El pasado día 27 de julio se aprobó el Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, trayendo consigo sanciones con el RGPD.
Con este Real Decreto-ley se pretende dar soporte a los preceptos del Reglamento europeo que se quedaron a la espera de que los Estados miembros los desarrollaran en su normativa nacional. Esta normativa estará vigente hasta que entre en vigor la nueva Ley Orgánica de Protección de Datos (actualmente se está tramitando el Anteproyecto en el Congreso).
Nuevo régimen sancionador en España
Con esta normativa se pretende dar respuesta a una serie de cuestiones que el Reglamento europeo de Protección de Datos dejó abiertas como:
- Identificación y atribuciones de aquellas personas que ejercerán de autoridad para investigar y determinar que se cumpla con el reglamento
- Mecanismos que se deben de usar por el personal autorizado
- Régimen aplicable al personal de investigación
- Régimen sancionador para los casos en que no se cumpla lo establecido por el Reglamento europeo
- Reemplaza las infracciones de la LOPD por las del RGPD
- Determina qué sujetos van a ser responsables
- Determina el procedimiento sancionador
- Se designa a la AEPD como representante de España en el Comité Europeo para que informe a las autoridades autonómicas acerca de las decisiones adoptadas en la UE
- Se pretende dar transparencia a la actuación de la AEPD a través de la publicación de sus resoluciones cuando:
- atiendan los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad;
- pongan fin a los procedimientos de reclamación;
- archiven actuaciones previas de investigación;
- sancionen con apercibimiento a las Administraciones Públicas;
- impongan medidas cautelares y
- las demás que determine el Estatuto de la AEPD
Normativa relacionada
Las normas que actualmente regulan el procedimiento sancionador en materia de Protección de Datos son:
RGPD
El Reglamento europeo de Protección de Datos únicamente regula criterios o cuestiones básicas en relación a las infracciones y sanciones. No alude a cuestiones como:
- Graduación especifica de las sanciones
- Prescripción tanto de las infracciones como de las sanciones
- Procedimiento sancionador
- Potestad de inmovilización de los ficheros
- Todo lo referente a las infracciones de las Administraciones Públicas
Real Decreto-ley 5/2018
Este Real Decreto-ley de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos comprende 14 artículos, y su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del RGPD.
LOPD
La LOPD, actualmente vigente en España en todo lo que resulte compatible con el RGPD, establece el régimen sancionador sobre protección de datos en el título VII. Este título a sido derogado casi en su totalidad por el anterior Real Decreto-ley.
Contenido
Lo que vamos a intentar realizar en este post, es un breve resumen del Real Decreto-ley recientemente publicado, donde nos vamos a centrar en los aspectos más importantes que nos pueden interesar como empresa:
- Quién puede investigar
- Quiénes son responsables
- Infracciones y sanciones
- Procedimiento sancionador
1. Personal competente para la investigación
Según la normativa se considera personal competente a:
- Funcionarios de la Agencia
- Funcionarios externos que hayan sido previamente habilitados por el Director de la AEPD
En los casos en que haya actuaciones conjuntas, serán competentes las autoridades de control de otros Estados Miembros de la Unión Europea en los casos en los que se actúe y colabore con la Agencia.
2. Sujetos responsables
En caso de cometerse una infracción en materia de Protección de Datos, se consideran sujetos responsables:
- Responsables del tratamiento
- Encargados del tratamiento
- Representantes de los responsables o encargados de los tratamientos no establecidos en la Unión Europea
- Entidades de certificación
- Entidades acreditadas de supervisión de los códigos de conducta (AEPD)
- Autoridades de control
Es importante destacar que la figura del delegado de protección de datos no podrá ser sancionado como sujeto responsable.
3. Infracciones
En cuanto a las infracciones, este Real Decreto-ley hace una remisión a las ya recogidas en el RGPD. Se recogen dos tipos de infracciones:
Graves
Las infracciones consideradas como graves prescriben a los dos años. Serán sancionadas con multas administrativas de 10.000.000 euros como máximo, y si es empresa el 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
Para los casos donde no se cumplan:
- Las obligaciones del responsable y del encargado
- Los compromisos de los organismos de certificación
- Obligaciones de la autoridad de control
Muy graves
Las infracciones consideradas como muy graves prescriben a los tres años. Serán sancionadas con multas administrativas de 20.000.000 euros como máximo, y si es empresa con una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
Para los supuestos donde no se cumplan:
- Los principios básicos para el tratamiento, incluido el consentimiento
- Los derechos de los interesados de acceso, rectificación, cancelación, oposición, limitación y portabilidad
- Requisitos establecidos para realizar transferencias de datos personales a un destinatario en un tercer país o una organización internacional
- Las obligaciones que adopten los Estados miembros
- Una resolución o limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control
La prescripción de las infracciones se interrumpe con el inicio del procedimiento sancionador con conocimiento del interesado. Este plazo se reanudará cuando el expediente sancionador se encuentre paralizado más de seis meses por causas no imputables al presunto infractor.
