Novedades Jurídicas

Novedades Jurídicas

-Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

Objetivo

Posibilitar la aplicación de las especialidades del régimen procedimental del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos (RGDP), en particular en materia de inspección y sanción (aspectos que no están reservados a la Ley Orgánica, que la actualidad permanece en tramitación en fase de Proyecto de Ley).

Vigecia

El Real Decreto-ley 5/2018 es aplicable desde su publicación en el el BOE (31/07/18) hasta la entrada en vigor de la nueva Ley Orgánica de Protección de Datos.

Derogación Normativa

Deroga los artículos 40, 43, 44, 45, 47, 48 y 49 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Continúa en vigor el artículo 46 de dicha Ley Orgánica, para las infracciones de las Administraciones Públicas.

Sujetos responsables

Son los responsables de los tratamientos, encargados, representantes de los responsables o encargados no establecidos en la Unión Europea, entidades de certificación y entidades acreditadas de supervisión de los códigos de conducta.

Delegado de Protección de Datos (DPO/DPD)

Se excluye expresamente al delegado de protección de datos del régimen sancionador.

Plazos de prescripción

De las infracciones:

3 años para las infracciones del artículo 83 apartados 5 y 6 del RGDP.

2 años para las infracciones del artículo 83.4 del RGDP.

De las sanciones:

Sanciones por importe igual o inferior a 40.000 euros: 1 año.

Sanciones de importe comprendido entre 40.001 y 300.000 euros: 2 años.

Sanciones de importe superior a 300.000 euros: 3 años.

Procedimientos

- Reclamaciones de afectados ante la Agencia Española de Protección de Datos (AEPD) por no ser atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del RGDP (Derechos de los interesados): el plazo para resolver será de 6 meses desde la fecha de notificación al afectado de la admisión de la reclamación. Transcurrido el plazo se entenderá estimada la reclamación.

- Procedimientos de posibles infracciones del RGDP y de la normativa española de protección de datos. Antes del acuerdo de inicio del procedimiento podrá existir una fase de actuaciones de investigación previas con una duración máxima de 12 meses desde la admisión a trámite. El plazo máximo para resolver será de 9 meses a contar desde la fecha del acuerdo de inicio del procedimiento. Transcurrido dicho plazo se producirá su caducidad y el archivo de las actuaciones.

Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento, la AEPD podrá adoptar las medidas provisionales previstas en el artículo 66.1 del RGPD, el bloqueo cautelar y la cesación del tratamiento de los datos y la obligación inmediata de atender el derecho solicitado.

Régimen transitorio

Los procedimientos ya iniciados y los procedimientos respecto a los cuales ya se hubieren iniciado actuaciones previas conforme a la Ley Orgánica 15/1999 a la entrada en vigor del RD-Ley se regirán por la normativa anterior.

Contratos de encargado del tratamiento

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018, al amparo de la Ley Orgánica 15/1999 podrán mantener su vigencia hasta la fecha de vencimiento pactada y, en todo caso, hasta el  25 de mayo de 2022. No obstante, durante dichos plazos cualquiera de las partes podrá requerir a la otra la modificación del contrato conforme al artículo 28 del RGPD.

- Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información

Este Real Decreto-ley transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del
Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar
un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (conocida como
Directiva NIS).

Aplicación

El Real Decreto-ley se aplicará a las entidades que presten servicios esenciales para la comunidad y
dependan de las redes y sistemas de información para el desarrollo de su actividad. Su ámbito de
aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este
real decreto-ley un enfoque global, aunque se preserva su legislación específica. Adicionalmente, en el
caso de las actividades de explotación de las redes y de prestación de servicios de comunicaciones
electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, expresamente
excluidos de dicha Directiva, el real decreto-ley se aplicará únicamente en lo que respecta a los
operadores críticos. Asimismo, es de aplicación a los proveedores de determinados servicios digitales.
El Real Decreto-ley se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los
sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen
medidas para la protección de las infraestructuras críticas.
b) Los servicios digitales, considerados conforme se determina en el artículo 3 e) 1 , que sean mercados en
1 Art. 3.e) Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a)
del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

línea, motores de búsqueda en línea y servicios de computación en nube.
Estarán sometidos al Real Decreto-ley:
a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de
servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en
territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la
gestión administrativa y la dirección de sus negocios o actividades.
Así mismo, este real decreto-ley será de aplicación a los servicios esenciales que los operadores
residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en
España.
b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su
establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión
Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE)
2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas
destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en
la Unión
El Real Decreto-ley consta de siete títulos que contienen, en primer lugar, las definiciones de los
términos que se usan a lo largo del texto, la salvaguarda de funciones estatales esenciales, como la
seguridad nacional y otras disposiciones generales.
El título II determina la forma y criterios de identificación de los servicios esenciales y de los operadores
que los presten a los que se aplicará el Real Decreto-ley.
El título III recoge el marco estratégico e institucional de la seguridad de las redes y sistemas de
información que se ha descrito anteriormente. Se dedica un precepto específico a la cooperación entre
autoridades públicas, como pilar de un ejercicio adecuado de las diferentes competencias concurrentes
sobre la materia.
El título IV se ocupa de las obligaciones de seguridad de los operadores, y en él se prevé la aplicación
preferente de normas sectoriales que impongan obligaciones equivalentes a las previstas en este real
decreto-ley, sin perjuicio de la coordinación ejercida por el Consejo de Seguridad Nacional y del deber de
cooperación con las autoridades competentes en virtud del Real Decreto-ley.
En el título V regula la notificación de incidentes y se presta atención a los incidentes con impacto
transfronterizo y a la información y coordinación con otros Estados de la Unión Europea para su gestión.
El Real Decreto-ley requiere a los operadores de servicios esenciales y los proveedores de servicios
digitales que notifiquen los incidentes significativos que sufran en las redes y servicios de información
que emplean para la prestación de los servicios esenciales y digitales. La norma protege a la entidad
notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de
su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de
incidentes cuando no sea obligada su comunicación.
En el título VI, se disponen las potestades de inspección y control de las autoridades competentes y la
cooperación con las autoridades nacionales de otros Estados miembros
El título VII tipifica las infracciones y sanciones del Real Decreto-ley. En este aspecto, la norma se
decanta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario
dispensarlo, será efectivo, proporcionado y disuasorio, en línea con lo ordenado por la Directiva (UE)
2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
El Real Decreto-ley se cierra con una parte final que incluye las disposiciones adicionales y finales
necesarias para completar la regulación.

eticom.com download