Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Legislación consolidada

Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptacin del Derecho espaol a la normativa de la Unin Europea en materia de proteccin de datos.

[Disposición derogada]

Publicado en: BOE núm. 183, de 30/07/2018.
Entrada en vigor: 31/07/2018
Departamento: Jefatura del Estado
Referencia: BOE-A-2018-10751
Permalink ELI: https://www.boe.es/eli/es/rdl/2018/07/27/5

TEXTO ORIGINAL: Texto original publicado el 30/07/2018


[Bloque 2: #pr]

I

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de sus datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Proteccin de Datos), es plenamente aplicable en Espaa desde el pasado 25 de mayo.

El Reglamento General de Proteccin de Datos supone una profunda modificacin del rgimen vigente en materia de proteccin de datos personales, no slo desde el punto de vista sustantivo y de cumplimiento por los sujetos obligados, sino particularmente en lo que afecta a la actividad de supervisin por parte de las autoridades de control que el mismo regula.

Adems, la plena aplicacin del Reglamento General de Proteccin de Datos implica que hayan de considerarse desplazadas por l aquellas disposiciones de Derecho interno que no resulten conformes con el rgimen que el mismo establece. As sucedera con muchos de los preceptos de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre.

Por otra parte, numerosos preceptos del reglamento europeo se remiten a su desarrollo, obligatorio o potestativo, por los Estados miembros, conteniendo un total de cincuenta y seis remisiones a los ordenamientos nacionales. De entre estas remisiones, el reglamento impone a los Estados miembros, entre otras cuestiones, la regulacin del estatuto de las autoridades de control, la determinacin del rgimen aplicable a los inspectores de un tercer Estado que lleven a cabo actividades conjuntas de investigacin o la designacin de la autoridad que representar al Estado miembro en el Comit Europeo de Proteccin de Datos.

Otras disposiciones del Reglamento General de Proteccin de Datos exigen una adecuacin del Derecho interno, aun cuando no exista una remisin directa y expresa al mismo. As, si bien el reglamento europeo establece un rgimen sancionador en que se tipifican las conductas tpicas, no regula cuestiones tan esenciales como los plazos de prescripcin de dichas infracciones, al considerar que dicha cuestin corresponde al ordenamiento de los Estados Miembros. Del mismo modo, establece un procedimiento de cooperacin entre los Estados miembros en los supuestos de tratamientos denominados transfronterizos, con la participacin de todas las autoridades implicadas, pero no regula el modo en que el Derecho interno de los Estados habr de verse afectado como consecuencia de los trmites previstos en la propia norma europea para estos procedimientos.

La necesidad de adaptar el marco normativo interno al Reglamento General de Proteccin de Datos supuso la aprobacin por el Consejo de Ministros en su sesin de 10 de noviembre de 2017 de un proyecto de ley orgnica, remitido a las Cortes Generales, que actualmente se encuentra en tramitacin parlamentaria.

Teniendo en cuenta lo anterior, y sin perjuicio de que los aspectos que configuran el contenido esencial del derecho fundamental a la proteccin de datos de carcter personal hayan de incorporarse a una ley orgnica, no es menos cierto que en determinadas cuestiones que no son objeto de reserva de ley orgnica resulta imprescindible la adopcin urgente de una norma con rango de ley que permita la adaptacin del Derecho espaol al Reglamento General de Proteccin de Datos. En otras palabras, el objeto de este real decreto-ley se cie a la adecuacin de nuestro ordenamiento al reglamento europeo en aquellos aspectos concretos que, sin rango orgnico, no admiten demora y debe entenderse sin perjuicio de la necesidad de una legislacin orgnica de proteccin de datos que procure la plena adaptacin de la normativa interna a los estndares fijados en la materia por la Unin Europea a travs de una disposicin directamente aplicable.

