Actualidad >

Noticias

El nuevo decreto en normativa de protección de datos aplica las sanciones europeas en España

El Consejo de Ministros del Gobierno español aprobó el pasado viernes un decreto-ley para adaptar la normativa europea en protección de datos en el Estado. Las modificaciones incorporadas afectan a las competencias y procedimientos de las autoridades de control, al régimen de las sanciones y los periodos de prescripción de las sanciones.

Otra novedad importante es que los contratos de encargado de tratamiento suscritos con anterioridad al 25 de mayo de 2018 serán válidos hasta la fecha prevista de finalización. Si no están sometidos a una fecha concreta de finalización, serán válidos hasta el 25 de mayo del año 2022. Sin embargo, estos contratos deberán ser actualizados si lo pide cualquiera de las partes.

Prescripción de las sanciones

El decreto-ley 5/2018 establece dos plazos de prescripción distintos. Para las infracciones sancionables con hasta 10 millones de euros o el 2% del volumen de negocio global, el plazo de prescripción es de 2 años. Para las infracciones sancionables con hasta 20 millones de euros o el 4% del volumen de negocio global, el plazo de prescripción es de 3 años.

En comparación con el régimen previsto en la Ley Orgánica 15/1999, de Protección de Datos (LOPD), desaparece el plazo de prescripción de un año reservado para las sanciones leves.

Una vez impuesta la sanción, sí existirán tres plazos de prescripción diferentes de acuerdo con la cuantía de la misma. Así, si las sanciones son inferiores o iguales a 40.000 euros, estas prescribirán al año. Si la sanción es superior a 40.000 euros, y hasta un máximo de 300.000 euros, el plazo de prescripción será de dos años. Si la sanción supera los 300.000 euros, esta podrá ser reclamada por un plazo de 3 años.

Hay que tener presente que las autoridades de control deben admitir las reclamaciones con carácter previo a la imposición de la sanción. En este sentido, la admisión será procedente siempre que las reclamaciones traten sobre materia de protección de datos, estén fundamentadas, no sean abusivas y aporten indicios racionales de la existencia de la sanción. La autoridad dispondrá de tres meses para responder al reclamante. Si en este tiempo no se ha respondido, se entenderá admitida la reclamación.

Aunque estas condiciones anteriores se cumplan, la autoridad de control podrá contactar con el Delegado de Protección de Datos del presunto infractor para desestimar la reclamación, siempre que se hayan adoptado las medidas correctivas oportunas, no se haya causado perjuicio al afectado y que los derechos del afectado queden plenamente garantizados con las medidas aplicadas.

Una vez admitida a trámite la reclamación, la autoridad de control dispondrá de seis meses para resolver. Si en este tiempo no emite una resolución, deberá entenderse estimada la reclamación.

El Decreto-Ley establece, asimismo, que las actuaciones de las agencias pueden ser iniciadas de oficio, por una reclamación de un ciudadano o a petición de otra autoridad de control ubicada en la Unión Europea. Se establecen, asimismo, los criterios de cooperación cuando la afectación a los ciudadanos supere el ámbito estatal, colaborando varias autoridades de control cuando los afectados sean de diferentes países de la Unión Europea y el régimen de representación de las autoridades de control autonómicas ante el Comité Europeo de Protección de Datos a través del representante de la Agencia Española de Protección de Datos.

Fruto de la aprobación del Decreto-Ley, a partir del mismo día 31 de julio de 2018, quedan derogados los artículos 40, 43, 44, 45, 47, 48 y 49 de la LOPD que regulaban, hasta ahora, las materias modificadas.