Sancions i inspeccions en matèria de protecció de dades
Comparteix
Des del 31 de juliol de 2018 és de plena aplicació un nou Reial decret-llei que posa en funcionament el nou règim d’inspecció i sancions que regula el Reglament europeu de protecció de dades, aplicable des del 25 de maig de 2018.
La definitiva aplicació del Reglament europeu 2016/679 sobre protecció de dades (RGPD), des del dia 25 de maig del 2018 ha suposat la introducció de moltes novetats en el funcionament de les entitats sense ànim de lucre envers aquesta matèria. Entre aquestes novetats trobem un nou sistema d’inspecció i de règim sancionador, amb l’objectiu de controlar la implementació d’aquesta nova normativa sobre protecció de dades en les organitzacions.
Tenint en compte que la regulació jurídica ha de fer-se per una determinada tipologia de llei, en aquest cas, per llei orgànica (LO), el contingut essencial del Reial decret-llei que és objecte d’aquest recurs fa referència a matèries que queden fora de la regulació de LO: règim d’inspecció, (ii) règim sancionador i (iii) procediments per possibles supòsits de vulneració de la normativa de protecció de dades, fent esment també als terminis de prescripció.
D’aquesta manera, també es dona compliment a un dels elements establerts pel RGPD, que considera que ha de ser cada país membre qui determini en el seu ordenament intern aquestes qüestions per garantir la seguretat jurídica i protegir de manera efectiva els drets de la ciutadania.
A continuació es detallen les principals novetats a tenir en compte pel que fa a aquesta nova normativa:
Règim sancionador
Les persones que d’acord amb el nou règim sancionador poden ser sancionades són entre d’altres, les que tinguin la condició de responsables dels tractaments de dades, les encarregades dels tractaments, les entitats de certificació i les entitats acreditades de supervisió dels codis de conducta.
Respecte a quines són les conductes que es consideraran susceptibles de ser sancionades, el Reial decret-llei es limita a fer referència al que ja estableix el RGPD, i quina conseqüència jurídica és el pagament de multes. Alguns exemples de l’anterior són: multes amb un màxim de 10.000 euros per a conductes considerades menys greus i multes de fins a 20.000 euros per a conductes considerades molt greus.
Procediments establerts en cas d’incompliment
El RDL fixa, entre d’altres aspectes, la durada màxima que podran tenir aquests procediments, màxim sis o nou mesos en funció de si la infracció consisteix en la no atenció d’una sol·licitud d’exercici de drets en matèria de protecció de dades o quan, en altre tipus d’infraccions de la normativa de protecció de dades. També regula les activitats prèvies d’investigació que haurà de dur-les a terme l’Agència Espanyola de Protecció de Dades (AEPD) abans d’iniciar aquests procediments sancionadors.
El procediment, un cop iniciat, com qualsevol altre procediment administratiu sancionador donarà audiència a la persona investigada perquè pugui efectuar les al·legacions que consideri oportunes per la seva defensa.
Tanmateix, es preveu que aquests procediments es puguin iniciar a partir d’una reclamació presentada a l’AEPD per qualsevol persona interessada sempre i quan aquesta tracti realment sobre un possible incompliment en matèria de protecció de dades per part d’una entitat o persona responsable de tractament.
Procediments d’inspecció
El RDL estableix que l'activitat d’inspecció de l’AEPD es durà a terme per part dels funcionaris i funcionàries propis d’aquest organisme o aliens i habilitats expressament a fi de que realitzin inspeccions.
Els inspectors i inspectores tindran la consideració d'agents de l'autoritat en l'exercici de les seves funcions i estaran obligats/des a guardar secret sobre les informacions que coneguin amb ocasió de l’esmentat exercici, inclús després d’haver finalitzat la inspecció.
Els/les inspectors/es, en la seva activitat de recerca podran:
- Demanar la informació necessària per al compliment de les seves funcions.
- Realitzar inspeccions.
- Requerir l'exhibició o l'enviament de documents o dades necessàries.
- Examinar-los, obtenir còpia i inspeccionar els equips tant físics com logístics (documentació impresa, ordinadors,...).
- Requerir l'execució de tractaments i programes o procediments de gestió i suport del tractament subjectes a investigació.
En el cas que la inspecció es realitzés dins el domicili social de les entitats sense ànim de lucre (oficines, local de reunions, indret on es troba la documentació d’aquestes, etc.), l’entrada només es podrà exercir de conformitat amb les normes processals, i en concret, un cop obtinguda l’autorització prèvia d’un jutge.