La tardanza en la tramitación parlamentaria de la nueva Ley Orgánica de Protección de Datos (LOPD), actualmente en fase de proyecto de ley, ha obligado al Consejo de Ministros a aprobar, con fecha 27 de julio de 2018, el Real Decreto-ley 5/2018 de medidas urgentes en materia de protección de datos para adaptar el Derecho español al Reglamento (UE) 679/2016 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de los mismos (RGPD), de directa aplicación en España desde el pasado día 25 de mayo y con tácita derogación de las disposiciones normativas internas contrarias a lo en él establecido.
Las medidas contempladas en el recién aprobado Real Decreto-ley, que entran en vigor a partir del día siguiente de su publicación en el Boletín Oficial del Estado, que se produjo con fecha 30 de julio de 2018 y que tendrán una vigencia temporal hasta la aprobación de la nueva LOPD, a cuyo texto se incorporarán, vienen a hacer efectiva a nivel interno y a completar, en el ejercicio de las facultades atribuidas de adecuación y desarrollo, la regulación legal existente en el RGPD respecto del régimen inspector y sancionador por las autoridades de control, los plazos de prescripción de las infracciones y el procedimiento a seguir en los casos en que exista una posible vulneración de la normativa contemplada en el mencionado Reglamento.
Y así, en su Capítulo I se identifica al personal competente para el ejercicio de los poderes de investigación que el RGPD otorga a las autoridades de control (artículo 58.1), señalando que los agentes de la Agencia Española de Protección de Datos (AEPD) podrán ser internos o externos, pero en todo caso habrán de ser funcionarios y tendrán la consideración de autoridad pública.
Se regula igualmente la delimitación de los sujetos responsables de los tratamientos a los que les es aplicable el régimen sancionador. En síntesis, a los encargados de los tratamientos, a los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, a las entidades de certificación y a las entidades acreditadas de supervisión de los códigos de conducta. Por el contrario, se excluye de forma expresa del régimen sancionador al delegado de protección de datos.
Se regula igualmente la delimitación de los sujetos responsables de los tratamientos a los que les es aplicable el régimen sancionador, excluyendo de forma expresa del régimen sancionador al delegado de protección de datos.
En cuanto a las infracciones, su Capítulo II prevé un plazo de prescripción de 3 años para las contempladas como de mayor gravedad en los apartados 5 y 6 del artículo 83 del RGPD y de 2 años para la previstas como menos graves en el apartado 4 del referido artículo. En cuanto a las sanciones, prescribirán al año, las de cuantía igual o inferior a 40.000 euros; a los dos años, las que oscilen entre los 40.001 y los 300.000 euros; y a los tres años las de importe superior a los 300.000 euros
El Capítulo III contiene la regulación del procedimiento en caso de que exista una posible vulneración del RGPD, distinguiendo entre aquellos procedimientos tramitados por la AEPD en los supuestos en que un afectado reclame que no ha sido atendida su solicitud de ejercicio de derechos reconocidos en los artículos 15 a 22 del RGPD y aquellos otros en los que la Agencia investigue la posible existencia de una infracción de lo dispuesto en el mencionado Reglamento y en la normativa española de protección de datos.
Finalmente destacar que el nuevo Real Decreto-ley deroga el artículo 40 y el Título VII de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal sobre infracciones y sanciones a excepción de su artículo 46 relativo a las infracciones de las Administraciones Públicas.