Novedades del nuevo Real Decreto-ley 5/2018, de 27 de julio.

1. Adecuación de nuestro ordenamiento jurídico. 

Según recoge su exposición de motivos, la necesidad de adaptar el marco normativo interno al Reglamento General de Protección de Datos supuso la aprobación por el Consejo de Ministros, en su sesión de 10 de noviembre de 2017 de un proyecto de ley orgánica, remitido a las Cortes Generales, que actualmente se encuentra en tramitación parlamentaria.

Mientras tanto, el Real Decreto-Ley 5/2018, de 27 de Julio, de medidas urgentes para la adaptación del derecho español a la normativa de la Unión Europea en materia de protección de datos (en adelante, RDL 5/2018), publicado el pasado 30 de julio, adelanta parcialmente la adecuación de nuestro ordenamiento jurídico al meritado reglamento europeo, respecto de aquellos aspectos concretos que no son objeto de reserva de Ley Orgánica, y requieren de una impostergable transposición.

 

2. Regulación en materia de protección de datos.

En síntesis, el RDL 5/2018 recoge de forma sucinta tres capítulos que regulan las siguientes materias:

I.-Funciones de inspección en materia de protección de datos, determinando las competencias atribuidas a la Agencia Española de Protección de Datos.

II.-Régimen sancionador en materia de protección de datos, remplazando los tipos infractores actualmente contenidos en la Ley Orgánica 15/1999 por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 del reglamento europeo.

Asimismo, fija los plazos de prescripción de las infracciones y sanciones previstas en la norma europea.

III.-Procedimientos en caso de vulneración de la normativa de protección de datos. Se establecen las siguientes formas de inicio del procedimiento:

    1. Falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679. El plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.
    2. La determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.

3. Adaptación al nuevo RDL 5/2018. 

En cuanto a los contratos de encargado de tratamiento de datos, el RDL 5/2018 en su disposición transitoria segunda establece que los contratos suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.

Por último, en su disposición derogatoria única, deroga todas las normas de igual o inferior rango que se opongan a lo establecido en el presente real decreto-ley, concretamente, los artículos 40, 43, 44, 45, 47, 48 y 49 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Diego Ceballos.