Real Decreto-ley 5/2018, de 27 de julio, por el cual se regula la adaptación del Derecho español a la normativa del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales (RGPD) y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

Sujetos responsables

• Los responsables y los encargados de los tratamientos.
• Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
• Las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta.
• No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia.

Infracciones

• Las infracciones realizadas por el responsable y el encargado, los organismos de certificación y las autoridades de control se sancionarán, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
• Las infracciones sobre los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, los derechos de los interesados, las transferencias de datos personales a un destinatario en un tercer país o una organización internacional, se sancionan con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Iniciación del procedimiento y duración

• Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación que se refiera a la falta de atención de una solicitud de ejercicio de los derechos.
• El plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite.
• Se podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra que bien no se haya causado perjuicio al afectado o que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

Contratos de encargado del tratamiento

• Los contratos de encargado de los tratamientos suscritos con anterioridad al 25 de mayo de 2018, mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
• Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679.

CONCLUSIONES

Para evitar sanciones por parte de la Agencia Española de Protección de Datos, debemos garantizar que nuestros clientes y proveedores puedan ejercitar sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad de datos. Para ello debemos tener en cuenta que tanto a clientes como proveedores:

• Debemos informar quien es el responsable de los datos y como pueden ejercer sus derechos.
• Responder en plazo, a todas las solicitudes que nos realicen.