PUBLICIDAD
PUBLICIDAD

El Gobierno se ve obligado a aprobar un Real Decreto-Ley que adapta la normativa nacional al RGPD ante la falta de la nueva LOPD

Estará vigente hasta que se apruebe la nueva normativa nacional de protección de datos ahora en trámite parlamentario y que cuenta con más de trescientas enmiendasMar España, directora de la AEPD, y Cecilia Álvarez, presidenta de APEP, en el último Congreso de esta entidad donde se analizó el RGPD.
|

Ya lo había anunciado Mar España, directora de la Agencia Española de Protección de Datos (AEPD), en varias comparecencias públicas, que no tener la LOPD actualizada conforme al Reglamento Europeo de Protección de Datos (RGPD) podría generar problemas importantes en nuestra normativa de privacidad a corto plazo.

En este contexto, el Consejo de Ministros de ayer viernes aprobaba, a petición de la ministra de Justicia Dolores Delgado, un Real Decreto Ley de Medidas Urgentes que ayude a dar cobertura a los actuales y futuros procedimientos de infracción tanto a nivel nacional como europeo.

PUBLICIDAD

La entrada en vigor del RGPD el pasado 25 de mayo en toda Europa ha generado cambios importantes en la normativa de privacidad de los 28 países miembros. Todos estos países están adaptando su normativa nacional de privacidad a este Reglamento para que no colisione.

PUBLICIDAD

En el caso español, hay todavía 300 enmiendas pendientes que no han permitido que se apruebe la nueva LOPD, aún en fase parlamentaria.  Eso, tal y como han comentado expertos como José Luis Piñar o la propia Mar España generaba un peligros vació legal.

Fue también en el VI Congreso de la Asociación Profesional Española de Privacidad (APEP) donde tuvo lugar el último debate público sobre la LOPD y su tramitación parlamentaria. Un encuentro en el que las principales fuerzas parlamentarias comentaron que se estaba consensuando el texto de la nueva LOPD.

PUBLICIDAD

Los expertos consultados por CONFILEGAL en ese evento subrayaron la necesidad de la nueva LOPD ante los vacíos legales existentes.

Una norma necesaria

En este contexto descrito, era muy necesario adoptar una norma con rango de ley que permita la adaptación del Derecho español al reglamento europeo en algunas cuestiones cuya regulación no está reservada a ley orgánica.

Al mismo tiempo, hemos podido saber que dicho Real Decreto-Ley aprobado este viernes realiza dicha adaptación y tendrá vigencia sólo hasta el momento en el que las Cortes aprueben el proyecto de ley cuya tramitación parlamentaria sigue pendiente.

PUBLICIDAD

De su contenido ha trascendido que regulará aspectos relacionados con la actuación de la AEPD, órgano regulador de la privacidad en nuestro país. Así dejará definida las labores de inspección, el régimen sancionador y el procedimiento de instrucción que son relevantes para la garantía efectiva del derecho a la protección de los datos personales

De alguna forma, con dicha norma aprobada en Consejo de Ministros se busca tener la seguridad jurídica necesaria sin cuya existencia el modelo europeo de supervisión queda debilitado y, con él, las opciones de los ciudadanos de hacer valer su privacidad.

PUBLICIDAD

A este respecto dicho Real Decreto-Ley establecerá cuál es el personal competente para realizar las labores de investigación previstas en el RGPD y regula el modo en que podrán desarrollar su actividad de inspección.

Asimismo, determina el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros de la Unión Europea que participen en actuaciones conjuntas de investigación. No podemos olvidar que el RGPD es corte europeo y ahora habrá diferentes procedimientos sancionadores transfronterizos.

Definir régimen sancionador y su prescripción

La norma aprobada este viernes aclara el régimen sancionador a aplicar en nuestro país, así como los plazos de prescripción y sanciones, cuestiones que el RGPD deja al ordenamiento jurídico de los Estados.

Con el Real Decreto-Ley se trata, por tanto, de sustituir el régimen infractor de la actual LOPD que data de 1999. Los procedimientos sancionadores serán de seis meses aunque en temas más complejos, con investigación incluida, llegarían a un año.

En cuanto a la prescripción de las sanciones, el Real Decreto-Ley opta por mantener los mismos tiempos que actualmente establece la Ley Orgánica de Protección de Datos, por lo que fija un plazo de un año para las inferiores a 40.000 euros, dos años para las comprendidas entre 40.000 y 300.000 euros y tres años para las superiores a dicha cuantía.

PUBLICIDAD

Por otra parte, el reglamento crea un procedimiento de cooperación entre los países de la Unión Europea en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas, pero no regula el modo en que el Derecho interno de los Estados habrá de verse afectado como consecuencia de los trámites previstos en la propia norma europea para estos procedimientos.

Según los datos de la Agencia Española de Protección de Datos, en las dos primeras semanas de aplicación del RGPD se abrieron 17 procedimientos transnacionales referidos, sobre todo, al ejercicio del “derecho al olvido”, el tratamiento de datos o la política de privacidad y los términos de servicio de grandes entidades tecnológicas.

Dichos expedientes tienen un potencial impacto en millones de ciudadanos europeos. Las autoridades de protección de datos de la UE estiman que el número de estos procedimientos transfronterizos podría situarse entre 13.000 a 16.000 al año.

Adaptar normativa española a procedimientos transfronterizos

Era por tanto necesario incorporar a la normativa española las especificidades de estos procedimientos transfronterizos y prever aspectos como su suspensión o la interrupción de los plazos de prescripción mientras las autoridades correspondientes revisan dichos procedimientos.

El reglamento europeo distingue en la práctica tres tipos de tratamientos a los que aplica distintas normas procedimentales: los tratamientos transfronterizos, los transfronterizos con relevancia local en un Estado miembro y aquéllos exclusivamente nacionales.

En el caso de los dos primeros supuestos, la regulación europea establece la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades, que dispondrán de plazos tasados para la emisión de “observaciones pertinentes motivadas”, y prevé el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.

Todo ello imponía la necesidad de incorporar al procedimiento por presuntas infracciones, fases específicas como la admisión a trámite de las reclamaciones o la posibilidad de archivo provisional del expediente en los supuestos en que la Agencia Española de Protección de Datos no tramite la reclamación, pero pueda tener que resolver sobre la misma.

El Real Decreto-Ley incluye la previsión de suspender los procedimientos cuando sea necesario recabar el parecer de las autoridades de otros Estados europeos. De no hacerlo así, esos expedientes podrían caducar, con las consecuencias negativas que ello conlleva para los propios derechos de los ciudadanos.