II

El real decreto-ley comprende catorce artculos estructurados en tres captulos, dos disposiciones adicionales, dos transitorias, una derogatoria y una final. Su contenido afecta nicamente a cuestiones cuya inmediata incorporacin al Derecho interno resulta imprescindible para la adecuada aplicacin en Espaa del Reglamento General de Proteccin de Datos y que no estn excluidas del mbito del legislador de urgencia por el artculo 86 de la Constitucin Espaola.

El Captulo I atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigacin que el Reglamento General de Proteccin de Datos otorga en su artculo 58.1 a las autoridades de control. Ello exige que el Derecho interno regule el modo en que podrn ejercerse dichos poderes, qu personas ejercern la actividad de investigacin e inspeccin y en qu consistirn esas atribuciones expresamente establecidas en el reglamento europeo desde el punto de vista del ordenamiento espaol. Asimismo, y en aplicacin del artculo 62.3 del Reglamento General de Proteccin de Datos, es preciso determinar el rgimen aplicable al personal de las autoridades de supervisin de otros Estados miembros que participen en actuaciones conjuntas de investigacin.

El Captulo II articula el novedoso rgimen sancionador establecido en el Reglamento General de Proteccin de Datos, reemplazando los tipos infractores actualmente contenidos en la Ley Orgnica 15/1999 por la remisin a los que estn establecidos en los apartados 4, 5 y 6 del artculo 83 de dicho reglamento, lo que resulta de todo punto necesario. Adems, existen dos cuestiones sobre las que es ineludible la adopcin de disposiciones por el Derecho interno que garanticen la efectividad de este rgimen sancionador y la seguridad jurdica en su aplicacin. La primera se refiere a la necesaria delimitacin de los sujetos que pudieran incurrir en la responsabilidad derivada de la aplicacin de dicho rgimen sancionador. La segunda reviste an mayor importancia y se refiere a la necesidad de determinar los plazos de prescripcin de las infracciones y sanciones previstas en la norma europea.

El Captulo III contiene la regulacin del procedimiento en caso de que exista una posible vulneracin del Reglamento General de Proteccin de Datos. En este punto, es preciso tener en cuenta que el reglamento distingue en la prctica tres tipos de tratamientos a los que aplicara distintas normas procedimentales: los tratamientos transfronterizos, definidos por el artculo 4.23 del Reglamento general de Proteccin de Datos, los transfronterizos con relevancia local en un Estado miembro, a los que se refiere el artculo 56 del mismo, y aqullos que tendran la condicin de exclusivamente nacionales, entre los que figuran en todo caso los previstos en el artculo 55 de la norma europea. El reglamento europeo prev una serie de trmites especficos para los dos primeros supuestos entre los que se encuentran los necesarios para determinar la competencia de la autoridad de control principal, as como los que permiten la adopcin de una decisin consensuada entre las autoridades principal e interesadas en el procedimiento. En estos casos la regulacin europea establece la obligacin de que la autoridad principal someta los distintos proyectos de decisin a las restantes autoridades, que dispondrn de plazos tasados para la emisin de observaciones pertinentes motivadas, y previndose el sometimiento de la resolucin al Comit Europeo de Proteccin de Datos en caso de no alcanzarse un acuerdo entre todas ellas.

Estas previsiones han de trasladarse a la normas que regulen el procedimiento en caso de plantearse una reclamacin ante la Agencia Espaola de Proteccin de Datos as como en los supuestos en que, sin haber recibido reclamacin, tenga la condicin de autoridad principal respecto de la reclamacin recibida en otro Estado Miembros o considere que ha de intervenir como interesada en un procedimiento ya abierto.

Todo ello impone la necesidad de incorporar al procedimiento fases especficas como la admisin a trmite de las reclamaciones o la posibilidad de archivo provisional del expediente en los supuestos en que la Agencia Espaola de Proteccin de Datos no tramite la reclamacin pero pueda tener que resolver sobre la misma. En particular, es indispensable incluir en las normas de procedimiento su suspensin en los supuestos en que proceda recabar el parecer de las autoridades de otros Estados miembros durante todo el tiempo previsto para su obtencin, dado que en caso contrario existe una muy alta probabilidad de caducidad de los procedimientos, con las consecuencias negativas que ello conlleva no slo para la aplicabilidad en Espaa de las normas de proteccin de datos, sino para la garanta del derecho fundamental de los ciudadanos europeos en su conjunto en aquellos casos en que la Agencia Espaola de Proteccin de Datos tuviera la condicin de autoridad de control principal.

