Al BOE del dia 30 de juliol de 2018, s'ha publicat el Reial decret-llei 5/2018, de 27 de juliol, de mesures urgents per a l'adaptació del dret espanyol a la normativa de la Unió Europea en matèria de protecció de dades, que ve a aclarir – a l'espera de l'aprovació de la nova Llei orgànica de protecció de dades personals- certs aspectes del dret intern que es trobaven desplaçats des que el passat 25 de maig de 2018 resultés de plena aplicació del Reglament 2016/679 del Parlament Europeu i del Consell de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de les seves dades personals i a la lliure circulació d'aquestes dades pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades o RGPD).
La normativa espanyola s'ha d'adaptar al nou reglament europeu en aquells preceptes en els quals aquest deixi marge o bé en tot allò que ho contravingui. Per a això es va aprovar el passat 24 de novembre de 2017 el Projecte de llei orgànica de protecció de dades de caràcter personal. Aquest projecte està en fase d'esmenes i aprovació parlamentària i, mentre arriba la seva aprovació definitiva, s'ha fet necessària l'aprovació d'aquest Decret-llei per regular algunes matèries que per raons d'urgència no poden esperar al fet que el projecte de llei estigui definitivament aprovat.
El contingut essencial d'aquesta norma regula aquelles qüestions que queden fora de l'àmbit de la Llei orgànica, que són:
L'exercici de poders de recerca de l'Agència Espanyola de Protecció de Dades.
El règim sancionador.
Els procediments per al cas de possibles vulneracions de la normativa de protecció de dades.
Així, entre altres mesures contingudes en el Reial decret-llei (RDL), destaquen les següents:
La delimitació dels subjectes responsables dels tractaments als quals els és aplicable el règim sancionador (els encarregats dels tractaments; els representants dels responsables o encarregats dels tractaments no establerts al territori de la Unió Europea; les entitats de certificació; les entitats acreditades de supervisió dels codis de conducta). El RDL segueix les consideracions del reglament europeu i exclou als delegats de protecció de dades de responsabilitat.
S'estableixen els terminis de prescripció de les infraccions:
Tres anys quan ens trobem davant algun dels supòsits sancionats pel RGPD amb multes de fins a 20 milions d'euros o d'una quantia equivalent al 4% com a màxim del volum de negoci total anual global de l'exercici financer anterior.
Dos anys quan ens trobem davant algun dels supòsits sancionats pel RGPD amb multa de fins a 10 milions d'euros o d'una quantia equivalent al 2% com a màxim del volum de negoci total anual global de l'exercici financer anterior.
S'estableixen els terminis de prescripció de les sancions una vegada imposades:
Un any les sancions amb import igual o inferior a 40.000 euros.
Dos anys per a les sancions l'import de les quals oscil·li entre 40.0001 euros i 300.000 euros.
Tres anys per a les sancions per import superior a 300.000 euros.
Peculiaritats dels procediments:
En cas de possible vulneració de la normativa de protecció de dades es distingeixen:
Aquells procediments tramitats per l'Agència Espanyola de Protecció de Dades en els supòsits en els quals un afectat reclami que no ha estat atesa la seva sol·licitud d'exercici dels drets reconeguts en els articles 15 a 22 del Reglament.
Aquells en els quals s'investigui l'existència d'una possible infracció del que es disposa en l'esmentat reglament i la normativa espanyola de protecció de dades.
Suspensió automàtica dels terminis de tramitació quan s'hagi d'obtenir informació, consulta, sol·licitud d'assistència o pronunciament preceptiu d'un òrgan o organisme de la UE o d'una o diverses autoritats de control dels estats membres conforme amb l'establert en el Reglament general de protecció de dades, pel temps que intervingui entre la sol·licitud i la notificació del pronunciament a l'Agència Espanyola de Protecció de Dades, amb la finalitat d'evitar-ne la caducitat.
Actuacions prèvies de recerca: abans de l'adopció de l'acord d'inici de procediment, i una vegada admesa a tràmit la reclamació si n'hi hagués, l'Agència Espanyola de Protecció de Dades podrà dur a terme actuacions prèvies de recerca a fi d'aconseguir una millor determinació dels fets i les circumstàncies que justifiquen la tramitació del procediment.
La representació espanyola en el Comitè europeu de protecció de dades a través de l'Agència Espanyola de Protecció de Dades.
Finalment, els contractes d'encarregat del tractament subscrits amb anterioritat al 25 de maig de 2018 subjectes a l'article 12 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal mantindran la seva vigència fins al dia del venciment assenyalat en els mateixos i en cas d'haver-se pactat de forma indefinida, fins al 25 de maig de 2022. No obstant això, durant els esmentats terminis qualsevol de les parts podrà exigir a l'altra la modificació del contracte a fi que resulti conforme a les noves exigències del RGPD.
Per a més informació, no dubteu en contactar amb els nostres professionals.
