Aspectos destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD

Estos son los aspectos más destacados del nuevo RDL de medidas urgentes para la adaptación del Derecho español al RGPD, publicado hoy en el BOE:

Resumen general

Inspección en materia de protección de datos

Régimen sancionador en materia de protección de datos

Régimen transitorio de los contratos de encargado del tratamiento

Texto completo del RDL

Régimen transitorio de los contratos de encargado del tratamiento

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la LOPD mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos.

En el caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022. 

Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del RGPD. 

Ver otros temas destacados de este RDL

Régimen sancionador en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen sancionador en materia de protección de datos.

Sujetos responsables

Están sujetos al régimen sancionador establecido en el RGPD y la normativa española de protección de datos las siguientes personas físicas o jurídicas: 

  1. Los responsables de los tratamientos.
  2. Los encargados de los tratamientos.
  3. Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
  4. Las entidades de certificación.
  5. Las entidades acreditadas de supervisión de los códigos de conducta. 

No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia. 

Prescripción de las infracciones

  1. Las infracciones con multas de hasta 20 millones prescribirán a los tres años.
  2. Las infracciones con multas de hasta 10 millones prescribirán a los dos años.
  3. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador.
  4. Se reiniciará el plazo de prescripción si el expediente sancionador estuviese paralizado durante más de seis meses por causas no imputables al presunto infractor.

Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado. 

Los detalles del procedimiento se regulan en el el artículo 7 y siguientes del RDL.

Ver otros temas destacados de este RDL

Inspección en materia de protección de datos

El RDL de medidas urgentes para la adaptación del Derecho español del RGPD establece el siguiente régimen en materia de inspección.

Personal competente para el ejercicio de la actividad de investigación de la AEPD

  1. La actividad de investigación se llevará a cabo por los funcionarios de la AEPD.
  2. También podrán llevarla a cabo funcionarios ajenos a la AEPD habilitados expresamente por su Director.
  3. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones.
  4. Estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. 

Alcance de la actividad de investigación de la AEPD

Los funcionarios que desarrollen la actividad de investigación podrán:

  1. Recabar las informaciones precisas para el cumplimiento de sus funciones.
  2. Realizar inspecciones.
  3. Requerir la exhibición o el envío de los documentos y datos necesarios.
  4. Examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos.
  5. Obtener copia de ellos.
  6. Inspeccionar los equipos físicos y lógicos
  7. Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. 

Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. 

Ver otros temas destacados de este RDL

Real Decreto Ley que adapta al RGPD el régimen sancionador en materia de protección de datos

El Consejo de Ministros aprobó ayer un Real Decreto Ley con medidas urgentes para adaptar el Derecho español al Reglamento General de Protección de Datos (RGPD). Esta primera fase del proceso de adaptación se limita a las materias que no requieren ley orgánica, que seguirán su proceso con la tramitación del proyecto de ley de la nueva LOPD en el Congreso de los Diputados.

Entre las medidas contenidas en el Real Decreto Ley, destacan las siguientes:

  1. La inspección de las infracciones del RGPD.
  2. El régimen sancionador en materia de protección de datos.
  3. Los procedimientos aplicables en caso de vulneración del RGPD.
  4. La delimitación de los sujetos a los que les es aplicable el régimen sancionador.
  5. La determinación de los plazos de prescripción de las infracciones y sanciones previstas en el RGPD.

El Real Decreto Ley deroga el artículo 40 de la LOPD, relativo a la potestad de inspección y el Título VII de la LOPD, relativo a las infracciones y las sanciones, a excepción del artículo 46 (Infracciones de las AAPP).

La vigencia del Real Decreto Ley será temporal, ya que entrará en vigor el día siguiente de su publicación en el BOE y permanecerá vigente hasta la entrada en vigor de la nueva LOPD, que se encuentra en tramitación parlamentaria.

VER ASPECTOS DESTACADOS DE ESTE RDL Y TEXTO PUBLICADO EN EL BOE

¿Cuánto ha costado y cuánto va a costar el RGPD?

Estoy intentando calcular el coste del RGPD para las empresas españolas. Pero no me refiero tanto a lo que ha costado el proceso de adaptación, sino a los errores de interpretación.

Por ejemplo, las empresas que han pedido una confirmación del consentimiento a sus clientes y a los suscriptores de sus newsletters, cuando estaban legitimadas para tratar los datos en base al contrato o al consentimiento expreso de la LSSI, y han perdido el 95% de sus bases de datos.

