La normativa europea de protección de datos no disponía, hasta ahora, de un régimen general de las infracciones y sanciones derivadas de su incumplimiento, ya que el Reglamento europeo, si bien establecía las sanciones por incumplimiento de la normativa, dejaba el diseño del citado marco al criterio de cada país. En este sentido, el Real Decreto-Ley 5/2018, de 27 de julio, en vigor desde el pasado 1 de agosto, está dedicado, entre otros, a fijar los extremos de este régimen sancionador, tales como:

  • Autoridades de control y referencia a los archivos que podrán ser investigados.
  • Delimitación de los sujetos responsables de las infracciones y sanciones.
  • Plazos de prescripción de las infracciones y sanciones, que oscilan entre uno y tres años, en función de la gravedad de las infracciones y la cuantía de las sanciones.
  • Procedimientos en caso de posible vulneración de la normativa de protección de datos.

Cabe destacar que la vigencia de este Real Decreto-Ley es temporal, concretamente estará vigente hasta la entrada en vigor de la nueva legislación orgánica de protección de datos que adapte el ordenamiento jurídico español al Reglamento UE 2016/679.

Aunque no está regulado en esta norma, por el motivo mencionado al principio, hay que recordar que las sanciones por incumplimiento de la nueva normativa de protección de datos se han incrementado con el regamos que entró en vigor el pasado mes de mayo, y que serán proporcionales a la facturación de la empresa (sin mínimo de cuantía), hasta llegar a los 20 millones de euros, como muestra el siguiente cuadro.