Claves de las medidas urgentes del Gobierno para adaptar el derecho español a GDPR

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

A la espera de que se supere el trámite parlamentario, el Gobierno ha aprobado el pasado viernes un Real Decreto-ley con medidas urgentes para adaptar el Derecho español al nuevo Reglamento General de Protección de Datos de la UE.

El decreto con rango de ley fija cuál es el personal competente para realizar las labores de investigación previstas en GDPR y regula el modo en que podrán desarrollar su actividad de inspección. Asimismo, determina el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros de la Unión Europea que participen en actuaciones conjuntas de investigación.

Asume lógicamente el régimen sancionador de GDPR y reemplaza los tipos infractores previstos en la todavía vigente Ley Orgánica 15/1999, y ratifica el régimen actual en cuanto a la duración de los procedimientos sancionadores, que será de seis meses, aunque podrán incluir actuaciones previas de investigación durante un plazo máximo de doce meses.

En cuanto a la prescripción de las sanciones, el Real Decreto-ley opta por mantener los mismos tiempos que actualmente establece la Ley Orgánica de Protección de Datos, por lo que fija un plazo de un año para las inferiores a 40.000 euros, dos años para las comprendidas entre 40.000 y 300.000 euros y tres años para las superiores a dicha cuantía.

Por otra parte, GDPR crea un procedimiento de cooperación entre los países de la Unión Europea en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas, pero no regula el modo en que el Derecho interno de los Estados habrá de verse afectado como consecuencia de los trámites previstos en la propia norma europea para estos procedimientos.

La aplicación de esta normativa exige en muchos casos recabar el criterio de las autoridades de protección de datos de otros Estados miembros de la Unión Europea para actuar de forma coordinada en aquellos supuestos que afecten a varios países.

En este punto, el reglamento europeo distingue en la práctica tres tipos de tratamientos a los que aplica distintas normas procedimentales: los tratamientos transfronterizos, los transfronterizos con relevancia local en un Estado miembro y aquéllos exclusivamente nacionales. En el caso de los dos primeros supuestos, la regulación establece la obligación de que la autoridad principal someta los distintos  proyectos de decisión a las  restantes autoridades, que dispondrán de plazos tasados para la emisión de "observaciones pertinentes motivadas", y prevé el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.

Todo ello imponía la necesidad de incorporar al procedimiento por presuntas infracciones fases específicas como la admisión a trámite de las reclamaciones o la posibilidad de archivo provisional del expediente en los supuestos en que la Agencia Española de Protección de Datos no tramite la reclamación, pero pueda tener que resolver sobre la misma.

El Real Decreto-ley incluye la previsión de suspender los procedimientos cuando sea necesario recabar el parecer de las autoridades de otros Estados europeos. De no hacerlo así, esos expedientes podrían caducar, con las consecuencias negativas que ello conlleva no sólo respecto de la aplicación en España del reglamento europeo, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto a su privacidad en aquellos casos en que la Agencia Española de Protección de Datos tuviera la condición de autoridad de control principal.