Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de Protección de Datos.

Con motivo de la demora en la aprobación del Proyecto de LOPD, el pasado 27 de julio se publicaba en el BOE el  Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de Protección de Datos, cuyas principales novedades analizamos a continuación:

• Ámbito y personal competente en la actividad de la investigación

Serán competentes para la actividad de investigación los funcionarios de la AEPD o funcionarios ajenos autorizados por el Director de la AEPD. Estos funcionarios tienen la consideración de agentes de la autoridad.

• Alcance de la actividad de investigación

Podrán inspeccionar todo lo necesario para  el cumplimiento de sus funciones de investigación y la entrada en domicilios deberá ejercerse conforme a las normas procesales.

• Sujetos responsables

Realiza una enumeración de aquellos que están sujetos al régimen sancionador establecido en el RGPD.

• Infracciones

Realiza una enumeración de lo que se entiende por infracciones: apartados 4, 5 y 6 del artículo 83 del RGPD, esto es:

“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas

de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como

máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

1. las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43;
2. las obligaciones de los organismos de certificación a tenor de los artículos 42 y 43;
3. las obligaciones de la autoridad de control a tenor del artículo 41, apartado 4.
4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
5. los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;
6. los derechos de los interesados a tenor de los artículos 12 a 22;
7. las transferencias de datos personales a un destinatario en un tercer país o una organización internacional a tenor de los artículos 44 a 49;
8. toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;
9. el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1.
10. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.”

• Prescripción de las infracciones

Las previstas en los apartados 5 y 6 del artículo 83 del RGPD à 3 años.

Las previstas en el apartado 4 del artículo 83 del RGPD à 2 años

• Prescripción de las sanciones

Sanciones por importe igual o inferior a 40.000 euros à 1 año

Sanciones entre 40.001 y 300.000 euros à 2 años

Sanciones por importe superior a 300.000 euros à 3 años.

El plazo de prescripción comienza el día siguiente a aquel en que sea ejecutable la resolución.

• Forma de iniciación del procedimiento y duración

Detalla las modalidades de iniciación de un procedimiento y la duración del mismo.

• Admisión a trámite de las reclamaciones

La AEPD, en caso de que se le presente una reclamación, deberá evaluar su admisibilidad a trámite, teniendo en cuenta que serán inadmisibles aquellas que carezcan de fundamento, tengan carácter abusivo o no tenga indicios, así como cuando el responsable o el encargado del tratamiento hubiera adoptado las medidas correctivas.

• Actuaciones previas de investigación

La AEPD podrá llevar a cabo actuaciones previas de investigación a fin de tener mayor de conocimiento de los hechos que justifican el inicio de un procedimiento. Estas actuaciones previas no tendrán una duración superior a 12 meses a contar desde la fecha de admisión a trámite.

• Medidas provisionales

La AEPD podrá acordar la interposición de medidas provisionales necesarias para salvaguardar el derecho a la protección de los datos y en especial serán aquellas establecidas en el artículo 66.1 del RGPD.

• Contratos de encargado de tratamiento

Los contratos de encargado de tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley 15/1999 de 13 de diciembre, de Protección de Datos mantendrán su vigencia hasta la fecha de vencimiento que tenga y en caso de que sea indefinido hasta el 25 de mayo de 2022.