciones

La Disposición adicional primera establece que la Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos, e informará a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas en el Comité Europeo y recabará su parecer cuando se trate de materias de su competencia.

En materia de transparencia, la Disposición adicional segunda señala que la Agencia Española de Protección de Datos publicará las resoluciones de su Director que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las que impongan medidas cautelares y las demás que disponga su Estatuto.

Ya hemos visto que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022 (Disposición transitoria segunda). No obstante, durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.

Derogación normativa. Quedan derogadas todas las normas de igual o inferior rango que se opongan a lo establecido en el presente real decreto-ley, y en particular, los siguientes artículos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal:

  • a) El artículo 40.
  • b) Los artículos 43 al 49, con excepción del artículo 46.

Vigencia (Disposición final única). El real decreto-ley entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado» (es decir, mañana día 31 de julio) y lo estará hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.

© Todos los derechos reservados. Nosoloaytos. Web oficial de Víctor Almonacid Lamelas 2018. Aviso legal.

Anexos. 

Anuncios

5 respuestas a “Comentarios de urgencia sobre el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

  1. Gracias por la rapidez¡¡¡¡¡ veremos que pasa cuando aprueben la Ley Orgánica pero era clave determinan el papel de la AEPD en los procedimientos sancionadores.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s