El procedimiento sancionador en materia de Protección de Datos (II).

Publicado: 13/09/2018

Boletín nº 36 - Año 2018


Imagen Titulo

El procedimiento sancionador que regulaba el Art. 48 de la LO 15/1999 ha sido expresamente derogado por el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

En esta segunda parte del Comentario vamos a analizar la fase de Resolución del procedimiento sancionador y haremos una breve referencia a la adopción de medidas provisionales.

Resolución

Como ya señalamos, la nota principal de la nueva regulación es que el mismo procedimiento se aplica a distintos supuestos, y no en exclusiva para la imposición de sanciones.

En consecuencia, conforme al artículo 8 del Real Decreto-ley 5/2018, cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos; o cuando sean de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones..

El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2 del artículo 8 del Real Decreto-ley 5/2018.

Los plazos de tramitación establecidos en el artículo 8 del Real Decreto-ley 5/2018, así como los de admisión a trámite regulado por el apartado 5 del artículo 9 del Real Decreto-ley 5/2018, y de duración de las actuaciones previas de investigación previsto en el artículo 11.2 del Real Decreto-ley 5/2018, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

Recuerde que...

En la regulación anterior, la resolución del procedimiento sancionador en materia de Protección de Datos se regulaba en el Art. 128 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

El plazo para dictar resolución erá el que determinaban las normas aplicables a cada procedimiento sancionador y se computabá desde la fecha en que se dictaba el acuerdo de inicio hasta que se producía la notificación de la resolución sancionadora, o se acreditaba debidamente el intento de notificación.

El vencimiento del citado plazo máximo, sin que se hubiera dictado y notificado resolución expresa, producía la caducidad del procedimiento y el archivo de las actuaciones.

La resolución se notificaba al responsable, con expresión de su derecho a interponer recurso contencioso-administrativo, el plazo de interposición, y el órgano ante el cual debía ser presentado; puesto que, como índicaba el derogado Art. 48 de la LO 15/1999, dicha resolución agotaba la vía administrativa.

Por último, si el procedimiento se había iniciado como consecuencia de la denuncia de un afectado, la resolución debía ser notificada al firmante de la misma.

Por otro lado, y conforme al artículo 14 del Real Decreto-ley 5/2018, esta regulación será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.

Finalmente, debe tenerse en cuenta que, tal y como establece la Disposición transitoria primera del Real Decreto-ley 5/2018, referida al régimen transitorio de los procedimientos, los procedimientos ya iniciados a la entrada en vigor del Real Decreto-ley 5/2018 se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.

Medidas provisionales

El artículo 13 del Real Decreto-ley 5/2018 se refiere a las medidas provisionales.

Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.

En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos de carácter personal, su comunicación o transferencia internacional comporta un menoscabo grave del derecho a la protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por éstos dichos mandatos, proceder a su inmovilización.

Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.

Tenga en cuenta que...

La regulación que establecía el derogado Art. 49 de la LO 15/1999 contemplaba la potestad del Director de la AEPD de inmovilizar ficheros de datos personales.

Así, según este precepto, en los supuestos constitutivos de infracción grave o muy grave en que la persistencia en el tratamiento de los datos de carácter personal o su comunicación o transferencia internacional posterior podía suponer un grave menoscabo de los derechos fundamentales de los afectados y en particular de su derecho a la protección de datos de carácter personal, el órgano sancionador podía, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos.

Si el requerimiento era desatendido, el órgano sancionador podía, mediante resolución motivada, inmovilizar tales ficheros, a los solos efectos de restaurar los derechos de las personas afectadas.

Comparte sólo esta página:

Síguenos