POLÍTICA DE PRIVACIDAD


Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos

I

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), es plenamente aplicable en España desde el pasado 25 de mayo.

El Reglamento General de Protección de Datos supone una profunda modificación del régimen vigente en materia de protección de datos personales, no sólo desde el punto de vista sustantivo y de cumplimiento por los sujetos obligados, sino particularmente en lo que afecta a la actividad de supervisión por parte de las autoridades de control que el mismo regula.

Además, la plena aplicación del Reglamento General de Protección de Datos implica que hayan de considerarse desplazadas por él aquellas disposiciones de Derecho interno que no resulten conformes con el régimen que el mismo establece. Así sucedería con muchos de los preceptos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre.

Por otra parte, numerosos preceptos del reglamento europeo se remiten a su desarrollo, obligatorio o potestativo, por los Estados miembros, conteniendo un total de cincuenta y seis remisiones a los ordenamientos nacionales. De entre estas remisiones, el reglamento impone a los Estados miembros, entre otras cuestiones, la regulación del estatuto de las autoridades de control, la determinación del régimen aplicable a los inspectores de un tercer Estado que lleven a cabo actividades conjuntas de investigación o la designación de la autoridad que representará al Estado miembro en el Comité Europeo de Protección de Datos.

Otras disposiciones del Reglamento General de Protección de Datos exigen una adecuación del Derecho interno, aun cuando no exista una remisión directa y expresa al mismo. Así, si bien el reglamento europeo establece un régimen sancionador en que se tipifican las conductas típicas, no regula cuestiones tan esenciales como los plazos de prescripción de dichas infracciones, al considerar que dicha cuestión corresponde al ordenamiento de los Estados Miembros. Del mismo modo, establece un procedimiento de cooperación entre los Estados miembros en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas, pero no regula el modo en que el Derecho interno de los Estados habrá de verse afectado como consecuencia de los trámites previstos en la propia norma europea para estos procedimientos.

La necesidad de adaptar el marco normativo interno al Reglamento General de Protección de Datos supuso la aprobación por el Consejo de Ministros en su sesión de 10 de noviembre de 2017 de un proyecto de ley orgánica, remitido a las Cortes Generales, que actualmente se encuentra en tramitación parlamentaria.

Teniendo en cuenta lo anterior, y sin perjuicio de que los aspectos que configuran el contenido esencial del derecho fundamental a la protección de datos de carácter personal hayan de incorporarse a una ley orgánica, no es menos cierto que en determinadas cuestiones que no son objeto de reserva de ley orgánica resulta imprescindible la adopción urgente de una norma con rango de ley que permita la adaptación del Derecho español al Reglamento General de Protección de Datos. En otras palabras, el objeto de este real decreto-ley se ciñe a la adecuación de nuestro ordenamiento al reglamento europeo en aquellos aspectos concretos que, sin rango orgánico, no admiten demora y debe entenderse sin perjuicio de la necesidad de una legislación orgánica de protección de datos que procure la plena adaptación de la normativa interna a los estándares fijados en la materia por la Unión Europea a través de una disposición directamente aplicable.

II

El real decreto-ley comprende catorce artículos estructurados en tres capítulos, dos disposiciones adicionales, dos transitorias, una derogatoria y una final. Su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos y que no están excluidas del ámbito del legislador de urgencia por el artículo 86 de la Constitución Española.

El Capítulo I atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigación que el Reglamento General de Protección de Datos otorga en su artículo 58.1 a las autoridades de control. Ello exige que el Derecho interno regule el modo en que podrán ejercerse dichos poderes, qué personas ejercerán la actividad de investigación e inspección y en qué consistirán esas atribuciones expresamente establecidas en el reglamento europeo desde el punto de vista del ordenamiento español. Asimismo, y en aplicación del artículo 62.3 del Reglamento General de Protección de Datos, es preciso determinar el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros que participen en actuaciones conjuntas de investigación.

