Utilitzem cookies pròpies i/o de tercers per fer l'anàlisi de la navegació dels usuaris de la nostra web. Més informació.
Real Decreto Ley sobre inspección y régimen sancionador en materia de protección de datos
29/10/2018Real Decreto Ley sobre inspección y régimen sancionador en materia de protección de datos.
El 30 de julio de 2018 se publicó en el BOE el Real Decreto Ley 5/2018 de 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, entrando en vigor el mismo al día siguiente de su publicación.
El contenido de este Real-Decreto Ley, afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos, restando mientras tanto a la espera de la futura Ley Orgánica que se encuentra en la actualidad en tramitación.
El Real Decreto Ley 5/2018 regula, aspectos como la inspección, régimen sancionador y procedimientos en caso de posible vulneración de la normativa de protección de datos, y nos responde, entre otras, a las siguientes cuestiones:
¿Quién llevará a cabo la inspección en materia de protección de datos?
La Agencia Española de Protección de Datos (AEPD), a través de sus propios funcionarios, o bien, por funcionarios ajenos a ella, expresamente habilitados por la Directora de la AEPD.
Los funcionarios que lleven a cabo las actividades de investigación, tendrán la consideración de agentes de la autoridad en ejercicio de sus funciones, y deberán guardar secreto, incluso después de haber cesado en sus funciones, sobre las informaciones que conozcan en ejercicio de sus funciones.
¿Qué actuaciones podrán llevar a cabo?
Podrán recabar información, realizar inspecciones, requerir exhibición o envío de documentos y datos, o bien examinarlos en el lugar en que se encuentren, obtener copia de ellos, inspeccionar equipos físicos y lógicos e incluso requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.
¿A quién es de aplicación el régimen sancionador del RGPD?
El régimen sancionador del RGPD no será de aplicación al DPD (Delegado de Protección de Datos). Sí que estarán sujetos al régimen sancionador del RGPD:
- Los responsables de tratamiento (RT)
- Los encargados de tratamiento (ET)
- Los representantes de los RT y ET no establecidos en territorio de la UE.
- Las entidades de certificación.
- Las entidades acreditadas de supervisión de los códigos de conducta.
¿ Cuál es el plazo de prescripción de las infracciones del RGPD?
En cuanto a los plazos de prescripción de infracciones que establece el RGPD, prescriben a los:
- Tres años, las infracciones previstas en el Art. 83.5 y 6 del RGPD, relativas a:
- los principios básicos del tratamiento y condiciones para el otorgamiento del consentimiento (Art. 5, 6, 7 y 9 del RGPD),
- derechos de los interesados (Art. 12 a 22 del RGPD),
- transferencias internacionales de datos a terceros países u organizaciones internacionales (Art. 44 a 49 del RGPD),
- obligaciones en virtud del Derecho de los Estados miembros ( entre otras; tratamiento y libertad de expresión, acceso del público a documentos oficiales, tratamiento del número nacional de identificación.. Capítulo IX del RGPD)
- el incumplimiento de una resolución de la AEPD, o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la AEPD, o el no facilitar acceso (Art.58.1 y 2 del RGPD)
- Dos años, las infracciones previstas en el Art. 83.4 del RGPD, relativas a las obligaciones de:
- Responsable de tratamiento y del encargado de tratamiento (Art.8, 11, 25 a 39, 42 y 43 del RGPD)
- Los organismos de certificación ( Art. 42 y 43 RGPD)
- La autoridad de control (Art. 41.4 RGPD)
Interrumpirá la prescripción de la infracción la iniciación del procedimiento sancionador con conocimiento de interesado. Se reinicia el plazo de prescripción si el expediente sancionador está paralizado por causas no imputables al presunto infractor durante más de seis meses.
¿Cuál es el plazo de prescripción de las sanciones del RGPD?
En cuanto a los plazos de prescripción de las sanciones:
- Un año, para las sanciones por importe igual o inferior a 40.000 Euros.
- Dos años, para las sanciones por importe comprendido entre 40.001 a 300.000 Euros.
- Tres años, para las sanciones por importe superior a 300.000 Euros
La prescripción de las sanciones comienza a contarse desde el día siguiente a que sea ejecutable la resolución que impone la sanción, o haya transcurrido el plazo para recurrirla. Y se interrumpe por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el procedimiento está paralizado durante más de seis meses por causa no imputable al infractor.
¿Cómo será el procedimiento en caso de posible vulneración de la normativa de protección de datos?
Normativa de aplicación: Se regirá por el RGPD, por la normativa española de protección de datos, y con carácter subsidiario por las normas generales sobre los procedimientos administrativos.
Forma de iniciación y duración:
a) Por acuerdo de admisión a trámite cuando el procedimiento se refiera a falta de atención a una solicitud de ejercicio de derechos por parte del interesado, debiendo resolverse en el plazo de seis meses desde que se notificó al reclamante el acuerdo de admisión a trámite. Transcurrido dicho plazo, se entenderá estimada su reclamación.
b) Por acuerdo de inicio adoptada de oficio o como consecuencia de una reclamación (previa decisión de la AEPD de su admisión a trámite), cuando el procedimiento se refiera a la comisión de una infracción del RGPD y de la normativa española de protección de datos.
En ambos casos, podrá existir una fase de actuaciones previas de investigación por parte de la AEPD.
También podrá iniciarse por acuerdo de proyecto de inicio ( en caso de cooperación entre la AEPD y otras autoridades de control interesadas).
El procedimiento deberá resolverse en nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.
Medidas Provisionales: la AEPD podrá adoptarlas durante la realización de las actuaciones previas de investigación o iniciado un procedimiento sancionador. Deberán adoptarse de forma motivada y serán necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos.
Estas son en resumen, las cuestiones principales a las que nos da respuesta el Real Decreto Ley 5/2018 de medidas urgentes, restando no obstante ello a la espera de que se apruebe de forma definitiva la nueva Ley Orgánica de Protección de Datos, que se encuentra en la actualidad en tramitación.