En definitiva, este ltimo captulo tiene como objetivo hacer posible la aplicacin de las especialidades del rgimen procedimental del Reglamento General de Proteccin de Datos, en un contexto en el que, siendo la norma europea directamente aplicable, ya se han puesto en marcha procedimientos de especial trascendencia al amparo de este rgimen.

Por ltimo, en cumplimiento del artculo 68.4 del Reglamento General de Proteccin de Datos, la disposicin adicional primera designa como representante de Espaa en el Comit Europeo a la Agencia Espaola de Proteccin de Datos, que informar a las autoridades autonmicas acerca de las decisiones adoptadas en dicho organismo de la Unin y recabar su parecer cuando se trate de materias de su competencia. Por su parte, la disposicin adicional segunda contiene previsiones en lo relativo a la publicidad de las resoluciones de la Agencia Espaola de Proteccin de Datos, con el fin de garantizar la transparencia de su actuacin, ante el nuevo marco procedimental configurado por el Reglamento General de Proteccin de Datos.

En consecuencia, a la vista de los hechos descritos, la extraordinaria y urgente necesidad de este real decreto-ley resulta plenamente justificada. Dada la plena aplicacin del Reglamento General de Proteccin de Datos desde el 25 de mayo de 2018, hasta la completa adecuacin a l de nuestro ordenamiento, que solamente ser posible a travs de una nueva legislacin orgnica, es ineludible la adopcin de una disposicin con rango de ley que permita la adaptacin del Derecho espaol en varias cuestiones a la normativa de la Unin Europea en materia de proteccin de datos, para garantizar de forma efectiva el derecho del artculo 18.4 de la Constitucin en un marco de seguridad jurdica. En coherencia con ello, la vigencia de este real decreto-ley se limita al perodo que medie entre el da siguiente de su publicacin en el Boletn Oficial del Estado y la entrada en vigor de la nueva ley orgnica que se encuentra en tramitacin parlamentaria.

Adems, este real decreto-ley no afecta al ordenamiento de las instituciones bsicas del Estado, a los derechos, deberes y libertades de los ciudadanos regulados en el Ttulo I de la Constitucin, al rgimen de las Comunidades Autnomas ni al Derecho electoral general.

En definitiva, de todo lo anterior resulta que, en este caso, el real decreto-ley representa un instrumento constitucionalmente lcito, en tanto que pertinente y adecuado para la consecucin del fin que justifica la legislacin de urgencia, que no es otro, tal como reiteradamente ha exigido nuestro Tribunal Constitucional, que subvenir a un situacin concreta, dentro de los objetivos gubernamentales, que por razones difciles de prever requiere una accin normativa inmediata en un plazo ms breve que el requerido por la va normal o por el procedimiento de urgencia para la tramitacin parlamentaria de las Leyes.

Por tanto, en el conjunto y en cada una de las medidas que se adoptan, concurren, por su naturaleza y finalidad, las circunstancias de extraordinaria y urgente necesidad que exige el artculo 86 de la Constitucin Espaola como presupuestos habilitantes para la aprobacin de un real decreto-ley.

En su virtud, en uso de la autorizacin contenida en el artculo 86 de la Constitucin Espaola, a propuesta de la Ministra de Justicia, previa deliberacin del Consejo de Ministros en su reunin del da 27 de julio de 2018,

DISPONGO:


[Bloque 3: #ci]

CAPTULO I

Inspeccin en materia de proteccin de datos


[Bloque 4: #a1]

Artculo 1. mbito y personal competente para el ejercicio de la actividad de investigacin de la Agencia Espaola de Proteccin de Datos.

