Adaptación del derecho nacional al reglamento general europeo de protección de datos
El Consejo de Ministros ha aprobado el Real Decreto-ley 5/2018, con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos, norma de la Unión Europea que, al entrar en vigor el pasado 25 de mayo, impuso importantes modificaciones en la legislación interna, cambios que fueron incorporadas a un proyecto de ley orgánica que todavía no ha superado su tramitación parlamentaria.
Este Real Decreto Ley, publicado en el BOE de 30 de julio y con entrada en vigor el día 31 de julio (estará en vigor hasta la vigencia de la nueva legislación orgánica de protección de datos en tramitación), tiene por objeto establecer la regulación de determinadas materias en materia protección de datos que no están reservadas a la futura ley orgánica. En concreto, regula la inspección y el régimen sancionador en materia de protección de datos y los procedimientos en caso de una posible vulneración del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Asimismo, el Real Decreto Ley deroga el artículo 40 y el Título VII (a excepción del artículo 46, relativo a las infracciones de las Administraciones públicas) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que acoge infracciones y sanciones y carece de carácter orgánico.
La finalidad del Real Decreto Ley es adecuar nuestro ordenamiento al Reglamento General de Protección de Datos en aquellos aspectos concretos que, sin rango orgánico, no admiten demora; su aprobación, sin embargo, debe entenderse sin perjuicio de la necesidad de una legislación orgánica de protección de datos que procure la plena adaptación de la normativa interna a los estándares fijados en la materia por la Unión Europea a través de una disposición directamente aplicable como es el Reglamento General de Protección de Datos, vigente en España desde el pasado 25 de mayo.
Entre otras medidas contenidas en el Real Decreto Ley, destacan las siguientes:
- La delimitación de los sujetos responsables de los tratamientos a los que les es aplicable el régimen sancionador [los encargados de los tratamientos; los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea; las entidades de certificación; las entidades acreditadas de supervisión de los códigos de conducta (artículo 4 del Real Decreto Ley)].
- La determinación de los plazos de prescripción de las infracciones y sanciones previstas en la norma europea (artículos 6 y 7 del Real Decreto Ley).
- Peculiaridades de los procedimientos:
a) En caso de posible vulneración de la normativa de protección de datos se distinguen:
1) Aquellos procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento, así como
2) aquellos en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.b) Suspensión automática de los plazos de tramitación cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la UE o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento General de Protección de Datos, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos, con el fin de evitar la caducidad del mismo.
c) Actuaciones previas de investigación: Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento. - La representación española en el Comité Europeo de Protección de Datos a través de la Agencia Española de Protección de Datos (disposición adicional primera).
- La vigencia temporal del Real Decreto Ley: entrará en vigor el día siguiente de su publicación en el BOE y permanecerá vigente hasta la entrada en vigor de la nueva legislación orgánica de protección de datos, cuyo objeto será adaptar el ordenamiento jurídico español al Reglamento General de Protección de Datos (disposición final única). Actualmente, como se ha mencionado, se encuentra en tramitación parlamentaria un proyecto de ley orgánica en materia de protección de datos que fue objeto de aprobación por el Consejo de Ministros el 10/11/2017.