El próximo 21 de junio, a las 9.30, en la Real Academia de Jurisprudencia y Legislación. Calle Marqués de Cubas 13-28014, Madrid, comentaré las conclusiones y hablaré de estos asuntos:

  • Buenas prácticas y errores identificados en los últimos 40 días
  • Cuál será su coste para las empresas españolas
  • Proyecto de la nueva LOPD: principales novedades y retos que supondrá su aplicación

Si quieres asistir, aquí tienes tu invitación:

http://www.aranzadi.es/sites/aranzadi.es/files/creatividad/Marketing/Invitaciones2018/ES-8159_Desayuno_DPO_AENOR_agentes_0.html

Muchas gracias.

Jornada sobre ciberseguridad en ESADE

Jornada “Ciberseguridad: cómo actuar antes, durante y después de un ciberataque”
Viernes, 27 de abril de 2018, de 9:00 a 14:00 horas
Esta jornada está diseñada desde el Master IT+IP de ESADE Law School con el fin de analizar la creciente amenaza de los ciberataques y las contramedidas que las empresas y los organismos públicos pueden aplicar.
La jornada se estructura en una línea de tiempo de tres fases, que comprenden las estrategias a aplicar antes, durante y después del ciberataque.
El objetivo de la jornada es actualizar los conocimientos sobre ciberseguridad con los últimos datos y tendencias, con el fin de conocer las distintas opciones existentes para mejorar la defensa de los sistemas, en un formato orientado al intercambio de conocimientos entre los asistentes.
PROGRAMA

9:00 h Llegada de los asistentes y acreditaciones

9:15 h Bienvenida e inauguración
Xavier Ribas, co-director del Master IT+IP de ESADE Law School

9:30 h Antes del ciberataque: medidas preventivas y formación
Tim Caps, responsable del ProSOC (Lab de alerta temprana) de Proficio
Agustín Corredera, especialista de transformación digital de Microsoft
Antonio Cañada, enterprise account manager de FireEye

10:30 h Debate y turno de preguntas

Moderador: Xavier Ribas

10:45 h Durante el ciberataque: gestión, notificación y mitigación del impacto del ataque
Teniente Coronel Daniel Baena, Guardia Civil
Carlos Valderrama, responsable de respuestas ante ataques de Necsia
Xavier Serrano
, responsable de seguridad tecnológica de Banco Sabadell

11:30 h Debate y turno de preguntas

Moderador: Mario Sol, co-director del Master IT+IP de ESADE Law School

11:45 h  Coffee break

12:15 h Después del ataque – Continuidad del negocio y ciberseguros
Nelia Argaz, líder de Ciberseguridad y Business Resilience de Marsh Risk Consulting
Xavier Morrus, director de Mediacloud
Martí de Riquer, CISO de Médicos sin Fronteras

13:30 h Debate y turno de preguntas

Moderadora: Rebeca Velasco, abogada de Ribas y Asociados y colaboradora académica de ESADE Law School

14:00 h Clausura de la jornada

Viernes, 27 de abril de 2018
De 9:00 a 14:00 horas
ESADEFORUM
Av. Pedralbes, 60-62
Barcelona
Importe:300€

255€ (miembros de ESADE Alumni, de la Asamblea de la Fundación ESADE y del Consejo Profesional de ESADE Law School)

INSCRIPCIÓN

#ESADELaw
Comenta el acto vía Twitter
Para más información:
Neus Casajuana
neus.casajuana@esade.edu
Tel: 93 553 02 26
www.esade.edu

 

Jornada en Barcelona sobre el RGPD y la nueva LOPD

El próximo 8 de marzo participaré en una jornada de Thomson Reuters sobre aspectos concretos del RGPD y la nueva LOPD, de acuerdo con los detalles de la convocatoria que aparece a continuación.

TRRGPDBCN

Formulario de inscripción:

https://www.thomsonreuters.es/es/formulario/evento-dpo-barcelona-marzo.html

Programa completo:

http://app.engage.es-pt.thomsonreuters.com/e/es?s=570777387&e=324674&elqTrackId=737d279007ef425f800bd0eff6dcff07&elq=85674359140244e5be44f385d1caca39&elqaid=21854&elqat=1