Este verano se publicó el Real Decreto-ley 5/2018, de medidas urgentes, que desarrolla el RGPD en la normativa española. El Real Decreto-Ley fue convalidado el 06/09/2018 en el Congreso por 339 votos a favor, ningún voto en contra y 2 abstenciones.
El Parlamento Europeo establecía hasta 56 cuestiones que debía desarrollar cada estado miembro. En este Real-Decreto se desarrollan cuestiones que eran inaplazables en esta normativa europea a la que estamos obligados desde el 25/05/2018.
El Decreto sobre todo establece las entidades responsables, tanto el órgano a nivel estatal como los responsables del tratamiento. Por otra parte, desarrolla las infracciones y sanciones y la prescripción de los plazos. Por último, habla del procedimiento de reclamación y de todos los pasos a seguir en dicho procedimiento
La norma se articula en tres capítulos. El Capítulo I deja muy claro cuál es la entidad que vela por el cumplimiento del RGDP. Básicamente estamos hablando de la Agencia Española de Protección de Datos, que es también, según la ley, la entidad que representa a España ante el Comité Europeo de Protección de Datos y la encargada de publicar resoluciones.
El Capítulo II define que los responsables de infracciones y sanciones son tanto los Responsables y Encargados de datos, como las entidades certificadoras y las entidades de supervisión.
En un apartado bastante más pormenorizado, establece qué consideramos infracciones. Para esto no añade nada nuevo, sino que se refiere básicamente a los artículos 4, 5 y 6 del artículo 83 del RGPD.
Recordemos que:
- Las infracciones de los artículos 5 y 6 se penalizan con multas administrativas de 000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. De las dos, la que resulte de mayor cuantía.
- Las infracciones del artículo 4 se penalizan con multas administrativas de 000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior. De las dos, la que resulte de mayor cuantía.
Por último, indica cuándo prescriben las infracciones, y cuando las sanciones impuestas, incluyendo sendas tablas para ambos supuestos.
La prescripción de las infracciones se rige por lo siguiente:
- Las infracciones previstas en los apartados 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años.
- Las infracciones previstas en el artículo 83.4 Reglamento (UE) 2016/679 prescribirán a los dos años.
Por su parte, las sanciones impuestas en aplicación del Reglamento, prescriben en los siguientes plazos
- a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
- b) Las sanciones por importe comprendido entre 001 y 300.000 euros prescriben a los dos años.
- c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
Por último, el Capítulo III establece los plazos de admisión a trámite de las reclamaciones por posible vulneración a la AEPD. Estos serán de 6 a 8 meses, según los casos. También define los supuestos en los que no se admiten a trámite las reclamaciones:
- Cuando no versen sobre cuestiones de protección de datos de carácter personal.
- Cuando carezcan manifiestamente de fundamento.
- Cuando sean abusivas.
- Cuando no aporten indicios racionales de la existencia de una infracción.
- Cuando el Responsable o Encargado del tratamiento haya establecido las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación. En este caso, cuando no haya llegado a producirse perjuicio del afectado, o se haya garantizado su derecho.
También indica las actuaciones previas de investigación, que pueden durar hasta 12 meses y las medidas que se pueden tomar en ese periodo. La AEPD puede:
- Ordenar la suspensión cautelar de los datos, bloqueo de los datos o cese del tratamiento.
- Cursar una solicitud al responsable o encargado que atienda al cumplimiento de un derecho, sin perjuicio de que la reclamación siga su trámite.
Por último, en las disposiciones, se establece que la AEPD es el órgano representante español ante el Comité Europeo de Protección de Datos y la encargada de publicar resoluciones, se dice qué pasa con los contratos de cesión de datos firmados con anterioridad al RGPD, y se indican los artículos de la LOPD que quedan derogados (el 40, y los 43 a 49, con excepción del 46).
En conclusión, la norma vuelve a recordar la importancia de la cuantía de las sanciones, pero añade mayor detalle sobre cuándo prescriben las infracciones. También asigna un papel protagonista a la AEPD. Por último, deroga todo el articulado de la LOPD que establecía lo que eran sanciones leves, graves y muy graves, así como la cuantía de las sanciones y la prescripción de las mismas. Por tanto, desde la aplicación de esta norma tiene mayor vigor, si cabe, el RGPD, al haberse desarrollado reglamentariamente en la legislación española.
En caso de que aún no lo hayas hecho, aún estás a tiempo de implantar Gextor RGPD, que incluye un Informe de Seguridad, para asegurarte de que cumples plenamente con la normativa.