Obviamente, no hay una respuesta única, pues cada Delegado de Protección de Datos (DPD) actúa, en su caso, como sabe o como puede; de modo que, les explicaré como actúo yo.
Pongamos por caso que la reclamación se dirige directamente a mí como DPD. Lo primero que hago es informar al responsable del tratamiento –es decir, al cliente– sobre la existencia de la reclamación. Acto seguido, intento recabar toda la información posible sobre los antecedentes de la reclamación. Esta investigación se documenta con detalle para garantizar la trazabilidad.
Cuando hay dos partes en conflicto, es fundamental conocer la versión de ambas. Por eso, suelo contactar con el reclamante para conocer su perspectiva. El objetivo de este primer contacto es doble: por un lado, aclarar las dudas que puedan surgir sobre la reclamación y, por el otro, mediar en la solución del conflicto.
Si no se logra una solución amistosa, que satisfaga el interés de ambas partes, es necesario responder a la reclamación en un plazo de dos meses. Basándome en la información recopilada, elaboro un informe dirigido al responsable del tratamiento, en el que incluyo una propuesta de resolución para la reclamación presentada.
Si el reclamante tiene razón, esto puede conllevar —aunque no siempre— consecuencias no deseables para el responsable del tratamiento, como sanciones administrativas o, en algunos casos, la obligación de indemnizar por daños y perjuicios. En el informe, también detallo estas posibles consecuencias y los recursos disponibles para afrontarlas.
Si se detectan fallos de seguridad o malas prácticas, es esencial corregirlas; por ello, una sección clave del informe incluye las medidas correctoras a adoptar para evitar que se repitan los hechos y una nueva reclamación.
Si la respuesta al reclamante no le satisface, lo habitual es que presente una reclamación a la autoridad de control, que es un trámite gratuito. En estos casos, es crucial colaborar con el instructor durante las actuaciones de investigación. Créanme, una buena predisposición frente a la autoridad de control, siempre es bien valorada.
Conclusión
Algunos DPD priorizan dar la razón al responsable del tratamiento, por aquello de que es quien le paga, pero es un error grave.
Si el cliente no tiene razón, hay que decírselo y hay que hacerle entender los motivos por los cuales no tiene razón, pues si no enmienda su actitud, el caso se repetirá y, entonces, las consecuencias serán más severas por reincidencia.
Una reclamación nunca es bien recibida, para que engañarnos, pero hay que ver el lado positivo de las cosas, y hay que aprovechar la oportunidad para mejorar el tratamiento de datos. Solo así se alcanza la excelencia.
