Ante el retraso en la tramitación parlamentaria del Proyecto de la nueva Ley Orgánica de Protección de Datos, el 27/7/2018 el consejo de ministros aprobó un Real Decreto-Ley que deroga el régimen sancionador de la Ley Orgánica 15/1999, adaptando la legislación española al régimen sancionador del RGPD.
El Real Decreto-ley ha sido publicado en el BOE el 30/7/2018, con entrada en vigor al día siguiente. En todo caso, el RDL establece que los procedimientos iniciados con anterioridad a su entrada en vigor se regirán por la normativa anterior, salvo aquellas disposiciones más favorables para el interesado.
El RDL regula aspectos como el funcionamiento de los procedimientos de la Agencia Española de Protección de Datos, la tramitación de las reclamaciones, y la remisión de la reclamación a otra Autoridad de control si la Agencia Española considerara que no tiene la condición de autoridad de control principal.
En cuanto a los plazos, se establece la prescripción en 2 años de las infracciones recogidas en el art. 83.4, sancionadas con hasta 10M € o con el 2% de la facturación, y que incluyen lo relativo a la protección de datos desde el diseño y por defecto, medidas de seguridad, encargados de tratamiento, designación del delegado de protección de datos, evaluaciones de riesgo e impacto, y notificaciones de las brechas de seguridad.
También se recoge la prescripción en 3 años de las infracciones recogidas en el art. 83.5 y 83.6, sancionadas con hasta 20M € o el 4% de la facturación, y que incluyen lo relativo a la licitud del tratamiento, el consentimiento, los derechos de los interesados y las transferencias internacionales. La prescripción de las sanciones dependerá de su cuantía, con un plazo de 1, 2, y 3 años para las sanciones de importes superiores a 300.000€.
Resulta llamativo que el RDL establece explícitamente que el régimen sancionador no será aplicable al delegado de protección de datos.
Finalmente, y en línea con el criterio que ya había venido indicando la AEPD, el RDL establece que los contratos de encargado de tratamiento suscritos con anterioridad al 25/5/2018 en base al artículo 12 de la LOPD y con vigencia indefinida mantendrán su vigencia hasta el 25/5/2022, pudiendo cualquiera de las partes solicitar la adaptación de los mismos al artículo 28 del RGPD.
Con todo esto, España avanza en la adaptación de la normativa de protección de datos adaptándola al RGPD si bien queda un largo camino hacia una nueva la nueva Ley Orgánica. Se habla de la aprobación de la misma hacia finales de año. Veremos.
