Con fecha 30 de julio de 2018 fue publicado el Real Decreto Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho Español a la normativa de la Unión Europea en materia de protección de datos.
Sin embargo, tras la entrada en vigor del Reglamento General en materia de Protección de Datos, el pasado 25 de mayo de 2018, muchos aspectos quedaban sin concretar, y debían ser objeto de regulación por parte de cada uno de los Estados miembros. Por ello, en España, el 10 de noviembre de 2017, fue aprobado por el Consejo de Ministros el Proyecto de Ley Orgánica de Protección de Datos, pero debido a la compleja situación política, se demoró la aprobación de la mencionada Ley Orgánica.
Debido a esta demora, y para avanzar en la adaptación de la normativa europea a nivel español; en todos aquellos aspectos que no requerían ser regulados por una Ley Orgánica, por no tratarse de derechos fundamentales, se aprobó el Real Decreto 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, y de esta forma dar cobertura legal a los aspectos que debían ser de forma urgente regulados para que pueda ser aplicada la normativa europea, y no esperar a la aprobación de la Ley Orgánica.
Entre los principales aspectos contenidos en el Real Decreto Ley, podemos destacar que se ha procedido a la identificación del personal competente para ostentar la facultad de investigación que el Reglamento otorga a la Autoridad de Control, así como los aspectos referentes a las infracciones, y sanciones; y plazos de prescripción de ambos incluyendo también el desarrollo del procedimiento a seguir en caso de vulneración de la normativa en materia de protección de datos.
Las disposiciones adicionales incluyen entre otros aspectos, el nombramiento de la Agencia Española de Protección de Datos como representante en el Comité Europeo de Protección de Datos, la obligatoriedad de publicación de las resoluciones de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos, y el aplicable a los contratos de encargado del tratamiento. De tal forma que se ha pretendido dar mayor claridad a las dudas que planteaban algunos aspectos que el Reglamento no especificaba, dejando su concreción a la normativa de cada uno de los Estados Miembros.
En el capítulo primero, se otorga la competencia del ejercicio de la actividad de investigación a la Agencia Española de Protección de Datos, y se define el alcance la facultad de investigación, entre otras. La más destacada, la inclusión de la facultad de inspección que permite dar cobertura de este modo a la protección de los derechos fundamentales reconocidos en materia de protección de datos en RGPD.
El régimen sancionador define quiénes estarán sujetos, quedando excluida la figura del Delegado de Protección de Datos, y ratifica como infracciones las vulneraciones que ya recogía el RGPD. Se establece la prescripción de las infracciones, quedando en tres y dos años respectivamente, en función de la gravedad que recoge el RGPD. Respecto a la prescripción de las sanciones, lo articula en función de la cuantía, siendo las de importe superior a trescientos mil euros, de tres años. A través de la regulación de estos aspectos, ofrece seguridad jurídica para la protección de los derechos de los interesados, que sin la legislación a nivel España, no hubiese sido posible.
En tanto en cuanto en el RGPD se establecen las directrices para la aplicación de la normativa, también concreta el procedimiento a seguir en caso de vulneración de los derechos de los interesados a través del Real Decreto Ley, distinguiendo entre los tratamientos transfronterizos, los tratamientos transfronterizos con relevancia local en un Estado Miembro, y los que sólo tienen condición nacional.
Dado que en el RGPD se establecen trámites específicos en los procedimientos que también deben ser contemplados en nuestra normativa, se introduce a través de la regulación en el Real Decreto, incluyendo la forma de iniciación del procedimiento y duración del mismo, la admisión a trámite de las reclamaciones, recogiendo como novedad que en caso de haberse adoptado las medidas correctivas necesarias por parte del responsable o del encargado, para poner fin al incumplimiento, y siempre que no se haya causado perjuicio al afectado o el derecho del afectado esté plenamente garantizado, no serán admitidas a trámite.
Incluye la determinación del alcance territorial, estableciéndose que en caso de no ser competente lo remitirá a la Autoridad de control correspondiente, notificándolo también al interesado que hubiera formulado la reclamación, asimismo, se regulan las actuaciones previas de investigación, el acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora, y las medidas provisionales.
Por último, hace especial hincapié en la adopción de medidas que proporcionen una mayor transparencia aplicando de esta forma uno de los principios esenciales de RGPD, obligando a dar publicidad las resoluciones adoptadas por la Agencia Española de Protección de Datos (AEPD), las referentes a las de atención de derechos o no, las que ponen fin a los procedimientos de reclamación, las que archiven actuaciones previas de investigación, y las que sancionen a las entidades que hayan incumplido.
Por último, respecto a los contratos de encargado del tratamiento suscrito antes de la entrada en vigor de RGPD, seguirán vigentes hasta la fecha de vencimiento. En el caso de los contratos indefinidos, hasta el 25 de mayo de 2022.
El Decreto Ley estará vigente, hasta que entre en vigor la legislación orgánica que se encuentra en fase de tramitación parlamentaria. Podemos concluir que se trata de una solución transitoria para acelerar la implantación de la normativa europea, en los aspectos que no tienen que ser objeto de regulación mediante Ley Orgánica, de tal forma, que dado que el RGPD es directamente aplicable, regulando mediante el Real Decreto Ley los aspectos referentes a la actividad de investigación, y al procedimiento en caso de vulneración de la normativa, se podrá empezar a actuar por parte de la AEPD para dar cumplimiento a lo dispuesto en RGPD.