4. Sanciones RGPD
En cuanto a las sanciones, el Real Decreto-Ley 5/2018 se remite a las contenidas en el RGPD.
Los plazos de prescripción de las sanciones comienzan a contar desde el día siguiente desde que se pueda ejecutar la resolución que impone la sanción o desde que ha transcurrido el plazo para ello. Y prescriben conforme a los siguientes plazos:
- Aquellas de igual o menos de 40.000 euros, prescriben en un año
- Las comprendidas entre 40.001 y 300.000 euros, prescriben en dos años
- Sanciones de más de 300.000 euros, prescriben a los tres años
En lo que respecta a la interrupción del plazo de prescripción, ocurre algo muy similar que en las infracciones, se interrumpe por el inicio del procedimiento de ejecución con conocimiento del interesado, continuando el plazo si se está paralizado durante más de seis meses por causas no imputables al infractor.
Procedimiento sancionador
La Agencia Española de Protección de Datos examinará de oficio su competencia al inicio de cualquier actuación para determinar el carácter nacional o transfronterizo y el procedimiento a seguir. En caso de que la AEPD considere que no tiene competencia, remitirá la reclamación a la Autoridad de control principal que considere competente y ese traslado se lo notificará a quien hubiera presentado la reclamación.
Inicio
El inicio del procedimiento puede producirse de dos maneras:
- Cuando no se atiendan a la solicitud de ejercicio de los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad
- Cuando pueda existir una infracción del reglamento
En cuanto a la admisión de las reclamaciones, estas serán evaluadas por la AEPD. No se admitirán aquellas que:
- No versen sobre cuestiones de protección de datos de carácter personal
- Carezcan manifiestamente de fundamento
- Sean abusivas
- No aporten indicios racionales de la existencia de una infracción
- El responsable o encargado del tratamiento, previa advertencia de la AEPD, hubiera adoptado las medidas correctivas para poner fin al posible incumplimiento cuando no se haya causado perjuicio al afectado y que el derecho del afectado quede plenamente garantizado mediante la aplicación de esas medidas
Tanto la admisión como la inadmisión, debe notificarse al reclamante en el plazo de 3 meses. En caso de no haber una comunicación expresa en dicho plazo, se entiende que la reclamación ha sido admitida y continúa su tramitación.
Alegaciones
Puede existir una fase previa de alegaciones para la investigación una vez que se haya admitido la reclamación, en caso de que la hubiese, con el fin de determinar los hechos y las circunstancias. La AEPD actuará cuando los tratamientos que se están investigando impliquen un tratamiento masivo de datos. Esta fase previa de alegaciones no podrá ser superior a 12 meses desde que se acuerde su admisión a trámite o desde que la AEPD actúe por iniciativa propia o a consecuencia de la comunicación por otro Estado miembro de la UE.
Finalizada la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario, el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción.
Además la AEPD podrá acordar de forma motivada la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
Actuaciones de inspección
La AEPD podrá llevar a cabo actuaciones de inspección a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.
No podrán tener una duración superior a 12 meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo de iniciación.
En el ejercicio de estas actividades de investigación, los funcionarios de la AEPD pueden:
- Recabar la información precisa para el cumplimiento de sus funciones
- Realizar inspecciones
- Solicitar la exhibición o el envío de documentos o datos necesarios
- Examinarlos, obtener copia e inspeccionar los equipos
- Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación
Contratos de encargo de tratamiento
Aquellos contratos de encargado de tratamiento que se hayan realizado de forma previa al día 25 de mayo de 2018, cuando haya sido conforme al artículo 12 de la LOPD (el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas), continuarán vigentes hasta la fecha de vencimiento y en caso de haberse pactado de forma indefinida su vigencia, se mantendrá hasta el día 25 de mayo de 2022.
Para cualquier consulta sobre sanciones u otras cuestiones en tema de Protección de Datos no dudes en contactar con Grupo Ático34, tlfno. 91 489 64 19, y nuestro departamento de expertos jurídicos te ayudará en todo lo que necesites.