El gobierno de España reglamentó mediante el decreto-ley 5/2018 el régimen de sanciones de acuerdo con el Reglamento europeo de Protección de Datos Personales (RGPD), que es plenamente aplicable desde el pasado 25 de mayo.
Eduardo Peduto, director del Centro de Protección de Datos Personales de esta Defensoría del Pueblo, resaltó la importancia de esta actualización de la legislación española y consideró la relevancia de la norma respecto de los agentes que están sujetos al cumplimiento de la protección de los datos personales porque “establece la sujeción extraterritorial a la norma”.
El Reglamento General de Protección de Datos reemplaza los tipos infractores: señala que están sujetos al mismo los responsables de los tratamientos, los encargados de los tratamientos, los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta. Establece que constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83 y especifica los plazos prescriptivos aplicables a las infracciones y sanciones previstas en la norma europea.
Con respecto a la actuación de los agentes que actúan en la protección de datos, establece que la actividad de investigación de la Agencia Española de Protección de Datos se llevará a cabo por los funcionarios de la Agencia o por funcionarios habilitados expresamente por su Director, los cuales estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.