1. La actividad de investigacin de la Agencia Espaola de Proteccin de Datos se llevar a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director.

2. En los casos de actuaciones conjuntas de investigacin conforme a lo dispuesto en el artculo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados Miembros de Unin Europea que colabore con la Agencia ejercer sus facultades con arreglo a lo previsto en la normativa espaola y bajo la orientacin y en presencia del personal de sta.

3. Los funcionarios que desarrollen actividades de investigacin tendrn la consideracin de agentes de la autoridad en el ejercicio de sus funciones, y estarn obligados a guardar secreto sobre las informaciones que conozcan con ocasin de dicho ejercicio, incluso despus de haber cesado en l.


[Bloque 5: #a2]

Artculo 2. Alcance de la actividad de investigacin.

Quienes desarrollen la actividad de investigacin podrn recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibicin o el envo de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos fsicos y lgicos y requerir la ejecucin de tratamientos y programas o procedimientos de gestin y soporte del tratamiento sujetos a investigacin. Los poderes de investigacin en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorizacin judicial previa. Cuando se trate de rganos judiciales u Oficinas Judiciales el ejercicio de las facultades de inspeccin se efectuar a travs y por mediacin del Consejo General del Poder Judicial.


[Bloque 6: #ci-2]

CAPTULO II

Rgimen sancionador en materia de proteccin de datos


[Bloque 7: #a3]

Artculo 3. Sujetos responsables.

1. Estn sujetos al rgimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa espaola de proteccin de datos:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.

c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unin Europea.

d) Las entidades de certificacin.

e) Las entidades acreditadas de supervisin de los cdigos de conducta.

2. No ser de aplicacin al delegado de proteccin de datos el rgimen sancionador en esta materia.


[Bloque 8: #a4]

Artculo 4. Infracciones.

Constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artculo 83.


[Bloque 9: #a5]

Artculo 5. Prescripcin de las infracciones.

1. Las infracciones previstas en los apartados 5 y 6 del artculo 83 del Reglamento (UE) 2016/679 prescribirn a los tres aos.

2. Las infracciones previstas en el artculo 83.4 Reglamento (UE) 2016/679 prescribirn a los dos aos.

3. Interrumpir la prescripcin la iniciacin, con conocimiento del interesado, del procedimiento sancionador, reinicindose el plazo de prescripcin si el expediente sancionador estuviere paralizado durante ms de seis meses por causas no imputables al presunto infractor.

Cuando la Agencia Espaola de Proteccin de Datos ostente la condicin de autoridad de control principal y deba seguirse el procedimiento previsto en el artculo 60 del Reglamento (UE) 2016/679 interrumpir la prescripcin el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.


[Bloque 10: #a6]

Artculo 6. Prescripcin de las sanciones.

1. Las sanciones impuestas en aplicacin del Reglamento (UE) 2016/679 prescriben en los siguientes plazos:

a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un ao.

b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos aos.

c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres aos.

2. El plazo de prescripcin de las sanciones comenzar a contarse desde el da siguiente a aquel en que sea ejecutable la resolucin por la que se impone la sancin o haya transcurrido el plazo para recurrirla.

3. La prescripcin se interrumpir por la iniciacin, con conocimiento del interesado, del procedimiento de ejecucin, volviendo a transcurrir el plazo si el mismo est paralizado durante ms de seis meses por causa no imputable al infractor.


[Bloque 11: #ci-3]

CAPTULO III

Procedimientos en caso de posible vulneracin de la normativa de proteccin de datos


[Bloque 12: #a7]

Artculo 7. Rgimen jurdico.

1. Las disposiciones de este captulo sern de aplicacin a los procedimientos tramitados por la Agencia Espaola de Proteccin de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, as como en los que aqulla investigue la existencia de una posible infraccin de lo dispuesto en el mencionado reglamento y la normativa espaola de proteccin de datos.

