Susana Duro Carrión
El objetivo fundamental de esta modificación es agilizar los procedimientos de los interesados ante la Agencia Española de Protección de Datos (AEPD) y reforzar el control que el titular debe tener sobre sus datos.
Con motivo de la transposición de varias directivas de la Unión Europea, la reciente Ley 11/2023, de 8 de mayo, ha modificado diferentes artículos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Entre las modificaciones que incorpora destaca la redacción del nuevo artículo 64.3 de la LOPDGDD. El precepto, reflejo de la reciente corrección de errores del RGPD, describe ahora un nuevo procedimiento de apercibimiento independiente, desvinculado del procedimiento sancionador, como alternativa a la sanción y como medida de carácter corrector.
Como establece el propio artículo, la Agencia Española de Protección de Datos, previa audiencia al responsable o encargado del tratamiento, podrá dirigir un apercibimiento, así como ordenar al responsable o encargado del tratamiento que adopten las medidas correctivas encaminadas a finalizar el posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado. Este artículo establece además una duración máxima del procedimiento de seis meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo, se producirá caducidad y el archivo de actuaciones.
Antes de esta reforma, la LOPDGDD configuraba el apercibimiento como instrumento sancionador en coherencia y siguiendo lo establecido en el RGPD, que concretamente en su artículo 58.2, apartado b, enunciaba “sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”. Equiparaba el apercibimiento como un método de sanción.
La corrección de errores del RGPD concreta esta distinción entre apercibimiento y procedimiento sancionador que el RGPD no distinguía, matizando por tanto la anterior redacción del art. 58.2 b) RGPD, de modo que donde antes este mencionaba “sancionar a todo responsable o encargado del tratamiento con apercibimiento…”, ahora su redacción establece “dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.
La nueva redacción del artículo 64.3 LOPDGG, fruto de la citada corrección del artículo 58.2 b) RGPD, persigue eliminar cualquier tipo de contradicción que pudiera existir entre la LOPDGDD y el RGPD. Y tiene en cuenta la naturaleza de este último como norma comunitaria de aplicación directa en todos los Estados miembros.
En línea con este este nuevo artículo 64.3, también el nuevo artículo 50 LOPDGDD alude ahora a esta distinción entre apercibimiento y procedimiento sancionador cuando aborda la publicidad de las resoluciones de la Agencia. Igualmente opera esta distinción en el artículo 77.2 que, al referirse al régimen aplicable a responsables y encargados de tratamiento, si bien antes establecía la sanción por la AEPD mediante apercibimiento, queda ahora modificado: la AEPD dictará resolución, declarará la infracción y establecerá aquellas medidas que proceda para el cese de la conducta.
Modificaciones y novedades de la Ley 11/2021
Por ejemplo, modifica el nuevo artículo 48 apartado 2 en relación con la figura del Adjunto de la Presidencia de la AEPD y el ejercicio de sus competencias. Incorpora además un nuevo artículo 53 bis relativo a las actuaciones de investigación e inspección que podrán realizarse también mediante videoconferencia siempre que garantice tanto la comunicación bidireccional y la transmisión y recepción seguras de documentos, como la captación de evidencias.
La redacción de un nuevo 64.2 amplía de 9 a 12 meses, desde la fecha del acuerdo de inicio, la duración del procedimiento sancionador para determinar la posible infracción del Reglamento.
Asimismo, el apartado 4 del artículo 65, cuando el responsable o encargado del tratamiento demuestre haber adoptado medidas para el cumplimiento de la normativa aplicable, como consecuencia de las actuaciones, incorpora la posibilidad para la AEPD de inadmitir a trámite la reclamación.
Un nuevo apartado 6 incorporado a ese mismo artículo 65 establece además que, incluso si admitido a trámite, el responsable o encargado del tratamiento demuestra haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá también resolver el archivo de la reclamación cuando las circunstancias admitan otras alternativas a la acción correctiva, siempre que no se hayan iniciado actuaciones previas de investigación o alguno de los procedimientos regulados por ley.
Este mismo artículo 65, en su apartado 5, introduce la posibilidad de facilitar al interesado reclamante conocer la existencia de procedimientos basados en hechos similares de manera que, junto a la notificación de admisión a trámite, la AEPD indique número de expediente y dirección web donde publicará la resolución de aquel otro procedimiento sancionador iniciado y que guarda una identidad sustancial al que presenta el reclamante. Todo ello con el fin de que éste pueda conocer el resultado de modo inmediato.
En relación con las actuaciones previas de investigación, pasan de tener una duración máxima de 12 meses de acuerdo con la antigua redacción, a una duración máxima de 18 meses, de acuerdo con la modificación operada en el art. 67.2 LOPDGDD.
Por último, la disposición adicional vigesimotercera establece la posibilidad de que la AEPD publique en el BOE y en su sede electrónica modelos obligatorios para la presentación de reclamaciones por parte de los interesados, desde el mes siguiente a su publicación y en todos los ámbitos en los que la AEPD tenga competencia.
Sin perjuicio de la proyección práctica de estas modificaciones que la Ley 11/2023 ha venido a incorporar en la LOPDGDD, Ley 3/2018, y de la diversa casuística que se pueda plantear, el objetivo esencial es un procedimiento especialmente ágil que garantice para los interesados una tutela reforzada en la efectiva protección de sus derechos y de acuerdo con los fines esenciales del RGPD.
En el Máster Universitario en Protección de Datos de UNIR se profundiza en el tratamiento de datos personales con la máxima seguridad y legalidad, y se enseña a cumplir y a implementar la normativa vigente, entre otras muchas competencias. La idea es formar completa e integralmente a expertos, consultores y abogados en esta materia, así como a delegados de protección de datos y cualquier otro profesional que maneje estas herramientas en su día a día.
*Susana Duro Carrión es coordinadora académica del Máster Universitario de Protección de Datos. Doctora en Derecho Constitucional y abogada col. ICAM 51719.
