Cargando. Por favor, espere

Portada

El Boletín Oficial del Estado del 9 de mayo ha publicado una modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) (LA LEY 19303/2018).

En concreto, la disposición final novena de la Ley 11/2023, de 8 de mayo (LA LEY 5860/2023), de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo (LA LEY 11039/2011), sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, procede a la modificación de los artículos 48.2; 50; 53 bis (nuevo); 64; 65, apartados 4 y 5, nuevo apartado 6; 66.1; 67.2; 75, párrafo segundo; 77.2 y disposición adicional vigésima tercera (nueva), todos ellos de rango ordinario, de la Ley Orgánica 3/2018 (LA LEY 19303/2018), con motivo de la corrección de errores del Reglamento Europeo sobre Protección de Datos publicada en el «Diario Oficial de la Unión Europea» del día 4 de marzo de 2021.

Según su Disposición final decimoctava (Entrada en vigor), esta modificación entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Principales novedades

Como consecuencia de esta reforma, se elimina el apercibimiento del catálogo de sanciones a imponer a responsables y encargados, sustituyéndolo por la realización de un requerimiento. Se considera que la creación del procedimiento de apercibimiento como un procedimiento específico, más flexible y rápido, con una duración máxima de seis meses, va a permitir agilizar la respuesta a las reclamaciones presentadas por los ciudadanos.

La reforma introduce, además, un nuevo artículo que habilita y regula la ampliación del plazo de realización de actuaciones de investigación a través de sistemas digitales, y se aumenta de nueve a doce meses la duración máxima del procedimiento sancionador, y de doce a dieciocho meses la de las actuaciones previas de investigación.

Estos plazos de tramitación, así como los de admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones previas de investigación, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el RGPD, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

Igualmente, el transcurso de los plazos de tramitación a los que se refiere el apartado anterior se podrá suspender, mediante resolución motivada, cuando resulte indispensable recabar información de un órgano jurisdiccional

Se introduce que las actuaciones de investigación podrán realizarse a través de sistemas digitales que, como la videoconferencia u otro sistema similar, permitan la comunicación bidireccional y simultánea de imagen y sonido, la interacción visual, auditiva y verbal entre la Agencia Española de Protección de Datos y el inspeccionado.

Se establece la posibilidad de que la Agencia establezca modelos obligatorios de presentación de reclamaciones ante la Agencia en todos los ámbitos en los que tenga competencia, independientemente de que los interesados estén obligados o no a relacionarse electrónicamente con las Administraciones Públicas. Estos modelos serán publicados en el BOE y en la Sede electrónica de la AEPD, serán de obligado cumplimiento al mes de su publicación y facilitarán y simplificarán la presentación de reclamaciones.

Por otro lado, se regula la sustitución de la persona titular de la Presidencia de la Agencia Española de Protección de Datos en los supuestos de ausencia, vacancia o enfermedad, así como en los de abstención o recusación, respecto de sus funciones relacionadas con los procedimientos regulados por el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), ya que el Consejo de Estado, en su dictamen 683/2020, relativo al proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos considera que, en su redacción actual, el ejercicio de esas funciones está reservado por ley a la Presidencia y no cabe, por tanto, su delegación ni la suplencia en su ejercicio, lo que afectaría negativamente al ejercicio de las competencias de la Agencia y a su independencia, ya que en el supuesto de que dichas circunstancias se produjeran, se impediría su actuación en los casos de posible vulneración de la normativa de protección de datos. Para ello, se modifica el apartado 2 del artículo 48, que tiene asimismo el carácter de ley ordinaria, para que esas competencias puedan ser asumidas por la persona titular del órgano directivo que desarrolle las funciones de inspección, dada su especialización en la materia y regulando de una manera completa el régimen de sustitución en el ejercicio de las distintas competencias que se atribuyen a la persona titular de la Presidencia.

Finalmente, se introduce una previsión en cuanto a la notificación de la admisión a trámite en aquellos procedimientos con un elevado número de reclamaciones, y el establecimiento de modelos obligatorios de reclamación ante la Agencia Española de Protección de Datos.

