El 30 de julio de 2018 fue publicado el Real Decreto-Ley 5/2018 por el cual adapta de forma urgente el Derecho nacional al RGPD (o GDPR según sus siglas en inglés). Esta norma deriva de la imposibilidad de haber aprobado en el plazo de dos años una nueva LOPD que sustituya a la actual, y adapta los aspectos más urgentes que no pueden esperar.
En primer lugar, la reforma se centra en los aspectos sancionadores del RGPD, en concreto, asimila las propias infracciones del RGPD al ordenamiento interno, en vez de crear un catálogo adaptado como en el proyecto de LOPD, derogando las infracciones de la actual LOPD.
Estas infracciones se clasifican únicamente según los artículos a los que hace mención del RGPD. En concreto, el catálogo de infracciones que recoge el artículo 83.4 del RGPD prescribe a los dos años, y las infracciones del artículo 83.5 y 6 a los tres años, eliminando el criterio clásico de “leve, grave, y muy grave” de la actual LOPD y su proyecto de Ley.
A su vez, gradúa la prescripción de las sanciones según la cuantía y no ligándolas al tipo de infracción como la actual LOPD, puesto que el propio límite de las sanciones lo establece el RGPD. Hay que indicar también que este régimen sancionador no aplica al Delegado de Protección de Datos, puesto que está dirigido a las infracciones cometidas por la empresa y no por su responsabilidad personal.
El segundo bloque se centra en establecer un nuevo procedimiento en caso de la vulneración de la normativa sobre protección de datos, en los casos específicos de 1) falta de atención de solicitud de derechos, 2) procedimiento de determinación de infracción, 3) procedimiento de reclamación ante la AEPD, y 4) los criterios para el establecimiento de medidas provisionales.
Otra característica importante de la norma que se ha recogido de manera anticipada a la aprobación de la nueva LOPD es el plazo de vigencia hasta 25 de mayo de 2022 de los contratos de encargado adaptados a la LOPD, además de establecer el derecho a cualquiera de las partes a que la otra parte adecue el contrato al RGPD.
Esta reforma se configura como un parche temporal, puesto que esta norma se mantendrá en vigor hasta que se apruebe una nueva LOPD que adecúe por completo nuestro Derecho nacional al RGPD.
Esta nueva Ley supone la introducción de un nuevo sistema sancionador que rompe los criterios tradicionales de tipificación según la gravedad de la infracción, lo que supone una subjetivación del Derecho sancionador. Tendremos que esperar si la nueva LOPD adopta este sistema, o mantiene el sistema clásico de clasificación según la gravedad.
Juan José Gonzalo Domenech
Legal Department
Áudea Seguridad de la Información