2. Los procedimientos tramitados por la Agencia Espaola de Proteccin de Datos se regirn por lo dispuesto en el Reglamento (UE) 2016/679, en la normativa espaola de proteccin de datos y, en cuanto no las contradigan, con carcter subsidiario, por las normas generales sobre los procedimientos administrativos.


[Bloque 13: #a8]

Artculo 8. Forma de iniciacin del procedimiento y duracin.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atencin de una solicitud de ejercicio de los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, se iniciar por acuerdo de admisin a trmite, que se adoptar conforme a lo establecido en el artculo siguiente.

En este caso el plazo para resolver el procedimiento ser de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisin a trmite. Transcurrido ese plazo, el interesado podr considerar estimada su reclamacin.

2. Cuando el procedimiento tenga por objeto la determinacin de la posible existencia de una infraccin de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa espaola de proteccin de datos, se iniciar mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamacin.

Si el procedimiento se fundase en una reclamacin formulada ante la Agencia Espaola de Proteccin de Datos, con carcter previo, sta decidir sobre su admisin a trmite, conforme a lo dispuesto en el artculo siguiente.

Cuando fuesen de aplicacin las normas establecidas en el artculo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciar mediante la adopcin del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dar conocimiento formal al interesado a los efectos previstos en el artculo 5 de este real decreto-ley.

Admitida a trmite la reclamacin as como en los supuestos en que la Agencia Espaola de Proteccin de Datos acte por propia iniciativa, con carcter previo al acuerdo de inicio, podr existir una fase de actuaciones previas de investigacin, que se regir por lo previsto en el artculo 11 de este real decreto-ley.

El procedimiento tendr una duracin mxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producir su caducidad, y en consecuencia, el archivo de actuaciones.

3. El procedimiento podr tambin tramitarse como consecuencia de la comunicacin a la Agencia Espaola de Proteccin de Datos por parte de la autoridad de control de otro Estado miembro de la Unin Europea de la reclamacin formulada ante la misma, cuando la Agencia Espaola de Proteccin de Datos tuviese la condicin de autoridad de control principal para la tramitacin de un procedimiento conforme a lo dispuesto en los artculos 56 y 60 del Reglamento (UE) 2016/679. Ser en este caso de aplicacin lo dispuesto en el apartado 1 y en los prrafos primero, tercero, cuarto y quinto del apartado 2.

4. Los plazos de tramitacin establecidos en este artculo as como los de admisin a trmite regulado por el apartado 5 del artculo siguiente y de duracin de las actuaciones previas de investigacin previsto en el artculo 11.2 de este real decreto-ley, quedarn automticamente suspendidos cuando deba recabarse informacin, consulta, solicitud de asistencia o pronunciamiento preceptivo de un rgano u organismo de la Unin Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificacin del pronunciamiento a la Agencia Espaola de Proteccin de Datos.


[Bloque 14: #a9]

Artculo 9. Admisin a trmite de las reclamaciones.

1. Cuando se presentase ante la Agencia Espaola de Proteccin de datos una reclamacin, sta deber evaluar su admisibilidad a trmite, de conformidad con las previsiones de este artculo.

2. La Agencia Espaola de Proteccin de Datos inadmitir las reclamaciones presentadas cuando no versen sobre cuestiones de proteccin de datos de carcter personal, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infraccin.

3. Igualmente, la Agencia Espaola de Proteccin de Datos podr inadmitir la reclamacin cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislacin de proteccin de datos y concurra alguna de las siguientes circunstancias:

a) Que no se haya causado perjuicio al afectado.

b) Que el derecho del afectado quede plenamente garantizado mediante la aplicacin de las medidas.

4. Antes de resolver sobre la admisin a trmite de la reclamacin, la Agencia Espaola de Proteccin de Datos podr remitir la misma al delegado de proteccin de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisin establecido para la aplicacin de los cdigos de conducta, a fin de que den respuesta a la reclamacin en el plazo de un mes.