El Capítulo II articula el novedoso régimen sancionador establecido en el Reglamento General de Protección de Datos, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica 15/1999 por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 de dicho reglamento, lo que resulta de todo punto necesario. Además, existen dos cuestiones sobre las que es ineludible la adopción de disposiciones por el Derecho interno que garanticen la efectividad de este régimen sancionador y la seguridad jurídica en su aplicación. La primera se refiere a la necesaria delimitación de los sujetos que pudieran incurrir en la responsabilidad derivada de la aplicación de dicho régimen sancionador. La segunda reviste aún mayor importancia y se refiere a la necesidad de determinar los plazos de prescripción de las infracciones y sanciones previstas en la norma europea.

El Capítulo III contiene la regulación del procedimiento en caso de que exista una posible vulneración del Reglamento General de Protección de Datos. En este punto, es preciso tener en cuenta que el reglamento distingue en la práctica tres tipos de tratamientos a los que aplicaría distintas normas procedimentales: los tratamientos transfronterizos, definidos por el artículo 4.23 del Reglamento general de Protección de Datos, los transfronterizos con relevancia local en un Estado miembro, a los que se refiere el artículo 56 del mismo, y aquéllos que tendrían la condición de exclusivamente nacionales, entre los que figuran en todo caso los previstos en el artículo 55 de la norma europea. El reglamento europeo prevé una serie de trámites específicos para los dos primeros supuestos entre los que se encuentran los necesarios para determinar la competencia de la autoridad de control principal, así como los que permiten la adopción de una decisión consensuada entre las autoridades principal e interesadas en el procedimiento. En estos casos la regulación europea establece la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades, que dispondrán de plazos tasados para la emisión de «observaciones pertinentes motivadas», y previéndose el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.

Estas previsiones han de trasladarse a la normas que regulen el procedimiento en caso de plantearse una reclamación ante la Agencia Española de Protección de Datos así como en los supuestos en que, sin haber recibido reclamación, tenga la condición de autoridad principal respecto de la reclamación recibida en otro Estado Miembros o considere que ha de intervenir como interesada en un procedimiento ya abierto.

Todo ello impone la necesidad de incorporar al procedimiento fases específicas como la admisión a trámite de las reclamaciones o la posibilidad de archivo provisional del expediente en los supuestos en que la Agencia Española de Protección de Datos no tramite la reclamación pero pueda tener que resolver sobre la misma. En particular, es indispensable incluir en las normas de procedimiento su suspensión en los supuestos en que proceda recabar el parecer de las autoridades de otros Estados miembros durante todo el tiempo previsto para su obtención, dado que en caso contrario existe una muy alta probabilidad de caducidad de los procedimientos, con las consecuencias negativas que ello conlleva no sólo para la aplicabilidad en España de las normas de protección de datos, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto en aquellos casos en que la Agencia Española de Protección de Datos tuviera la condición de autoridad de control principal.

En definitiva, este último capítulo tiene como objetivo hacer posible la aplicación de las especialidades del régimen procedimental del Reglamento General de Protección de Datos, en un contexto en el que, siendo la norma europea directamente aplicable, ya se han puesto en marcha procedimientos de especial trascendencia al amparo de este régimen.

Por último, en cumplimiento del artículo 68.4 del Reglamento General de Protección de Datos, la disposición adicional primera designa como representante de España en el Comité Europeo a la Agencia Española de Protección de Datos, que informará a las autoridades autonómicas acerca de las decisiones adoptadas en dicho organismo de la Unión y recabará su parecer cuando se trate de materias de su competencia. Por su parte, la disposición adicional segunda contiene previsiones en lo relativo a la publicidad de las resoluciones de la Agencia Española de Protección de Datos, con el fin de garantizar la transparencia de su actuación, ante el nuevo marco procedimental configurado por el Reglamento General de Protección de Datos.

En consecuencia, a la vista de los hechos descritos, la extraordinaria y urgente necesidad de este real decreto-ley resulta plenamente justificada. Dada la plena aplicación del Reglamento General de Protección de Datos desde el 25 de mayo de 2018, hasta la completa adecuación a él de nuestro ordenamiento, que solamente será posible a través de una nueva legislación orgánica, es ineludible la adopción de una disposición con rango de ley que permita la adaptación del Derecho español en varias cuestiones a la normativa de la Unión Europea en materia de protección de datos, para garantizar de forma efectiva el derecho del artículo 18.4 de la Constitución en un marco de seguridad jurídica. En coherencia con ello, la vigencia de este real decreto-ley se limita al período que medie entre el día siguiente de su publicación en el Boletín Oficial del Estado y la entrada en vigor de la nueva ley orgánica que se encuentra en tramitación parlamentaria.

