Mucho se ha hablado, y también lo hemos hecho en nuestro blog, sobre los cambios que se han introducido en la normativa actual de protección de datos respecto a la anterior LOPD, así como de las importantes sanciones que toda empresa puede acarrear en el caso de no cumplir con lo dispuesto en la ley.
Pero muy poco se ha hablado, sin embargo, de las modificaciones introducidas en el nuevo régimen sancionador, que ya se contemplaron en el Real Decreto 5/2018, aprobado el 27 de julio del 2018, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos.
En él se regula tanto la inspección en el ámbito de la protección de datos como el régimen sancionador aplicable.
Inspección en materia de protección de datos
El Real Decreto-ley al que se ha hecho referencia atribuye a las autoridades de control (en nuestro caso, la Agencia Española de Protección de Datos) los poderes de investigación atribuidos por el Reglamento General de Protección de Datos.
Es decir, la actividad de investigación de la AEPD se efectuará por los funcionarios de la propia agencia, o bien por funcionarios ajenos a ella habilitados expresamente por su dirección.
Éstos últimos serán reconocidos agentes de la autoridad en el ejercicio de sus funciones y estarán obligados a guardar secreto sobre cualesquiera informaciones que conozcan con motivo de dicho ejercicio, incluso después de haber cesado en su cargo.
¿Cuál es el nuevo procedimiento sancionador?
Hasta la fecha, existía un vacío legal en el propio reglamento europeo en cuanto al régimen sancionador, debiendo ser completado por la normativa de cada país miembro. El Real Decreto-Ley, siguiendo la normativa europea, tan sólo aborda aspectos procedimentales y de infracciones de la nueva normativa.
Veamos más sobre ello.
¿Quiénes son los sujetos responsables en el nuevo régimen sancionador?
Están sujetos al régimen sancionador:
Los responsables de los tratamientos.
- Los encargados de los tratamientos.
- Los representantes de los responsables o de los encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
- Las entidades acreditadas de supervisión de los códigos de conducta.
- Las entidades de certificación.
A diferencia de lo que ocurre con los sujetos anteriores, el Delegado de Protección de Datos (la nueva figura introducida en la actual normativa de aplicación) no está sujeto a dicho régimen sancionador.
¿Cuáles son las infracciones qué contempla el nuevo régimen sancionador, qué plazos de prescripción establece y qué sanciones se aplican?
El Real Decreto-ley remite al RGPD para determinar los tipos de infracciones, en las que se prevé un plazo de prescripción de 2 años para las infracciones menos graves y de 3 años para las infracciones de mayor gravedad.
En relación con las sanciones, puedes leer más en un artículo dedicado en nuestro blog (primeras sanciones incumplimiento LOPD y RGPD).
¿Cuál es el procedimiento que se establece en el caso de infracción de la normativa?
El Reglamento General de Protección de Datos distingue 3 tipos de tratamientos a los que aplica diferentes normas procedimentales:
- los tratamientos transfronterizos,
- los transfronterizos con relevancia local en un Estado Miembro y
- los que tendrían la condición de exclusivamente nacionales.
El texto regula:
- forma de iniciación del procedimiento y su duración
- admisión a trámite de las reclamaciones
- determinación del alcance territorial del procedimiento a seguir
- actuaciones previas de investigación
- acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora
- medidas provisionales.
AEPD como representante de España
El Real Decreto-ley designa como representante de España en el Comité Europeo a la Agencia Española de Protección de Datos.
La AEPD tiene la responsabilidad de informar a las autoridades autonómicas competentes de las decisiones adoptadas en dicho organismo europeo, así como adoptar cuantas decisiones sean de su competencia en la materia.
La Agencia Española de Protección de Datos publicará las resoluciones de su dirección que:
- declaren haber lugar o no a la defensa de los derechos ARCO, limitación y portabilidad,
- pongan fin a los procedimientos de reclamación,
- archiven las actuaciones previas de investigación,
- sancionen con apercibimiento a las entidades de la Administración Pública,
- impongan medidas cautelares y las demás que disponga su Estatuto.
No obstante lo anterior, si tienes dudas acerca del régimen sancionador, te han impuesto una sanción administrativa por infracción en materia de protección de datos, quieres realizar una reclamación, redactar un recurso de alegaciones o precisas de cualquier aclaración, nuestro equipo de abogados especialistas en protección de datos y asesores LOPD acumulan años de experiencia y pueden ayudarte en cualquier trámite.
Contacta con un abogado experto