La Agencia Espaola de Proteccin de Datos podr igualmente remitir la reclamacin al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de proteccin de datos ni estuviera adherido a mecanismos de resolucin extrajudicial de conflictos, en cuyo caso el responsable o encargado deber dar respuesta a la reclamacin tambin en el plazo de un mes.

5. La decisin sobre la admisin o inadmisin a trmite, as como la que determine, en su caso, la remisin de la reclamacin a la Autoridad de control principal que se estime competente, deber notificarse al reclamante en el plazo de tres meses. Si, transcurrido este plazo, no se produjera dicha notificacin, se entender que prosigue la tramitacin de la reclamacin con arreglo a lo dispuesto en este captulo a partir de la fecha en que se cumpliesen tres meses desde que la reclamacin tuvo entrada en la Agencia Espaola de Proteccin de Datos.


[Bloque 15: #a1-2]

Artculo 10. Determinacin del alcance territorial.

1. Salvo en los supuestos a los que se refiere el artculo 8.3 de este real decreto-ley, la Agencia Espaola de Proteccin de Datos deber, con carcter previo a la realizacin de cualquier otra actuacin, incluida la admisin a trmite de una reclamacin o el comienzo de actuaciones previas de investigacin, examinar su competencia y determinar el carcter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.

2. Si la Agencia considera que no tiene la condicin de autoridad de control principal para la tramitacin del procedimiento remitir, sin ms trmite, la reclamacin formulada a la Autoridad de control principal que considere competente, a fin de que por la misma se le d el curso oportuno. La Agencia notificar esta circunstancia a quien, en su caso, hubiera formulado la reclamacin.

El acuerdo por el que se resuelva la remisin a la que se refiere el prrafo anterior implicar el archivo provisional del procedimiento, sin perjuicio de que por la Agencia se dicte, en caso de que as proceda, la resolucin a la que se refiere el apartado 8 del artculo 60 del Reglamento (UE) 2016/679.


[Bloque 16: #a1-3]

Artculo 11. Actuaciones previas de investigacin.

1. Antes de la adopcin del acuerdo de inicio de procedimiento, y una vez admitida a trmite la reclamacin si la hubiese, la Agencia Espaola de Proteccin de Datos podr llevar a cabo actuaciones previas de investigacin a fin de lograr una mejor determinacin de los hechos y las circunstancias que justifican la tramitacin del procedimiento.

La Agencia Espaola de Proteccin de Datos actuar en todo caso cuando sea precisa la investigacin de tratamientos que implique un tratamiento masivo de datos personales.

2. Las actuaciones previas de investigacin se sometern a lo dispuesto en el captulo I y no podrn tener una duracin superior a doce meses a contar desde la fecha del acuerdo de admisin a trmite o de la fecha del acuerdo por el que se decida su iniciacin cuando la Agencia acte por propia iniciativa o como consecuencia de la comunicacin que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unin Europea, conforme al artculo 8.3 de este real decreto-ley.


[Bloque 17: #a1-4]

Artculo 12. Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

1. Concluidas, en su caso, las actuaciones a las que se refiere el artculo anterior, corresponder al Director de la Agencia Espaola de Proteccin de Datos, cuando as proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarn los hechos, la identificacin de la persona o entidad contra la que se dirija el procedimiento, la infraccin que hubiera podido cometerse y su posible sancin.

2. Cuando la Agencia Espaola de Proteccin de Datos ostente la condicin de autoridad de control principal y deba seguirse el procedimiento previsto en el artculo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someter a lo dispuesto en el mismo.


[Bloque 18: #a1-5]

Artculo 13. Medidas provisionales

1. Durante la realizacin de las actuaciones previas de investigacin o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Espaola de Proteccin de Datos podr acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la proteccin de datos y, en especial, las previstas en el artculo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligacin inmediata de atender el derecho solicitado.

