El pasado 9 de mayo se publicó en el Boletín Oficial del Estado (BOE) la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, por la cual se modifican, entre otras la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), introduciendo varios cambios significativos en dicha normativa.
Como consecuencia de esta reforma, se introducen modificaciones tanto en la tramitación de algunos procedimientos de la Agencia Española de Protección de Datos (AEPD) como en su Estatuto.
A continuación, se relacionan las novedades y principales cambios derivados de esta reforma:
- Apercibimiento como medida correctiva: Se ha establecido un nuevo procedimiento llamado apercibimiento, el cual es específico, flexible y rápido. Este procedimiento tiene una duración máxima de seis meses y su objetivo principal es agilizar la respuesta a las reclamaciones presentadas por los ciudadanos. De este modo se configuran el apercibimiento como una medida adecuada, de naturaleza no sancionadora, incluida dentro de los poderes correctivos de las autoridades de control.
- Ampliación de algunos plazos de resolución de procedimientos por vulneración de la normativa sobre protección de datos: concretamente, el aumento de nueve a doce meses en la duración máxima del procedimiento sancionador, y de doce a dieciocho meses en las actuaciones previas de investigación. Estas extensiones de plazo permiten dedicar más tiempo a investigaciones detalladas y asegurarse de que se siga un proceso adecuado.
- Investigaciones en formato digital: Se ha añadido la posibilidad de que la AEPD realice investigaciones utilizando sistemas digitales, como la videoconferencia u otros medios similares. Estos sistemas permiten la comunicación bidireccional y simultánea de imagen y sonido, así como la interacción visual, auditiva y verbal entre la AEPD y la persona o entidad que está siendo inspeccionada.
- Modelos obligatorios de presentación de reclamaciones: se establecerán modelos obligatorios para presentar reclamaciones ante la AEPD, lo que simplificará el proceso para los interesados. De este modo, todos los interesados, sin importar si tienen la obligación o no de interactuar electrónicamente con las Administraciones Públicas, deberán utilizar obligatoriamente estos modelos
- Se regulan las situaciones en las que se debe reemplazar al/la Presidente/a de la AEPD para garantizar el correcto funcionamiento y la independencia de la Agencia. Para ello, se establece que esas competencias puedan ser asumidas por la persona titular del órgano directivo que desarrolle las funciones de inspección, dada su especialización en la materia.
De la anterior relación de modificaciones de la LOPDGDD, una de las más destacables es el hecho de que el apercibimiento ya no constituye sanción, y de ello se desprende la siguiente pregunta: ¿las administraciones públicas no estarían sujetas a ninguna sanción en caso de incumplimiento de la normativa de protección de datos? ¿Estaría la LOPDGDD incumpliendo lo regulado en el RGPD, el cual establece que cualquier infracción de éste debe ser castigada con sanciones, incluidas multas administrativas?
Así, está posibilidad de imponer multas a las administraciones públicas no está prevista actualmente en la LOPDGDD. A tales efectos, debe señalarse que, en otros estados miembros de la Unión Europea, sí se aplican multas para el caso de infracciones cometidas por las administraciones públicas como, por ejemplo, la Administración Fiscal y Aduanera en los Países Bajos (por incumplimiento de los principios generales de tratamiento de datos), y también el Ministerio de Asuntos Exteriores de dicho país (por aplicar medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información).
Por otro lado, hay que indicar que dicha modificación también aporta cambios en algunos preceptos de la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE), así como en la normativa de identidad digital, que serán objeto de nuevos artículos.
Para más información sobre la citada reforma establecida por la Ley 11/2023, se puede consultar aquí.