Detalle de las modificaciones introducidas

1. Art. 48. La presidencia de la Agencia Española de Protección de Datos

Se modifica su apartado 2 del artículo 48, para establecer que en los supuestos de ausencia, vacante o enfermedad de la persona titular de la Presidencia o cuando concurran en ella alguno de los motivos de abstención o recusación previstos en el artículo 23 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015), el ejercicio de las competencias relacionadas con los procedimientos regulados por el título VIII de la ley orgánica serán asumidas por la persona titular del órgano directivo que desarrolle las funciones de inspección.

En el supuesto de que cualquiera de las circunstancias mencionadas concurriera igualmente en dicha persona, el ejercicio de las competencias afectadas será asumido por las personas titulares de los órganos directivos con nivel de subdirección general, por el orden establecido en el Estatuto.

El ejercicio del resto de competencias será asumido por el Adjunto en los términos previstos en el Estatuto Orgánico de la Agencia Española de Protección de Datos y, en su defecto, por las personas titulares de los órganos directivos con nivel de subdirección general, por el orden establecido en el Estatuto.»

2. Art. 50. Publicidad

Se da nueva redacción a este artículo para precisar que, en lo sucesivo, la AEPD publicará “las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a (LA LEY 6637/2016)22 del Reglamento (UE) 2016/679 (LA LEY 6637/2016), las que pongan fin a los procedimientos de reclamación [antes solo sancionadores y a los procedimientos de apercibimiento], las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.1 de esta ley orgánica, las que impongan medidas cautelares y las demás que disponga su Estatuto”.

3. Nuevo artículo 53 bis. Actuaciones de investigación a través de sistemas digitales

«Artículo 53 bis. Actuaciones de investigación a través de sistemas digitales.

Las actuaciones de investigación podrán realizarse a través de sistemas digitales que, mediante la videoconferencia u otro sistema similar, permitan la comunicación bidireccional y simultánea de imagen y sonido, la interacción visual, auditiva y verbal entre la Agencia Española de Protección de Datos y el inspeccionado. Además, deben garantizar la transmisión y recepción seguras de los documentos e información que se intercambien, y, en su caso, recoger las evidencias necesarias y el resultado de las actuaciones realizadas asegurando su autoría, autenticidad e integridad.

La utilización de estos sistemas se producirá cuando lo determine la Agencia y requerirá la conformidad del inspeccionado en relación con su uso y con la fecha y hora de su desarrollo.»

4. Artículo 64. Forma de iniciación del procedimiento y duración

Se modifica el artículo 64, que queda redactado del siguiente modo (se destacan en negrita los cambios introducidos):

«Artículo 64. Forma de iniciación del procedimiento [por posible vulneración de la normativa de protección de datos] y duración.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a (LA LEY 6637/2016)22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.

En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), y en la presente ley orgánica, se iniciará mediante acuerdo de inicio, adoptado por propia iniciativa o como consecuencia de reclamación, que le será notificado al interesado.

Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica.

Admitida a trámite la reclamación, así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 67 de esta ley orgánica.

El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.

3. Cuando así proceda en atención a la naturaleza de los hechos y teniendo debidamente en cuenta los criterios establecidos en el artículo 83.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), la Agencia Española de Protección de Datos, previa audiencia al responsable o encargado del tratamiento, podrá dirigir un apercibimiento, así como ordenar al responsable o encargado del tratamiento que adopten las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado.

El procedimiento tendrá una duración máxima de seis meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.

Será de aplicación en este caso lo dispuesto en los párrafos segundo y tercero del apartado 2 de este artículo.

4. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 (LA LEY 6637/2016) y 60 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016). Será en este caso de aplicación lo dispuesto en los apartados 1, 2 y 3 de este artículo.

5. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones previas de investigación previstos en el artículo 67.2, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

6. El transcurso de los plazos de tramitación a los que se refiere el apartado anterior se podrá suspender, mediante resolución motivada, cuando resulte indispensable recabar información de un órgano jurisdiccional.»

