Saltar als continguts principals.

Real Decreto Ley sobre inspección y régimen sancionador en materia de protección de datos

29/10/2018

Real Decreto Ley sobre inspección y régimen sancionador en materia de protección de datos.

El 30 de julio de 2018 se publicó en el BOE el Real Decreto Ley 5/2018 de 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, entrando en vigor el mismo al día siguiente de su publicación.

El contenido de este Real-Decreto Ley, afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos, restando mientras tanto a la espera de la futura Ley Orgánica que se encuentra en la actualidad en tramitación.

El Real Decreto Ley 5/2018 regula, aspectos como la inspección, régimen sancionador y procedimientos en caso de posible vulneración de la normativa de protección de datos, y nos responde, entre otras, a las siguientes cuestiones:

¿Quién llevará a cabo la inspección en materia de protección de datos?

La Agencia Española de Protección de Datos (AEPD), a través de sus propios funcionarios, o bien, por funcionarios ajenos a ella, expresamente habilitados por la Directora de la AEPD.

Los funcionarios que lleven a cabo las actividades de investigación, tendrán la consideración de agentes de la autoridad en ejercicio de sus funciones, y deberán guardar secreto, incluso después de haber cesado en sus funciones, sobre las informaciones que conozcan en ejercicio de sus funciones.

¿Qué actuaciones podrán llevar a cabo?

Podrán recabar información, realizar inspecciones, requerir exhibición o envío de documentos y datos, o bien examinarlos en el lugar en que se encuentren, obtener copia de ellos, inspeccionar equipos físicos y lógicos e incluso requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.

 

 

¿A quién es de aplicación el régimen sancionador del RGPD?

El régimen sancionador del RGPD no será de aplicación al DPD (Delegado de Protección de Datos). Sí que estarán sujetos al régimen sancionador del RGPD:

  • Los responsables de tratamiento (RT)
  • Los encargados de tratamiento (ET)
  • Los representantes de los RT y ET no establecidos en territorio de la UE.
  • Las entidades de certificación.
  • Las entidades acreditadas de supervisión de los códigos de conducta.

¿ Cuál es el plazo de prescripción de las infracciones del RGPD?

En cuanto a los plazos de prescripción de infracciones que establece el RGPD,  prescriben a los:

  • Tres años, las infracciones  previstas en el Art. 83.5 y 6 del RGPD, relativas a:
  • los principios básicos del tratamiento y condiciones para el otorgamiento del consentimiento (Art. 5, 6, 7 y 9 del RGPD),
  • derechos de los interesados (Art. 12 a 22 del RGPD),
  • transferencias internacionales de datos a terceros países u organizaciones internacionales (Art. 44 a 49 del RGPD),
  • obligaciones en virtud del Derecho de los Estados miembros ( entre otras; tratamiento y libertad de expresión, acceso del público a documentos oficiales, tratamiento del número nacional de identificación.. Capítulo IX del RGPD)
  • el incumplimiento de una resolución de la AEPD, o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la AEPD, o el no facilitar acceso (Art.58.1 y 2 del RGPD)
  • Dos años, las infracciones previstas en el Art. 83.4 del RGPD, relativas a las obligaciones de:
  • Responsable de tratamiento y del encargado de tratamiento (Art.8, 11, 25 a 39, 42 y 43 del RGPD)
  • Los organismos de certificación ( Art. 42 y 43 RGPD)
  • La autoridad de control (Art. 41.4 RGPD)

 

Interrumpirá la prescripción de la infracción la iniciación del procedimiento sancionador con conocimiento de interesado. Se reinicia el plazo de prescripción si el expediente sancionador está paralizado por causas no imputables al presunto infractor durante más de seis meses.

 

¿Cuál es el plazo de prescripción de las sanciones del RGPD?

En cuanto a los plazos de prescripción de las sanciones:

  • Un año, para las sanciones  por importe igual o inferior a 40.000 Euros.
  • Dos años, para las sanciones  por importe comprendido entre 40.001 a 300.000 Euros.
  • Tres años, para las sanciones  por importe superior a 300.000 Euros

 

La prescripción de las sanciones comienza a contarse desde el día siguiente a que sea ejecutable la resolución que impone la sanción, o haya transcurrido el plazo para recurrirla. Y se interrumpe por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el procedimiento está paralizado durante más de seis meses por causa no imputable al infractor.

