Si el Reglamento General de Protección de Datos es directamente aplicable, ¿por qué es necesario la aprobación de una nueva LOPD?
En su día, ya explicamos que el Reglamento General de Protección de Datos (RGPD) no necesitaba de norma de transposición, como sí ocurre en el caso de las Directivas, siendo ésta una de sus principales diferencias. Sin embargo, los Reglamentos, pese a su función de evitar la fragmentación normativa y diversa entre los Estados miembros, pueden contemplar, bien por remisión expresa o por adecuación al mismo, la necesidad de que cada país apruebe, modifique o derogue su normativa interna. De ahí que España esté tramitando en sede parlamentaria la nueva aprobación de una Ley Orgánica de Protección de Datos (LOPD).
Y, ¿cómo afectó el RGPD a la actual LOPD 15/1999?
La entrada en vigor y aplicación de la normativa comunitaria no implica la derogación de las leyes nacionales de cada Estado miembro, sino que requiere de una determinada acción legislativa de los parlamentos nacionales para aquellas normas internas que entren en colisión o deban adaptarse a las comunitarias, según el principio de jerarquía normativa que hace que el derecho comunitario prevalezca sobre el nacional.
Por ello, siempre hemos utilizado el término “desplazamiento”, ya que la LOPD 15/1999 y su Reglamento de desarrollo siguen en vigor, no habiendo sido derogadas, sino desplazadas, en aras del principio de jerarquía mencionado.
Será cuando, las Cortes Generales den luz verde al nuevo proyecto de LOPD, la anterior legislación sea totalmente derogada mediante disposición derogatoria.
El Real Decreto-ley 5/2018, de medidas urgentes para la adaptación del Derecho español a la normativa de la UE en materia de protección de datos. ¿Por qué ha sido necesaria su aprobación?
El pasado viernes 30 de julio, el Consejo de Ministros aprobaba el Real Decreto-ley 5/2018, dada la imperiosa necesidad de adaptar el ordenamiento jurídico interno al RGPD. Esto es así, dado que el propio Reglamento no regula determinados aspectos –plazos de prescripción de las infracciones tipificadas- o hace un llamamiento expreso a los Estados miembros de regulación y de adaptación –mecanismo de cooperación en los casos de tratamiento de datos transfronterizo-, por ejemplo.
Tenemos que matizar que, lo regulado por este Real Decreto-ley, no puede invadir los aspectos esenciales del derecho fundamental a la protección de datos, dado que se trata de materia reservada a ley orgánica, por lo que se ciñe al resto de cuestiones ordinarias que no pueden estar ni un minuto más sin adaptarse al RGPD.
Por lo que, en definitiva, se trata de una medida temporal hasta la aprobación definitiva de la futura LOPD y que responde a la exigencia de una acción legislativa de urgencia por parte de nuestro Estado de adaptar las disposiciones internas.
¿Qué medidas contempla?
- En materia de inspección, se identifica al personal competente para llevar a cabo la actividad inspectora, entre ellos los funcionarios de la AEPD y, sin formar parte de ella, los funcionarios habilitados al efecto. Del mismo modo, se concreta cuál será el alcance de dicha actividad, por ejemplo, requerir documentación, examen de la misma, inspeccionar equipos, etc.
- Respecto al régimen sancionador: a) se determinan los sujetos pasivos (responsables y encargados de los tratamientos, entidades de certificación, etc.); b) se reafirman como infracciones las conductas tipificadas en el RGPD; c) se establecen los plazos de prescripción de las infracciones (3 años para las infracciones que den lugar a las sanciones de hasta 20M de Euros o 4% de la facturación anual global y 2 años para las infracciones que den lugar a las sanciones de hasta 10M de Euros o 2% de la facturación anual global) y de las sanciones (sanciones por importe ≤ a 40K Euros prescriben en 1 año, sanciones por importe entre 40K y 300K Euros prescriben en 2 años y sanciones por importe ≥ a 300K prescriben en 3 años). Asimismo, se establecen las condiciones de interrupción de los plazos de prescripción.
- Por otro lado, se detalla el procedimiento a seguir en los casos en que exista una posible vulneración de la normativa de protección de datos hasta el inicio del procedimiento para el ejercicio de la potestad sancionadora, fases como la admisión a trámite de reclamaciones, la forma de iniciación del procedimiento y su duración, medidas provisionales, actuaciones previas de investigación, alcance territorial y, muy importante, al alcance territorial y la posición de la AEPD en cuanto al carácter nacional o transfronterizo del procedimiento a seguir.
- La AEPD se convierte en representante común en el Comité Europeo de Protección de Datos, creado por el RGPD.
- Se publicarán las resoluciones del Director o Directora de la AEPD en determinados casos, acción de máxima transparencia.
- En cuanto al principio de irretroactividad de la norma establecido en la Constitución, los procedimientos ya iniciados se regirán por la normativa anterior.
- Por último, deja plasmado que los contratos de encargado del tratamiento celebrados con anterioridad al 25 de mayo, seguirán vigentes hasta su fecha de vencimiento y, si no estuviera concretada, hasta la fecha tope del 25 de mayo de 2022.
¿Hasta cuándo estará vigente?
Este Real Decreto-ley, de efectos inmediatos desde el pasado 1 de agosto (al día siguiente al de su publicación en el BOE), ha derogado todas las normas de igual o inferior rango que colisionen con lo estipulado en el mismo. Además, hace especial hincapié en los artículos 40, 43 al 49, excepto el 46, de la LOPD 15/1999.
Por último, como ya decíamos al principio, la aprobación de esta norma responde a una acción legislativa de urgencia para adaptar el Derecho español a la normativa europea, por lo que su vigencia se pospondrá hasta la entrada en vigor de la futura LOPD, en la cual se contemplarán los aspectos anteriores, o ya veremos si con alguna modificación fruto del trámite de enmiendas, así como todo aquella que únicamente puede regularse a través de ley orgánica y que forma parte del contenido esencial del derecho fundamental a la protección de los datos.