5. Artículo 65. Admisión a trámite de las reclamaciones

Se modifican los apartados 4 y 5 del artículo 65, y se añade un nuevo apartado 6, que quedan redactados del siguiente modo:

«4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento, al organismo de supervisión establecido para la aplicación de los códigos de conducta o al organismo que asuma las funciones de resolución extrajudicial de conflictos a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.

La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes.

Si como consecuencia de dichas actuaciones de remisión, el responsable o encargado del tratamiento demuestra haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá inadmitir a trámite la reclamación.

5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si transcurrido este plazo no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este título a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos, sin perjuicio de la facultad de la Agencia de archivar posteriormente y de forma expresa la reclamación.

En el supuesto de que la Agencia Española de Protección de Datos actúe como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 64.4 de esta ley orgánica, el cómputo del plazo señalado en el párrafo anterior se iniciará una vez que se reciba en la Agencia toda la documentación necesaria para su tramitación.

Cuando los hechos de una reclamación relativa a la posible existencia en el ámbito competencial de la Agencia, guarden identidad sustancial con los que sean objeto de unas actuaciones previas de investigación o de un procedimiento sancionador ya iniciado, en la notificación de la decisión de admisión a trámite se podrá indicar el número de expediente correspondiente a las actuaciones previas o al procedimiento correspondiente, así como de la dirección web en la que se publicará la resolución que ponga fin al mismo, a efectos de que el reclamante pueda conocer el curso y resultado de la investigación.

6. Tras la admisión a trámite, si el responsable o encargado del tratamiento demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá resolver el archivo de la reclamación, cuando en el caso concreto concurran circunstancias que aconsejen la adopción de otras soluciones más moderadas o alternativas a la acción correctiva, siempre que no se hayan iniciado actuaciones previas de investigación o alguno de los procedimientos regulados en esta ley orgánica.»

6. Artículo 66. Determinación del alcance territorial

Se modifica el apartado 1 del artículo 66 para sustituir la referencia al art. 64.3 de esta ley, por la del articulo 64.4

7. Artículo 67. Actuaciones previas de investigación

Se modifica el apartado 2 del artículo 67, que queda redactado del siguiente modo:

«2. Las actuaciones previas de investigación se someterán a lo dispuesto en la sección 2.ª del capítulo I del título VII de esta ley orgánica y no podrán tener una duración superior a dieciocho meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia Española de Protección de Datos actúe por propia iniciativa.»

Se elimina la referencia final a que la Agencia actúe “como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 64.3 de esta ley orgánica”.

8. Artículo 75. Interrupción de la prescripción de la infracción

Se modifica el párrafo segundo del artículo 75, que queda redactado en los siguientes términos:

«Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) interrumpirá la prescripción el conocimiento formal por el interesado del acuerdo de inicio.»

Se elimina la anterior referencia final “que sea sometido a las autoridades de control interesadas”

9. Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento

Se modifica el apartado 2 del artículo 77, que queda redactado del siguiente modo:

«2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción [antes “sancionando a las mismas con apercibimiento”] y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016).

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.»

10. Nueva disposición adicional vigésima tercera. Modelos de presentación de reclamaciones

Se introduce una disposición adicional vigésima tercera con la siguiente redacción:

«Disposición adicional vigésima tercera. Modelos de presentación de reclamaciones. La Agencia Española de Protección de Datos podrá establecer modelos de presentación de reclamaciones ante la misma en todos los ámbitos en los que ésta tenga competencia, que serán de uso obligatorio para los interesados independientemente de que estén obligados o no a relacionarse electrónicamente con las administraciones públicas.

Los modelos serán publicados en el ''Boletín Oficial del Estado'' y en la Sede Electrónica de la Agencia Española de Protección de Datos y serán de obligado cumplimiento al mes de su publicación en el ''Boletín Oficial del Estado''.»

Scroll