El consejo de ministros ha aprobado el Real Decreto-ley 5/2018, de 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, que ha entrado en vigor el 31 de julio de 2018.
Dicha norma tiene por objeto la adecuación del ordenamiento jurídico interno al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (en adelante, el “Reglamento”), en aquellos aspectos que no están reservados a la Ley Orgánica y que cuya regulación no debe posponerse más.
El Reglamento es plenamente aplicable en España desde el 25 de mayo de 2018 y ha desplazado todas aquellas disposiciones de derecho interno que son contrarias con lo que en el Reglamento se establece.
Sin perjuicio de la ley orgánica que adaptará la normativa española de protección de datos al referido Reglamento (actualmente en trámite), el texto que se acaba de aprobar considera urgente la adopción de las siguientes medidas:
1) Inspección en materia de protección de datos
A efectos de inspección en materia de protección de datos el Real Decreto-Ley identifica al personal competente para ejercitar la investigación. En este sentido, establece que la facultad de ejercitar tal investigación será llevada a cabo por funcionarios de la Agencia Española de Protección de Datos o por funcionarios ajenos, pero expresamente habilitados para ello. Estos funcionarios deberán guardar secreto sobre las informaciones que conozcan en el ejercicio de sus tareas.
2) Régimen sancionador
La nueva normativa señala que están sujetos al régimen sancionador los responsables del tratamiento, los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta.
Además, incorpora las multas del Reglamento de 10.000.000 €, 20.000.000 € o el 4% del volumen de negocios global total anual, en caso de empresas, para los casos contemplados en los apartados 4, 5 y 6 del artículo 83 del Reglamento y sus correspondientes plazos prescriptivos.
3) Procedimiento en caso de la posible vulneración de la normativa de protección de datos
El texto de la normativa se ocupa de la forma de iniciación del procedimiento y de su duración, de la admisión a trámite de las reclamaciones; de la determinación del alcance territorial del procedimiento a seguir; de las actuaciones previas de investigación; del acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora y de las medidas provisionales.
Por último, el Real Decreto-Ley designa como representante de España en el Comité Europeo a la Agencia Española de Protección de Datos.
Hugo Ester
Vilá Abogados
Para más información, por favor contacte con:
10 de agosto de 2018