El procedimiento sancionador en materia de Protección de Datos (I).

El procedimiento sancionador que regulaba el Art. 48 de la LO 15/1999 ha sido expresamente derogado por el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

Iniciación e Instrucción

La nota principal de la nueva regulación es que el mismo procedimiento se aplica a distintos supuestos, y no en exclusiva para la imposición de sanciones.

Así, el Capítulo III del Real Decreto-ley 5/2018, de 27 de julio, rubricado como "Procedimientos en caso de posible vulneración de la normativa de protección de datos", y que incluye los artículos 7 a 14, será de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos, tal y como establece el artículo 7 del Real Decreto-ley 5/2018.

Y este último precepto añade que los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la normativa española de protección de datos y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.

El artículo 8 del Real Decreto-ley 5/2018 establece los distintos supuestos para los que se va a utilizar este procedimiento. Así:

• Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.

• Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos.

• Como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679.

En el primer caso, es decir, cuando el procedimiento se refiera a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 9 del Real Decreto-ley 5/2018.

En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación.

Si el procedimiento se funda en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, ésta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo 9 del Real Decreto-ley 5/2018.

Cuando sean de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado a los efectos previstos en el artículo 5 del Real Decreto-ley 5/2018.

El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.

El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2 del artículo 8 del Real Decreto-ley 5/2018.

Los plazos de tramitación establecidos en el artículo 8 del Real Decreto-ley 5/2018, así como los de admisión a trámite regulado por el apartado 5 del artículo 9 del Real Decreto-ley 5/2018, y de duración de las actuaciones previas de investigación previsto en el artículo 11.2 del Real Decreto-ley 5/2018, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

El artículo 9 del Real Decreto-ley 5/2018 regula la admisión a trámite de las reclamaciones y señala que cuando se presente ante la Agencia Española de Protección de datos una reclamación, ésta debe evaluar su admisibilidad a trámite.

La Agencia Española de Protección de Datos también podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:

• Que no se haya causado perjuicio al afectado.

• Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo de un mes.

La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes.

La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la Autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses.

Si, transcurrido este plazo, no se produce dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en el Capítulo III del Real Decreto-ley 5/2018 a partir de la fecha en que se cumplan tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.

Y por lo que se refiere a los aspectos a analizar en la iniciación e instrucción del procedimiento, debemos acudir, en primer lugar, al artículo 3 del Real Decreto-ley 5/2018, que determina quienes están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos:

• Los responsables de los tratamientos.

• Los encargados de los tratamientos.

• Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.

• Las entidades de certificación.

• Las entidades acreditadas de supervisión de los códigos de conducta.

Otra de las cuestiones que debe ser tenida en cuenta en el procedimiento, conforme al artículo 10 del Real Decreto-ley 5/2018, es la competencia de la Agencia Española de Protección de Datos y el carácter nacional o transfronterizo, en cualquiera de las modalidades vistas, del procedimiento a seguir; lo que debe analizarse con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación.

En consecuencia, si la Agencia considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la Autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación.

El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Agencia se dicte, en caso de que así proceda, la resolución a la que se refiere el apartado 8 del artículo 60 del Reglamento (UE) 2016/679.

Como ya hemos señalado, y establece el artículo 11 del Real Decreto-ley 5/2018, antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

Las actuaciones previas de investigación se someterán a lo dispuesto en el Capítulo I del Real Decreto-ley 5/2018, que se refiere a la Inspección en materia de protección de datos, y no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 8.3 del Real Decreto-ley 5/2018.

El artículo 12 del Real Decreto-ley 5/2018 regula el acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.

Conforme a este precepto, una vez concluidas, en su caso, las actuaciones a las que se refiere el artículo 11 del Real Decreto-ley 5/2018, corresponderá al Director de la Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción.

Además, cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.

Por otro lado, y conforme al artículo 14 del Real Decreto-ley 5/2018, esta regulación será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.

Finalmente, debe tenerse en cuenta que, tal y como establece la Disposición transitoria primera del Real Decreto-ley 5/2018, referida al régimen transitorio de los procedimientos, los procedimientos ya iniciados a la entrada en vigor del Real Decreto-ley 5/2018 se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.