Decreto urgente sobre la adaptación parcial del RGPD en España
La crónica del anunciado retraso de la promulgación de la nueva Ley Estatal de Protección de Datos de Carácter Personal ha terminado con la apresurada introducción, vía Decreto- Ley, para anticipar, si quiera, parcialmente, el derecho español al Reglamento General de Protección de Datos –aplicable desde el pasado 25 de mayo–, mientras continúa la tramitación parlamentaria de dicha nueva ley orgánica para impedir la situación de facto de paralización de la propia actividad de la autoridad de control: la agencia de protección de datos española y los procedimientos en vigor y los que nacerán tras dicha entrada en vigor.
Como expresa la nota de prensa del propio Consejo de Ministros: “El reglamento europeo establece un régimen sancionador aplicable en España, pero no regula cuestiones tan esenciales como los plazos de prescripción o las sanciones, al considerar que deben fijarse en el ordenamiento interno de los Estados. Esos dos factores son básicos para garantizar la seguridad jurídica de los procedimientos abiertos y proteger de manera efectiva los derechos de los ciudadanos. De no acometer cuanto antes su regulación, sería muy complicado aplicar el régimen sancionador, lo que también debilitaría el sistema de protección de datos y generaría el riesgo de que la Comisión Europea estudiase emprender acciones contra España por incumplimiento de su reglamento general”, pese a los más de dos años de vigencia de la norma europea, como suele decirse “nos ha pillao el toro” y lo enmendamos como podemos.
Real Decreto-ley 5/2018, de 27 de julio
Así es, el Real Decreto-ley 5/2018, de 27 de julio, tiene por objeto la adecuación del ordenamiento interno al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos en aquellos aspectos concretos que, sin estar reservados a la ley orgánica, no admiten ni un día más de demora, como son: la inspección en materia de protección de datos, el régimen sancionador y los procedimientos en caso de posible vulneración de esta normativa, derogando siete artículos de la vigente LOPD.
En primer lugar, el Real Decreto-ley se ocupa de la inspección en materia de protección de datos identificando al personal competente para ejercitar los poderes de investigación que el art. 58.1 del Reglamento General de Protección de Datos otorga a las autoridades de control, AEPD y que se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director, los cuales tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. Y en caso de actuaciones conjuntas de investigación, el personal de las autoridades de control de otros Estados Miembros de Unión Europea que colabore con la Agencia ejercerá sus facultades con arreglo a lo previsto en la normativa española y bajo la orientación y en presencia del personal de ésta.
Régimen sancionador
Así mismo, el nuevo texto incluye, en segundo término, el régimen sancionador establecido en el Reglamento General de Protección de Datos, reemplazando los tipos infractores actualmente contenidos en la LOPD, señalando que están sujetos al mismo los responsables de los tratamientos, los encargados de los tratamientos, los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta. Establece, igualmente, que constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su art. 83 y especifica los plazos prescriptivos aplicables a las infracciones y sanciones previstas en la norma europea.
Finalmente, el último capítulo de la norma regula los procedimientos a seguir en caso de posible vulneración de la normativa de protección de datos, con la finalidad última de hacer posible la aplicación de las especialidades del régimen procedimental del Reglamento General de Protección de Datos toda vez que, en la práctica, el Reglamento General de Protección de Datos distingue tres tipos de tratamientos a los que aplica distintas normas procedimentales:
- los tratamientos transfronterizos, definidos por el art. 4.23
- los transfronterizos con relevancia local en un Estado miembro, a los que se refiere el artículo 56 del mismo,
- y los que tendrían la condición de exclusivamente nacionales, entre los que figuran en todo caso los previstos en el artículo 55 de la norma europea.
La regulación europea establece, para los dos primeros supuestos, la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades, que dispondrán de plazos tasados para la emisión de «observaciones pertinentes motivadas», previéndose el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas como establece dicha norma europea, mientras que el texto español se ocupa de la forma de iniciación del procedimiento y de su duración; de la admisión a trámite de las reclamaciones; de la determinación del alcance territorial del procedimiento a seguir; de las actuaciones previas de investigación; del acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora y de las medidas provisionales, debiéndose destacar la inclusión de la suspensión del procedimiento en los supuestos en que proceda recabar el parecer de las autoridades de otros Estados miembros durante todo el tiempo previsto para su obtención, dado que en caso contrario existe una muy alta probabilidad de caducidad de los procedimientos, con las consecuencias negativas que ello conlleva no sólo para la aplicabilidad en España de las normas de protección de datos, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto en aquellos casos en que la Agencia Española de Protección de Datos tuviera la condición de autoridad de control principal, designando a la misma como representante de España en el Comité Europeo.
La norma entró en vigor el 31 de julio de 2018 pasado, mientras que los procedimientos ya iniciados se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado. Ello será también de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del RGPD Español de 2007.
Juan José Cortés