Protección de datos: Publicado hoy en el BOE el RD-Ley por el que se adoptan medidas de adaptación de la normativa española al RGPD
Protección de datos y RGPD. Hoy, 30 de julio, se ha publicado en el Boletín Oficial del Estado (BOE) el Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (entra en vigor mañana, 31 de julio).
El RD-Ley tiene por objeto establecer la regulación de determinadas materias en materia protección de datos que no están reservadas a la ley orgánica. En concreto, regula la inspección y el régimen sancionador en materia de protección de datos y los procedimientos en caso de una posible vulneración del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (RGPD) y por el que se deroga la Directiva 95/46/CE.
Éstos son algunos de los cambios más importantes que contiene el RD-Ley:
– Derogación de artículos de la LOPD. Se derogan el artículo 40 y los artículos del 43 al 49 (salvo el 46) de la Ley Orgánica de Protección de Datos (LOPD).
– Contratos con encargados del tratamiento. Se establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 mantendrán su vigencia hasta la
fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. Ahora bien, durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD.
– Régimen transitorio. Los procedimientos ya iniciados a la entrada en vigor del nuevo RD-Ley (es decir, iniciados antes del 31 de julio) se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.
Prescripción de las sanciones
Las sanciones impuestas en aplicación del RGPD prescriben en los siguientes plazos:
a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
Medidas provisionales
Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679 (RGPD), el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos de carácter personal, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por éstos dichos mandatos, proceder a su inmovilización.
Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 (RGPD), la AEPD podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.
Pinche aquí para consultar el RD-Ley publicado en el BOE.
