El viernes 27 de Julio de 2018, el Gobierno de España publicó una serie de medidas urgentes para adaptar el Derecho español al RGPD mediante el Real Decreto Ley 5/2018.
Puntos destacables:
· Contratos con Encargados de Tratamiento:
Las partes afectadas podrán solicitar la modificación de los mismos para adecuarlos al RGPD. Si bien, los contratos firmados con los encargados de tratamiento antes del 25 de mayo de 2018 serán vigentes hasta el 25 de mayo de 2022.
· Potestad de Investigación de la Agencia Española Protección de Datos (AEPD):
La potestad de investigación recaerá en funcionarios, considerados como agentes de la autoridad, designados por la Agencia Española de Protección de Datos. En investigaciones conjuntas con otras autoridades siempre estará presente el personal de la AEPD y bajo su orientación.
El personal que investigue podrá recabar información precisa: que se exhiba, pedir su envío, examinar en el propio local del investigado, obtener copias, inspeccionar equipos y programas.
Nota: La entrada a domicilios deberá ejercerse bajo autorización judicial.
· Sujetos Sancionables:
- los responsables de tratamiento
- los encargados
- los representantes de responsables o encargados no establecidos en la UE
- las entidades de certificación
- las entidades acreditadas de supervisión de los códigos de conducta
Nota: el Delegado de Protección de Datos no es un sujeto sancionable
· Procedimientos de Sanción
Nota: Los procedimientos abiertos antes de la entrada del real decreto ley 5/2018 se regirán por la normativa anterior, salvo que el nuevo régimen fuera más favorable al interesado.
Los referidos a la solicitud del ejercicio de los derechos establecidos en los artículos 15 a 22 (acceso, rectificación, derecho al olvido, limitación, portabilidad, supresión, oposición…) se admitirá a trámite la reclamación, y podrá ser resuelto en 6 meses.
Los que tengan por objeto determinar la posible existencia de infracción, (la AEPD podrá actuar por iniciativa propia o como consecuencia de una reclamación), tendrán una duración máxima de 9 meses.
Antes de iniciar el procedimiento, la AEPD podrá remitir la reclamación al responsable, al encargado de tratamiento, o al delegado de protección de datos, para que respondan sobre la misma en el plazo de 1 mes. Admisión a trámite de las reclamaciones:
- Carezcan de fundamento, sean abusivas o no aporten indicios racionales
- Cuando la propia AEPD, habiendo advertido al posible infractor, éste hubiera aplicado medidas correctivas y:
- No hubiera causado perjuicio al afectado
- El derecho del afectado quede garantizado mediante la aplicación de medidas.
En algunos casos, antes de tomar una decisión sobre el inicio de un procedimiento, la AEPD podrá realizar actuaciones previas de investigación para lograr una mejor determinación de los hechos y circunstancias. Estas investigaciones podrán un máximo de 12 meses y en este período se podrán establecer medidas provisionales.
· Prescripción de las Infracciones
El tiempo que pasa desde que se comete la infracción hasta que pueda ser sancionable.
- 2 años: infracciones referentes al artículo 83.4 del RGPD.
- 3 años: infracciones referentes a los apartados 5 y 6 del artículo 83 del RGPD.
· Prescripción de las Sanciones
Es el tiempo que tiene la administración para hacer efectivas las sanciones, a contar desde que sea ejecutable la resolución por la que se impone la sanción.
- 1 año: sanciones por importe igual o menor que 40.000 euros.
- 2 años: sanciones entre 40.001 y 300.000 euros.
- 3 años: sanciones superiores a 300.000 euros.
Puede descargar el Real Decreto-ley 5/2018 de 27 de julio de 2018 pinchando aquí: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-10751.