El Gobierno se ha visto forzado a aprobar este viernes un real decreto para adoptar la normativa española al reglamento de protección de datos europeo que entró en vigor el pasado 25 de mayo, una norma muy garantista, concebida para que las empresas no vendan datos ni haya fugas sin autorización y que ha traído de cabeza a usuarios y compañías. Los primeros, porque sufrieron un boom de correos electrónicos con información y petición de consentimiento expreso, y las segundas, por la necesidad de adaptarse a los nuevos requerimientos.

El problema es que los cambios deben ser incorporados a una ley orgánica, que lleva meses en trámite y sin visos de salir aprobada de manera inmediata. Ante el vacío legal, el Ejecutivo se ha visto forzado a aprobar un real decreto con medidas urgentes, que tendrá vigencia solo hasta que las Cortes aprueben la norma con rango de ley. “Aunque disponemos de un proyecto de ley, mientras esa ley cursa su trámite, hemos tenido que aprobar el real decreto”, ha justificado la portavoz del Gobierno, Isabel Celaá.

El decreto aprobado este viernes se centra en aspectos relacionados con la inspección, el régimen sancionador y el procedimiento de instrucción, que según el ministerio de Justicia “aportan la seguridad jurídica necesaria para que el modelo europeo de supervisión no quede debilitado y, con él, las opciones de los ciudadanos de hacer valer su privacidad”.

La cuantía de las multas

Y es que el reglamento establece un régimen sancionador aplicable en España pero no regula cuestiones como los plazos de prescripción o las sanciones, al considerar que deben fijarse en el ordenamiento interno de los Estados. El real decreto traspone por tanto las multas europeas, de cuantías millonarias que van 10 a 20 millones de euros y, en el caso de empresas, entre el 2% y el 4% de su facturación.

Según especialistas en esta materia como Samuel Parra, socio del despacho e-privacidad, pese al volumen de las sanciones, es un sistema “más justo” que el actual porque no impone límites mínimos, es decir, un incumplimiento menor podría ser sancionado con una multa de poca cuantía mientras la ley actual penaliza las infracciones leves con entre 500 y 40.000 euros.

El experto señala por otro lado que “no le sorprende” que el Gobierno se haya visto forzado a aprobar el real decreto, puesto que los dos años que el reglamento ha dado de margen a Estados y empresas para adaptarse “no se han hecho los deberes”.

La duración y la prescripción

El real decreto ratifica además el régimen actual en cuanto a la duración de los procedimientos sancionadores, que será de seis meses, aunque podrán incluir actuaciones previas de investigación durante un plazo máximo de doce meses.

En cuanto a la prescripción de las sanciones, opta por mantener los mismos tiempos que actualmente establece la ley española, por lo que fija un plazo de un año para las infracciones inferiores a 40.000 euros, dos años para las comprendidas entre 40.000 y 300.000 euros y tres años para las superiores a dicha cuantía.

Por otra parte, el reglamento crea un procedimiento de cooperación entre los países de la Unión Europea en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas, pero no regula el modo en que el derecho interno de los Estados habrá de verse afectado como consecuencia de los trámites previstos en la propia norma europea para estos procedimientos.