Blog

Aprobada la nueva norma reguladora del régimen sancionador en materia de protección de datos de carácter personal

Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

 

El pasado 25 de mayo de 2018 entraba en vigor el Reglamento General de Protección de Datos, una norma de rango internacional y de aplicación directa a todos los estados miembros de la UE.

Esta norma ha supuesto una modificación sustancial de las distintas normativas nacionales que hasta su aprobación venían aplicándose en cada uno de los países de la UE.

Su vocación es armonizar los derechos y obligaciones que rigen las relaciones entre los agentes que participan en el tratamiento nacional y trasfronterizo de datos personales. Sin embargo, a pesar de su carácter armonizador, el citado Reglamento General de Protección de Datos emplazaba a los distintos Estados miembros a la aprobación de normas nacionales que regularan internamente determinados aspectos de su cuerpo normativo que de otra forma haría inviable que el propio Reglamento pudiera ser aplicable en toda su extensión dentro de los países de la UE.

Dentro de los aspectos que deben regular los Estados miembros se encuentra el régimen sancionador, que en nuestro país su motivación radica en adecuar los procedimientos sancionadores derivados de la protección de datos, a los principios generales de nuestro régimen sancionador.

El presente Real Decreto Ley, relativo al régimen sancionador, se ha adelantado a la aprobación de la nueva Ley Orgánica de Protección de Datos, la cual (su proyecto), como la propia exposición de motivos del presente Real Decreto Ley reconoce, se encuentra en trámite de aprobación parlamentaria. Sin embargo, lo mismo ha obedecido a dar cumplimiento a la exigencia impulsada por el Reglamento General de Protección de Datos de que los estados miembros de la UE regulen internamente esta materia sancionadora sin mayor demora; cuestión esta última, como es la celeridad, que el propio Real Decreto Ley también reconoce en su exposición de motivos de forma expresa.

Con tal motivación, la presente norma de régimen sancionador aprobada se estructura en 14 artículos, reconociéndose de forma expresa, la potestad investigadora de la Agencia Española de Protección de Datos a través de sus funcionarios, confiriendo amplias facultados para desarrollar tal tarea.

Dentro del elenco de sujetos responsables, y por tanto, susceptibles de ser sancionados a través de la instrucción del procedimiento sancionador regulado por este Real Decreto Ley, se excluye al Delegado de Protección de Datos (DPO) (art.3.2.), cuestión esta última que ya venía informada por el Dictamen del Grupo de Trabajo sobre Protección de Datos del Artículo 29 (WP 243 rev.01)[1] sobre esta figura emitido del DPO el 13 de diciembre de 2016 (revisado por última vez el 5 de abril de 2017).

Asimismo, el procedimiento sancionador aprobado será de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos por el Reglamento General de Protección de Datos, así como en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.

No obstante, lejos de la indefinición que en materia de sanciones económicas recogía el Reglamento General de Protección de Datos fijando únicamente máximos económicos (llegando incluso a los 20.000.000.-€, art 84.5), el Real Decreto Ley gradúa en tres niveles los importes económicos de las posibles sanciones a las que un sujeto responsable podría enfrentarse al regular el plazo de la prescripción de estas últimas (sanciones), desde el momento en que resulten ejecutables. Así, establece que las sanciones de hasta 40.000.-€ prescriben al año, las comprendidas entre 40.001.-€ y 300.000.-€ prescriben a los dos años, y las superiores a 300.001.-€ prescriben a los 3 años.

Por último, debemos destacar que en lo concerniente al plazo que dispone la Agencia Española de Protección de Datos para resolver un procedimiento sancionador, el mismo queda fijado en un tiempo máximo de 9 meses, siendo superior a los 6 meses fijados en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; plazo obligatorio conferido a una Administración para que resuelva un procedimiento sancionador en términos generales.

Con la aprobación de este Real Decreto Ley se da un paso más hacia una seguridad jurídica que una materia como la protección de datos, tan específica, sensible y de aplicación a tan diferentes sectores de actividad, debe exigir.

[1] https://www.aepd.es/media/criterios/wp243rev01-es.pdf (pág.4, 1 pr.)