El Consell de Ministres del Govern espanyol va aprovar el passat divendres un decret-llei per adaptar la normativa europea en protecció de dades a l'Estat. Les modificacions incorporades afecten a les competències i procediments de les autoritats de control, al règim de les sancions i als períodes de prescripció de les sancions.

Una altra novetat important és que els contractes d'encarregat de tractament subscrits amb anterioritat al 25 de maig de 2018 seran vàlids fins a la data prevista de finalització. Si no estan sotmesos a una data concreta de finalització, seran vàlids fins al 25 de maig de l'any 2022. No obstant, aquests contractes hauran de ser actualitzats si ho demana qualsevol de les parts.

Prescripció de les sancions

El decret-llei 5/2018 estableix dos terminis de prescripció diferents. Per a les infraccions sancionables amb fins a 10 milions d'euros o el 2% del volum de negoci global, el termini de prescripció és de 2 anys. Per a les infraccions sancionables amb fins a 20 milions d'euros o el 4% del volum de negoci global, el termini de prescripció és de 3 anys.

En comparació amb el règim previst a la Llei Orgànica 15/1999, de Protecció de Dades (LOPD), desapareix el termini de prescripció d'un any reservat per a les sancions lleus.

Un cop imposada la sanció, sí que existiran tres terminis de prescripció diferents d'acord amb la quantia de la mateixa. Així, si les sancions són inferiors o iguals a 40.000 euros, aquestes prescriuran a l'any. Si la sanció és superior a 40.000 euros, i fins a un màxim de 300.000 euros, el termini de prescripció serà de dos anys. Si la sanció supera els 300.000 euros, aquesta podrà ser reclamada per un termini de 3 anys.

Cal tenir present que les autoritats de control han d'admetre les reclamacions amb caràcter previ a la imposició de la sanció. En aquest sentit, l'admissió serà procedent sempre que les reclamacions tractin sobre matèria de protecció de dades, estiguin fonamentades, no siguin abusives i aportin indicis racionals de l'existència de la sanció. L'autoritat disposarà de tres mesos per a respondre al reclamant. Si en aquest temps no s'ha respost, s'entendrà admesa la reclamació.

Tot i que aquestes condicions anteriors es compleixin, l'autoritat de control podrà contactar amb el Delegat de Protecció de Dades del presumpte infractor per tal de desestimar la reclamació, sempre que s'hagin adoptat les mesures correctives oportunes, no s'hagi causat perjudici a l'afectat i que els drets de l'afectat quedin plenament garantits amb les mesures aplicades.

Un cop admesa a tràmit la reclamació, l'autoritat de control disposarà de sis mesos per a resoldre. Si en aquest temps no emet una resolució, caldrà entendre estimada la reclamació.

El Decret-Llei estableix, així mateix, que les actuacions de les agències poden ser iniciades d'ofici, per una reclamació d'un ciutadà o a petició d'una altra autoritat de control ubicada a la Unió Europea. S'estableixen, així mateix, els criteris de cooperació quan l'afectació als ciutadans superi l'àmbit estatal, col·laborant diverses autoritats de control quan els afectats siguin de diferents països de la Unió Europea i el règim de representació de les autoritats de control autonòmiques davant del Comitè Europeu de Protecció de Dades a través del representant de l'Agencia Española de Protección de Datos.

Fruit de l'aprovació del Decret-Llei, a partir del mateix dia 31 de juliol de 2018, queden derogats els articles 40, 43, 44, 45, 47, 48 i 49 de la LOPD que regulaven, fins ara, les matèries modificades.