El Consejo de Ministros ha aprobado un Real Decreto Ley con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos (RGPD), norma de la Unión Europea que al entrar en vigor el pasado 25 de mayo impuso importantes modificaciones en la legislación interna. Estos cambios fueron incorporadas a un proyecto de ley orgánica que todavía no ha superado su tramitación parlamentaria.

Por lo tanto, el Real Decreto Ley tiene por objeto establecer la regulación de determinadas materias en materia protección de datos que no están reservadas a la ley orgánica. En concreto, regula la inspección y el régimen sancionador en materia de protección de datos y los procedimientos en caso de una posible vulneración del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Asimismo, el Real Decreto Ley deroga el artículo 40 y el Título VII (a excepción del artículo 46) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La finalidad del Real Decreto Ley es adecuar nuestro ordenamiento al Reglamento General de Protección de Datos en aquellos aspectos concretos que, sin rango orgánico, no admiten demora; su aprobación, sin embargo, debe entenderse sin perjuicio de la necesidad de una legislación orgánica de protección de datos que procure la plena adaptación de la normativa interna a los estándares fijados en la materia por la Unión Europea a través de una disposición directamente aplicable como es el Reglamento General de Protección de Datos, vigente en España desde el pasado 25 de mayo.

Clickando en el siguiente enlace encontrarán el Real Decreto Ley publicado en el BOE, y aquí podrá leer todas nuestras noticias en materia de protección de datos.

El Real Decreto Ley comprende catorce artículos estructurados en tres capítulos, dos disposiciones adicionales, dos transitorias, una derogatoria y una final. Su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos y que no están excluidas del ámbito del legislador de urgencia por el artículo 86 de la Constitución Española.

  • El Capítulo I atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigación que el Reglamento General de Protección de Datos otorga en su artículo 58.1 a las autoridades de control. Ello exige que el Derecho interno regule el modo en que podrán ejercerse dichos poderes, qué personas ejercerán la actividad de investigación e inspección y en qué consistirán esas atribuciones expresamente establecidas en el reglamento europeo desde el punto de vista del ordenamiento español. Asimismo, y en aplicación del artículo 62.3 del Reglamento General de Protección de Datos, es preciso determinar el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros que participen en actuaciones conjuntas de investigación.
  • El Capítulo II articula el novedoso régimen sancionador establecido en el Reglamento General de Protección de Datos, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica 15/1999 por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 de dicho reglamento, lo que resulta de todo punto necesario. Además, existen dos cuestiones sobre las que es ineludible la adopción de disposiciones por el Derecho interno que garanticen la efectividad de este régimen sancionador y la seguridad jurídica en su aplicación.
    • La primera se refiere a la necesaria delimitación de los sujetos que pudieran incurrir en la responsabilidad derivada de la aplicación de dicho régimen sancionador.
    • La segunda reviste aún mayor importancia y se refiere a la necesidad de determinar los plazos de prescripción de las infracciones y sanciones previstas en la norma europea.
  • El Capítulo III contiene la regulación del procedimiento en caso de que exista una posible vulneración del Reglamento General de Protección de Datos. En este punto, es preciso tener en cuenta que el reglamento distingue en la práctica tres tipos de tratamientos a los que aplicaría distintas normas procedimentales:
    • Los tratamientos transfronterizos, definidos por el artículo 4.23 del Reglamento general de Protección de Datos.
    • Los transfronterizos con relevancia local en un Estado miembro, a los que se refiere el artículo 56 del mismo.
    • Aquéllos que tendrían la condición de exclusivamente nacionales, entre los que figuran en todo caso los previstos en el artículo 55 de la norma europea.

El Real Decreto Ley no regula la nueva figura introducida por el RGPD: el Delegado de Protección de Datos (DPO).

Por último, en cumplimiento del artículo 68.4 del Reglamento General de Protección de Datos, la disposición adicional primera designa como representante de España en el Comité Europeo a la Agencia Española de Protección de Datos, que informará a las autoridades autonómicas acerca de las decisiones adoptadas en dicho organismo de la Unión y recabará su parecer cuando se trate de materias de su competencia. Por su parte, la disposición adicional segunda contiene previsiones en lo relativo a la publicidad de las resoluciones de la Agencia Española de Protección de Datos, con el fin de garantizar la transparencia de su actuación, ante el nuevo marco procedimental configurado por el Reglamento General de Protección de Datos.

 

Imagen: Fundación compartir