A finales de julio, se publicó finalmente en el BOE, el Real Decreto-Ley 5/2018 de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea, en materia de protección de datos por el cual se complementan aspectos de Derecho interno que se encontraban aplazados desde que el pasado 25 de mayo entró en vigor el Reglamento UE 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE.
Si bien este esperado Real Decreto-Ley entra ya en vigor, lo hace con carácter temporal, hasta que la nueva Ley Orgánica sobre esta materia se apruebe, lo que no se espera hasta finales de año, ya que todo lo relativo a la protección de datos personales, por ser un derecho fundamental, solo puede ser regulado por Ley Orgánica.
Este es el motivo, por el que el contenido de este Real Decreto-Ley solo afecta a aspectos que pueden ser regulados fuera de una Ley Orgánica, es decir, aquellos que afectan a los poderes de investigación de la Agencia Española de Protección de Datos, el régimen sancionador y los procedimientos en caso de posibles vulneraciones de la normativa en protección de datos.
- Se establecen los plazos de prescripción de las infracciones:
- tres años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multas de hasta 20 millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior y
- dos años cuando nos encontremos ante alguno de los supuestos sancionados por el RGPD con multa de hasta 10 millones de euros o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
- Se establecen los plazos de prescripción de las sanciones una vez impuestas, esto es, el período del que dispone la Administración para requerirnos su pago:
- un año las sanciones con importe igual o inferior a 40.000 euros,
- dos años para las sanciones cuyo importe oscile entre 40.0001 euros y 300.000 euros y
- tres años para las sanciones por importe superior a 300.000 euros.
- Se recoge expresamente la posibilidad de que la AEPD redirija una reclamación al Delegado de Protección de Datos de un responsable o encargado para que este responda en el plazo de un mes a la reclamación planteada (en caso de no contar con dicha figura se podrá redirigir directamente al responsable o encargado del tratamiento).
- Se establece la validez de contratos de encargado de tratamiento: vía disposición transitoria el RDL decreta la validez de todos los contratos de encargado de tratamiento que se hayan formalizado con anterioridad al 25 de mayo de 2018 conforme a lo establecido en la Ley Orgánica 15/1999 de protección de datos de carácter personal hasta que finalice la vigencia de dichos contratos. En caso de que dichos contratos sean indefinidos los mismos tendrán que adaptarse al RGPD antes del 25 de mayo de 2022.
- Por otro lado, se insiste en que la responsabilidad puede recaer tanto en los responsables del tratamiento, como en los encargados del tratamiento, como incluso en los representantes en la Unión Europea de empresas ubicadas fuera de la UE.