2. En los casos en que la Agencia Espaola de Proteccin de Datos considere que la continuacin del tratamiento de los datos de carcter personal, su comunicacin o transferencia internacional comportara un menoscabo grave del derecho a la proteccin de datos de carcter personal, podr ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesacin de su tratamiento y, caso de incumplirse por stos dichos mandatos, proceder a su inmovilizacin.

3. Cuando se hubiese presentado ante la Agencia Espaola de Proteccin de Datos una reclamacin que se refiriese, entre otras cuestiones, a la falta de atencin en plazo de los derechos establecidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Espaola de Proteccin de Datos podr acordar en cualquier momento, incluso con anterioridad a la iniciacin del procedimiento para el ejercicio de la potestad sancionadora, mediante resolucin motivada y previa audiencia del responsable del tratamiento, la obligacin de atender el derecho solicitado, prosiguindose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamacin.


[Bloque 19: #a1-6]

Artculo 14. Procedimiento en relacin con las competencias atribuidas a la Agencia Espaola de Proteccin de Datos por otras leyes.

Lo dispuesto en este captulo ser de aplicacin a los procedimientos que la Agencia Espaola de Proteccin de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.


[Bloque 20: #da]

Disposicin adicional primera. Representacin espaola en el Comit Europeo de Proteccin de Datos.

La Agencia Espaola de Proteccin de Datos tendr la condicin de representante comn de las autoridades de proteccin de datos en el Comit Europeo de Proteccin de Datos.

La Agencia Espaola de Proteccin de Datos informar a las autoridades autonmicas de proteccin de datos acerca de las decisiones adoptadas en el Comit Europeo de Proteccin de Datos y recabar su parecer cuando se trate de materias de su competencia.


[Bloque 21: #da-2]

Disposicin adicional segunda. Publicacin de resoluciones de la Agencia Espaola de Proteccin de Datos.

La Agencia Espaola de Proteccin de Datos publicar las resoluciones de su Director que declaren haber lugar o no a la atencin de los derechos reconocidos en los artculos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamacin, las que archiven las actuaciones previas de investigacin, las que sancionen con apercibimiento a las entidades a que se refiere el artculo 46 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, las que impongan medidas cautelares y las dems que disponga su Estatuto.


[Bloque 22: #dt]

Disposicin transitoria primera. Rgimen transitorio de los procedimientos.

1. Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirn por la normativa anterior, salvo que el rgimen establecido en el mismo contenga disposiciones ms favorables para el interesado.

2. Lo dispuesto en el apartado anterior ser asimismo de aplicacin a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Seccin 2. del Captulo III del Ttulo IX del Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.


[Bloque 23: #dt-2]

Disposicin transitoria segunda. Contratos de encargado del tratamiento.

Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artculo 12 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal mantendrn su vigencia hasta la fecha de vencimiento sealada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.

Durante dichos plazos cualquiera de las partes podr exigir a la otra la modificacin del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artculo 28 del Reglamento (UE) 2016/679.


[Bloque 24: #dd]

Disposicin derogatoria nica. Derogacin normativa.

Quedan derogadas todas las normas de igual o inferior rango que se opongan a lo establecido en el presente real decreto-ley, y en particular, los siguientes artculos de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal:

a) El artculo 40.

b) Los artculos 43 al 49, con excepcin del artculo 46.


[Bloque 25: #df]

Disposicin final nica. Vigencia.

El presente real decreto-ley entrar en vigor al da siguiente de su publicacin en el Boletn Oficial del Estado y lo estar hasta la vigencia de la nueva legislacin orgnica de proteccin de datos que tenga por objeto adaptar el ordenamiento jurdico espaol al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de sus datos personales y a la libre circulacin de estos datos, y completar sus disposiciones.


[Bloque 26: #fi]

Dado en Madrid, el 27 de julio de 2018.

FELIPE R.

El Presidente del Gobierno,

PEDRO SNCHEZ PREZ-CASTEJN

Este documento es de carácter informativo y no tiene valor jurídico.

Dudas o sugerencias: Servicio de atención al ciudadano

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid