Desde el pasado 25 de Mayo, nadie es ajeno a los grandes cambios que Europa ha impuesto en materia de protección de datos, entre los que destaca el notable incremento de las sanciones, pues en la Ley Orgánica de 1999 la cuantía máxima prevista eran 600.000 €, y desde la Unión Europea se habla de multas de hasta 20 millones de euros o del 4 % de facturación anual.
Por otro lado, se refuerza enormemente el derecho de los interesados a la información sobre el tratamiento que por terceros se realiza de sus datos personales, incorporándose además tres derechos más a los ya conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición). Concretamente, se suman el derecho al olvido, a la limitación del tratamiento y a la portabilidad de los datos.
Así mismo, uno de los cambios que más revuelo ha causado y que nos ha hecho a todos víctimas de innumerables correos electrónicos, es la necesidad de consentimiento expreso del interesado para tratar sus datos, debiendo ser informado de la finalidad del tratamiento, de la duración del mismo, y de las posibles cesiones a terceros de las que puedan ser objeto.
En este escenario de cambios, nos encontramos con muchas contradicciones entre el Reglamento Europeo y nuestra legislación actual, que hacen imprescindible la aprobación de una nueva ley para adaptar nuestro ordenamiento a lo establecido en el citado reglamento, lo cual se encuentra actualmente en tramitación parlamentaria.
Pero teniendo en cuenta el carácter urgente de la adecuación al Reglamento Europeo, el Consejo de Ministros aprobó el pasado 27 de julio, a propuesta de la Ministra de Justicia aprobó el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
A grandes rasgos, podemos hablar de tres cuestiones que se regulan en el Real Decreto, en vigor desde hoy, 31 de julio de 2018:
1ºInspección en materia de protección de datos:
En materia de inspección, mientras que la LOPD del 99 limitaba esta función a la autoridad de control, podrán ahora realizar esta labor tanto los funcionarios de la Agencia Española de Protección de Datos como funcionarios ajenos a la Agencia habilitados por ésta.
Además, se prevé la actuación conjunta de los Estados miembros cuando se trate de tratamientos de datos trasfronterizos o tratamientos transfronterizos con relevancia local en un único Estado, en cuyo caso habrá que actuar conforme a lo previsto en la normativa de cada Estado y con orientación y presencia de la autoridad de control de dicho Estado.
2º Régimen sancionador:
En este sentido, se incrementa el número de responsables de la vulneración de derechos de los interesados en materia de protección de datos personales, pues mientras en la LOPD se limitaba a los responsables y encargados de tratamiento, se incluyen ahora los representantes de los responsables y encargados de tratamiento (figura que se refiere a la representación en países a donde trascienda el tratamiento de los datos), las entidades de certificación y las entidades acreditadas de supervisión de Códigos de Conducta.
3º Procedimiento a seguir en caso de posibles vulneraciones en materia de protección de datos:
El Reglamento Europeo distingue tres tipos de tratamientos a los que se aplican distintas normas de procedimiento: trasfronterizos, trasfronterizos con relevancia local en un Estado, y tratamientos exclusivamente nacionales.
En los dos primeros casos, esto es, en aquellos casos en que los datos trasciendan nuestras fronteras, la Agencia Española de Protección de Datos habrá de trasladar las propuestas de resolución a las autoridades de control de los Estados implicados, que en un plazo tasado habrán de emitir sus observaciones, debiendo resolver a falta de acuerdo el Comité Europeo de Protección de Datos.
En el resto de los casos, es decir, cuando estemos ante una posible vulneración en un tratamiento a nivel exclusivamente nacional, se establecen en el Real Decreto los pasos a seguir por la autoridad de control, esto es, la AEPD.
Alma Antón