 

¿Cómo será el procedimiento en caso de posible vulneración de la normativa de protección de datos?

Normativa de aplicación: Se regirá por el RGPD, por la normativa española de protección de datos, y con carácter subsidiario por las normas generales sobre los procedimientos administrativos.

Forma de iniciación y duración:  

a) Por acuerdo de admisión a trámite cuando el procedimiento se refiera a falta de atención a una solicitud de ejercicio de derechos por parte del interesado, debiendo resolverse en el plazo de seis meses desde que se notificó al reclamante el acuerdo de admisión a trámite. Transcurrido dicho plazo, se entenderá estimada su reclamación.

b) Por acuerdo de inicio adoptada de oficio o como consecuencia de una reclamación (previa decisión de la AEPD de su admisión a trámite), cuando el procedimiento se refiera a la comisión de una infracción del RGPD y de la normativa española de protección de datos.

En ambos casos, podrá existir una fase de actuaciones previas de investigación por parte de la AEPD.

También podrá iniciarse por  acuerdo de proyecto de inicio ( en caso de cooperación entre la AEPD y otras autoridades de control interesadas).

El procedimiento deberá resolverse en nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.

Medidas Provisionales: la AEPD podrá adoptarlas durante la realización  de las actuaciones previas de investigación o iniciado un procedimiento sancionador. Deberán adoptarse de forma motivada  y serán necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos.

Estas son en resumen, las cuestiones principales a las que nos da respuesta el Real Decreto Ley 5/2018 de medidas urgentes, restando no obstante ello a la espera de que se apruebe de forma definitiva la nueva Ley Orgánica de Protección de Datos, que se encuentra en la actualidad en tramitación.

Il·lustre Col·legi de l'Advocacia de Tarragona © Copyright 2015. Reservats tots els drets.
  • Tecnologies
  • Disseny Pàgines Web Tarragona

Utilizamos cookies propias y/o de terceros para realizar el análisis de la navegación de los usuarios de nuestra web. Más información.

Su privacidad

Cuando visita un sitio web, este puede almacenar o recuperar información en su navegador, principalmente en forma de cookies. Esta información puede ser sobre usted, sus preferencias o su dispositivo y se utiliza principalmente para lograr que el sitio funcione como se espera. La información generalmente no lo identifica en forma directa, pero puede brindarle una experiencia web más personalizada. Como respetamos su privacidad, puede optar por excluir algunos tipos de cookies. Puede hacer clic en los diferentes encabezados de categoría para obtener más información y cambiar nuestra configuración predeterminada. Sin embargo, si bloquea algunos tipos de cookies, su experiencia de uso en el sitio se puede ver afectada y también los servicios que podemos ofrecerle.

Cookies técnicas o necesarias

Estas cookies son necesarias para que el sitio web funcione y no se pueden desactivar en nuestros sistemas. Por lo general, solo se configuran en respuesta a sus acciones realizadas al solicitar servicios, como establecer sus preferencias de privacidad, iniciar sesión o completar formularios. Puede configurar su navegador para bloquear o alertar sobre estas cookies, pero algunas áreas del sitio no funcionarán. Estas cookies no almacenan ninguna información de identificación personal.

Propias
Cookies de analítica y personalización

Estas cookies nos permiten contar las visitas y fuentes de tráfico para poder evaluar el rendimiento de nuestro sitio y mejorarlo. Nos ayudan a saber qué páginas son las más o las menos visitadas, y cómo los visitantes navegan por el sitio. Toda la información que recogen estas cookies es agregada y, por lo tanto, es anónima. Las cookies de personalización permiten almacenar información sobre la dirección IP de la conexión, las preferencias, idioma, el tipo de navegación y configuración regional a través la cual accede, etc. con el fin de poder mostrar contenidos y ofertas adaptadas y de especial interés  Si no permite utilizar estas cookies, no sabremos cuándo visitó nuestro sitio y no podremos evaluar si funcionó correctamente.

Google Analytics

Más información

Cookies para publicidad de terceros

Estas cookies pueden ser establecidas a través de nuestro sitio por nuestros socios publicitarios. Pueden ser utilizadas por esas empresas para crear un perfil de sus intereses y mostrarle anuncios relevantes en otros sitios. No almacenan directamente información personal, sino que se basan en la identificación única de su navegador y dispositivo de Internet. Si no permite utilizar estas cookies, verá menos publicidad dirigida.