Además, este real decreto-ley no afecta al ordenamiento de las instituciones básicas del Estado, a los derechos, deberes y libertades de los ciudadanos regulados en el Título I de la Constitución, al régimen de las Comunidades Autónomas ni al Derecho electoral general.

En definitiva, de todo lo anterior resulta que, en este caso, el real decreto-ley representa un instrumento constitucionalmente lícito, en tanto que pertinente y adecuado para la consecución del fin que justifica la legislación de urgencia, que no es otro, tal como reiteradamente ha exigido nuestro Tribunal Constitucional, que subvenir a un situación concreta, dentro de los objetivos gubernamentales, que por razones difíciles de prever requiere una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las Leyes.

Por tanto, en el conjunto y en cada una de las medidas que se adoptan, concurren, por su naturaleza y finalidad, las circunstancias de extraordinaria y urgente necesidad que exige el artículo 86 de la Constitución Española como presupuestos habilitantes para la aprobación de un real decreto-ley.

En su virtud, en uso de la autorización contenida en el artículo 86 de la Constitución Española, a propuesta de la Ministra de Justicia, previa deliberación del Consejo de Ministros en su reunión del día 27 de julio de 2018


Normas generales

1. El controlador de datos personales, en conformidad con la RGPD (en lo sucesivo llamado “Reglamento”) es […..], número de identificación [….], situada en [….] (en lo sucesivo denominado “Controlador");

2. Los detalles de contacto del Controlador son: e-mail: [……], telf.: [………];

3. Los datos personales se refieres a cualquier información que se relacione con una persona física identificada o identificable.

La fuente de los datos personales

1. El controlador procesa los datos personales obtenidos con el consentimiento del Cliente y son recopilados

Propósito del procesamiento de datos

El controlador procesa los datos personales del Cliente para los siguientes propósitos:

1. Registro en el sitio web [….] de acuerdo con el Capítulo 4, Sección 2 del RGPD;

2. Para observar la ley y las regulaciones que surgen de la relación contractual entre el Cliente y el Controlador

Duración del almacenamiento de datos personales

1. El controlador almacena los datos personales durante el período necesario para el cumplimiento de los derechos y obligaciones derivados de la relación contractual entre el controlador y el cliente y durante los 3 años siguientes a la conclusión de la relación contractual;

2. El controlador debe eliminar todos los datos personales después de la expiración del período estipulado para el almacenamiento de datos personales.

Derechos del cliente

En conformidad con el Reglamento, el Cliente tiene derecho a:

1. el derecho de acceso a los datos personales;

2. el derecho a la rectificación de datos personales;

3. el derecho a borrar datos personales;

4. el derecho a oponerse al procesamiento de datos personales;

5. el derecho a la portabilidad de datos;

6. el derecho a retirar el consentimiento para el procesamiento de datos personales por escrito o por correo electrónico enviado a: [….];

7. el derecho a presentar una queja ante la autoridad supervisora en caso de sospecha de incumplimiento del Reglamento.

Seguridad de datos personales

1. El controlador declara tomar todas las precauciones técnicas y organizativas necesarias para la protección de los datos personales;

2. El controlador ha tomado precauciones técnicas para proteger los espacios donde se almacena los datos, en particular, para asegurar el acceso a la computadora con una contraseña, el uso de un software antivirus y el mantenimiento regular de los ordenadores.

Disposiciones finales

1. Al realizar un pedido electrónico en el sitio web [….] El cliente confirma estar informado sobre todas las condiciones de protección de datos personales y los acepta en toda su totalidad;

2. El cliente acepta estas reglas marcando la casilla de verificación en el formulario de compra del pedido;

3. El controlador puede actualizar estas Reglas en cualquier momento. La nueva versión actualizada deberá ser publicada en su sitio web.

Estas Reglas entrarán en vigencia en [fecha]