EL INCUMPLIMIENTO DEL RGPD YA ES SANCIONABLE EN ESPAÑA

El pasado 27 de julio el Gobierno aprobó el RD-Ley 5/2018, de Medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos, una norma transitoria, hasta la aprobación definitiva de la nueva LOPD.

El Real Decreto, desarrolla uno de los aspectos no reservados a ley orgánica, pero de urgente desarrollo, como es el régimen jurídico sancionador, ya que, si bien, el nuevo Reglamento General de Protección de Datos UE (RGPD) es de aplicación directa en nuestro país desde el 25 de mayo de 2018, no era posible  sancionar su incumplimiento, al ser necesaria la adaptación de dicho régimen al ordenamiento jurídico español, que es precisamente la finalidad que cumple la nueva norma.

De este modo, se garantiza de manera efectiva el derecho a la protección de los datos personales, proporcionando seguridad jurídica a los ciudadanos a la hora de hacer valer su privacidad, puesto que era un contrasentido que el RGPD fuera de aplicación directa, pero su incumplimiento no pudiera ser sancionado.

El nuevo Real Decreto-Ley, en vigor desde el 31 de julio, regula tanto la labor de inspección y el régimen sancionador, como los procedimientos a seguir en caso de una posible vulneración de la normativa de protección de datos, regulada por los preceptos del RGPD.

En concreto, respecto de la labor inspectora establece, el ámbito de aplicación, el procedimiento a seguir y el personal competente, que tendrá, en todo caso la consideración de  agente de la autoridad en el ejercicio de sus funciones.  En los casos de actuaciones conjuntas, determina el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros de la Unión Europea.

En cuanto del régimen sancionador, asume la tipificación que hace el RGPD de las infracciones en graves y muy graves, estableciendo los plazos de prescripción de las mismas, tres años para las muy graves y dos para las graves y asimismo, regula los plazos de prescripción de las sanciones, las de importe hasta 40.000 euros, prescriben al año, las comprendidas entre 40.001 y 300.000 euros a los dos años y las de importe superior a 300.000 euros a los tres años.

Por otro lado, delimita los sujetos responsables a los que les es aplicable dicho régimen, responsables y encargados de tratamiento, representantes de estos establecidos fuera de la UE, entidades de certificación y entidades acreditadas de supervisión de los códigos de conducta, y exonerando a los Delegados de Protección de Datos.

Por último, dedica su capítulo III al Procedimiento en caso de vulneración de la normativa, distinguiendo tres procedimientos distintos, uno en caso de que afectado reclamara no haber sido atendida su solicitud de ejercicio de los derechos; otro, si la AEPD investigara la posible existencia de una infracción de lo dispuesto en el RGPD; y un tercero, si a consecuencia de la comunicación a la AEPD por la autoridad de control de otro Estado miembro de la UE de la reclamación formulada ante la misma, y la AEPD tuviese la condición de autoridad de control principal.

En resumen, es un hecho que todos los sujetos obligados por la normativa de Protección de datos, al tratar datos de carácter personal, ya pueden ser sancionados en caso de incumplimiento de los preceptos del RGPD, por lo que urge la adaptación al mismo, así como el control de su cumplimiento.