Se ha publicado el 30 julio el
Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación
del Derecho español a la normativa de la Unión Europea en materia de protección
de datos. (BOE número183 lunes 30 de julio de 2018) con entrada en vigor al día
siguiente de su publicación, y deroga todo el marco de infracciones y sanciones
de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal, en concreto:
a)
El artículo 40. b) Los artículos 43 al 49, con excepción del artículo 46
(infracciones cometidas por las Administraciones Públicas). A su vez, el artículo 4, del citado Real
Decreto determina que constituyen infracciones las
vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados
4, 5 y 6 de su artículo 83.
Dicho así, se podría incluso
discutir tanto su presupuesto habilitante, como entiendo la vulneración de la
limitación material de este tipo de normas que “no podrán afectar al
ordenamiento de las instituciones básicas del Estado, a los derechos, deberes y
libertades de los ciudadanos regulados en el Título primero11, al régimen de
las Comunidades Autónomas, ni al Derecho electoral general” (artículo 86.1 de
la Constitución).
Con este
Real Decreto Ley se derogan artículos de una Ley Orgánica. Pero dicho esto, lo
que me parece más grave, es que esa incapacidad jurídica de nuestro Parlamento
para legislar tiene una implicación jurídica de bastante calado al no tener medidas
sancionadoras más allá de las económicas y sus enormes cuantías.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de sus datos personales y a la libre circulación de
estos datos, establece un marco punitivo de enorme calado en el artículo 83,
donde se establece el catálogo de sanciones (todas económicas con montos astronómicos)
piénsese que para los supuestos más leves puede suponer diez millones de euros
o el 2% del volumen de negocio (optándose por la mayor), y los supuestos más
graves hasta 20 000
000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al
4 % como máximo del volumen de negocio total anual global del ejercicio
financiero anterior, optándose también por la mayor.
Sin
embargo el apartado nueve del citado artículo estable la posibilidad que el ordenamiento jurídico de un Estado miembro, no
establezca multas administrativas, (...)
de tal modo que la incoación de la multa corresponda a la autoridad de
control competente y su imposición a los tribunales nacionales competentes,
garantizando al mismo tiempo que estas vías de derecho sean efectivas y tengan
un efecto equivalente a las multas administrativas impuestas por las
autoridades de control. En cualquier caso, las multas impuestas serán
efectivas, proporcionadas y disuasorias. Los Estados miembros de que se trate notificarán
a la Comisión las disposiciones legislativas que adopten (...).
Dicho
lo anterior, NO LEGISLAR EN TIEMPO Y PLAZO supone no tener medidas
sancionadoras fuera del ámbito económico y donde se hace necesario tener
medidas de apercibimiento o correctoras.
Esta falta de
legislación supone que algunos casos pudieran verse afectada la viabilidad
futura de la empresa.
Valga
un ejemplo la vulneración del artículo 8 del RGPD (Condiciones aplicables al
consentimiento del niño en relación con los servicios de la sociedad de la información)
supone una infracción de hasta diez millones
de euros o el dos por ciento del volumen de negocio (optándose por la mayor),
pues bien, una simple infracción
subsumible dentro de este precepto podría ser simplemente que se haya omitido
el deber de diligencia y el responsable
del tratamiento no haya realizado esfuerzos razonables para verificar en tales
casos que el consentimiento fue dado o autorizado por el titular de la patria
potestad o tutela sobre el niño.
Un
simple ejemplo que de esta naturaleza hay muchos, por ejemplo, en este caso
pudiera obligarse con una Ley Orgánica nacional a que se tomaran medidas
correctores en relación al estado de la técnica, y como una obligación de
hacer, y no simplemente la medida
sancionadora económica.
El
proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que se
tramita, viene a establecer en el (artículo 76.3), que se 3. Será posible,
complementaria o alternativamente, la adopción, cuando proceda, de las
restantes medidas correctivas a las que se refiere el artículo 83.2 del
Reglamento (UE) 2016/679.
Dentro de este elenco de medidas se
disponen poderes correctivos no económicos (advertencias, apercibimientos, obligaciones
de hacer, etc) .
Pero estar en otras cosas, ajenas a
sus funciones, es lo que tiene, olvidarse de la obligación constitucional del
Parlamento.
@angel_yuste
No hay comentarios:
Publicar un comentario