Sobre el Real Decreto-Ley 5/2018

Post jurídico

Bartolomé Martín, Blanca Cortés, Alberto Colomina y Claire Murphy 

El pasado lunes, 30 de julio de 2018, se publicó en el BOE el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos ("RDL 5/2018"). El Gobierno ha decidido valerse de este instrumento legislativo extraordinario con el propósito de dotar a la Agencia Española de Protección de Datos ("AEPD") de un procedimiento sancionador adaptado a lo establecido en el Reglamento General de Protección de Datos ("RGPD") previo a la aprobación de una nueva Ley Orgánica, prevista para final de año.

El RDL 5/2018 se estructura en tres capítulos:

El Capítulo I regula el personal competente para el ejercicio de los poderes de investigación.  Cabe destacar al respecto que, de conformidad con el artículo 1, no sólo los funcionarios de la AEPD podrán desarrollar esta actividad, sino también otros funcionarios cuando hayan sido habilitados expresamente para ello. Aunque este tipo de mecanismos de cooperación son frecuentes en el marco de la actividad supervisora de la Administración, la complejidad del RGPD -de manifiesto, por ejemplo, a la hora de establecer el perfil necesario para desempeñar la función de Delegado de Protección de Datos ("DPD")- podría suponer un gran desafío para funcionarios menos especializados a la hora de llevar a cabo la instrucción de procedimientos en esta materia, de por sí complicada. 

El Capítulo II se ocupa de otras cuestiones procedimentales relevantes. Por ejemplo, delimita el perímetro de los sujetos sancionables, excluyendo expresamente al DPD e incluyendo a las entidades de certificación y entidades acreditadas para la supervisión de los códigos de conducta, junto con responsables y encargados de tratamiento y sus representantes. Se confirma en este punto que el DPD no ostenta posición de garante y que, por tanto, no podrá ser considerado responsable de las infracciones que se imputen a responsables o encargados de tratamiento frente a las autoridades, sin perjuicio de la responsabilidad que le pueda ser exigible contractualmente. Por otra parte, se determina el régimen de prescripción de infracciones y sanciones, que se mantiene en línea con el régimen que regulaba la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal ("LOPD"): (i) dos años para las infracciones graves y tres para las muy graves; (ii) un año, para sanciones de hasta 40.000 Euros, dos años, para las que superen esa cifra pero estén por debajo de 300.000 Euros, y tres años, para las que se fijen por encima de esa cantidad.

El Capítulo III habilita a la AEPD, tanto para tutelar el ejercicio de los derechos de los interesados, como para investigar posibles infracciones del RGPD. En ambos casos, se mantiene la aplicación supletoria de las normas generales que regulan los procedimientos administrativos y se fijan el plazo de resolución de los procedimientos: seis y nueve meses, respectivamente. Mientras que la finalización del plazo de nueve meses establecido para resolver los procedimientos de infracción producirá su caducidad, la del plazo de seis meses para resolver los procedimientos de tutela de derechos desemboca, según el artículo 8.1, en que "el interesado podrá considerar estimada su reclamación". Es decir, la Administración puede resolver estas reclamaciones mediante silencio positivo, sin que queden del todo claras las consecuencias de la estimación de la reclamación, ni para el interesado ni para el responsable del tratamiento. Cabe presumir que, finalizado de este modo el procedimiento de tutela, se iniciará por parte de la AEPD el correspondiente procedimiento sancionador y se procederá a la aplicación de medidas provisionales, según se regulan en el artículo 13 de la propia norma, cuando ello sea pertinente.

Merece la pena destacar (artículo 9) la posible inadmisión de las reclamaciones en los supuestos en que, requerido al efecto por la AEPD, el responsable/ encargado del tratamiento adopte medidas correctivas adecuadas, siempre que no exista perjuicio para el interesado (aunque el RDL 5/2018 se refiere, quizá con nostalgia, al afectado) y siempre que su derecho quede plenamente garantizado. Asimismo, se permite la posibilidad de habilitar al DPD o persona designada al efecto para que resuelva la reclamación en el plazo de un mes, sin que se dibujen las consecuencias derivadas de una resolución no satisfactoria de la reclamación por parte del responsable o encargado del tratamiento tampoco en este caso.

Por lo demás, el Capítulo III recoge el contenido mínimo de la resolución de inicio del procedimiento sancionador, que se concreta en su artículo 12.1: "los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción." Aunque el precepto omite toda mención a la necesaria fundamentación jurídica de la resolución, la aplicación supletoria de las normas generales que regulan el procedimiento administrativo determina que dicha resolución deba ir acompañada de una fundamentación jurídica adecuada y suficiente.

Adicionalmente, en el marco de las medidas provisionales que se regulan en el artículo 13, se establece la potestad de la AEPD de proceder por sí misma a la "inmovilización" de los datos personales de los interesados, si se produjera el incumplimiento del mandato dirigido al responsable/ encargado a tal efecto. Se trata de una facultad ejecutiva que tiene difícil encaje en el marco del procedimiento administrativo sin la necesaria asistencia por parte de terceros o intermediarios (e. g. un proveedor de servicios cloud que pueda bloquear el acceso a los datos).

Finalmente, es necesario destacar la Disposición transitoria segunda, en la que se establece la posibilidad, salvo oposición del responsable o encargado de tratamiento, de no renovar los convenios de encargo de tratamiento hasta su vencimiento o, en caso de haberse pactado por tiempo indefinido, hasta el 25 de mayo de 2022. Esta disposición debiera ser objeto de revisión salvo que se interprete como una norma meramente formal, a saber, que no obliga a novar los convenios pero sí a cumplir el contenido mínimo que para éstos se establece en el artículo 28 del RGPD y, ello, porque su contenido podría considerase incompatible con sus postulados y, por tanto, sujeto a reserva de Ley Orgánica, amén de ser incoherente con la postura adoptada por nuestras autoridades respecto de la validez de otros actos y documentos previos a la fecha de aplicación del RGPD (e. g. consentimientos válidamente obtenidos de los interesados). Por otro lado, su redacción actual prevé un régimen más restrictivo para los convenios firmados por tiempo indefinido que para aquellos de larga duración que se hayan previsto por plazo determinado.

El RDL 5/2018 da el "pistoletazo" de salida a la actividad supervisora de la AEPD. Ya no hay vuelta atrás...

La presente publicación no constituye opinión profesional o asesoramiento jurídico de sus autores. 

Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.