Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Procedimientos previstos ante la autoridad de control por la legislación de protección de datos

En este artículo, trataré de explicarles los distintos procedimientos frente a una autoridad de control previstos por la legislación de protección de datos:

  • Falta de atención y respuesta a una solicitud de ejercicio de derechos.
  • Posible vulneración de la normativa de protección de datos.
  • Procedimiento de apercibimiento.
  • Procedimiento de reclamaciones transfronterizas

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) regula en sus artículos 63 a 69 los «procedimientos en caso de posible vulneración de la normativa de protección de datos» que comprenden, por un lado, la falta de atención y respuesta a una solicitud de ejercicio de derechos reconocidos en los artículos 15 a 22 del Reglamento General de Protección de Datos (RGPD) y, por otro, el procedimiento sancionador para el caso de posible infracción de dicha normativa.

A su vez, la Ley 11/2023, de 8 de mayo, de trasposición de directivas de la Unión Europea modifica el artículo 39 de la LOPDGDD para introducir el procedimiento de apercibimiento.

Falta de atención y respuesta a una solicitud de ejercicio de derechos

Si estamos ante el caso de una falta de atención y respuesta a una solicitud de ejercicio de cualquiera de los derechos reconocidos en el RGPD, el interesado tiene que probar su efectivo ejercicio frente al responsable del tratamiento. Por su parte, el responsable del tratamiento deberá probar que atendió dicha solicitud si quiere eludir su responsabilidad.  

Todo responsable del tratamiento está obligado a informar al interesado sobre los medios disponibles para el ejercicio de derechos que deberán ser fácilmente accesibles. Una opción viable es a través del correo electrónico, siempre que existan las adecuadas garantías para identificar al afectado. El fax no se considera un medio idóneo para el ejercicio de derechos, pues no permite acreditar que se haya producido la recepción por el responsable, siendo esta la exigencia legal para que se entienda ejercido el derecho (AEPD Resolución R/01746/2011).

Los derechos serán denegados por el responsable del tratamiento cuando la solicitud sea formulada por persona distinta del interesado y no se acredite que la misma actúa en representación de aquél. Los menores entre 14 y 18 años pueden ejercitar por ellos mismos los derechos reconocidos en los artículos 15 a 22 del RGPD y los derechos digitales reconocidos en el Título X de la LOPDGDD.

Cuando el interesado presente la solicitud por medios electrónicos, la información se le facilitará por los mismos medios, siempre que sea posible y a menos que el interesado solicite que se le facilite por otros medios (artículo 12.3 del RGPD).

De formularse una reclamación ante la autoridad de control, por falta de atención y respuesta a una solicitud de ejercicio de derechos, ésta tiene un plazo de seis (6) meses para resolverla, a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido dicho plazo, sin resolución expresa, el reclamante puede considerar estimada su reclamación.

Si la reclamación es estimada, de forma expresa o por silencio administrativo, la autoridad de control requerirá al responsable del tratamiento para que permita el ejercicio del derecho al reclamante. En atención a la gravedad del caso puede llegar a sancionarle.

Posible vulneración de la normativa de protección de datos

Cuando el procedimiento tenga por objeto determinar la posible existencia de una infracción de la normativa de protección de datos, éste se iniciará mediante acuerdo de inicio, adoptado por iniciativa propia o como consecuencia de reclamación, que le será notificado al interesado.

La autoridad de control inadmitirá las reclamaciones que no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, resulten abusivas o no aporten indicios racionales de la existencia de una infracción.

Dicha autoridad también inadmitirá las reclamaciones formuladas cuando el responsable o encargado del tratamiento, previo requerimiento, hubiere adoptado medidas correctivas encaminadas a poner fin a su incumplimiento y concurra alguna de las siguientes circunstancias:

  1. Que no se haya causado perjuicio alguno al afectado, en el caso de las infracciones previstas en el artículo 74 de la LOPDGDD.
  2. Que el derecho del afectado esté garantizado mediante la aplicación de las medidas correctivas.

Para una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento podrá existir una fase de actuaciones previas de investigación que se regirá por lo dispuesto en el artículo 67 de la LOPDGDD. Dichas actuaciones previas tendrán una duración máxima de dieciocho (18) meses a contar desde la fecha del acuerdo de admisión a trámite o desde la fecha del acuerdo por el que se decida su iniciación cuando la AEPD actúe por propia iniciativa.

En el desarrollo de las actuaciones previas, los servicios de inspección de la AEPD pueden acceder a la sede del inspeccionado y a aquellas instalaciones donde se realicen las actividades de tratamiento. El responsable del tratamiento está obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos, previa exhibición por el funcionario actuante de la autorización expedida por la Presidencia de la AEPD. Si el local tiene la consideración legal de domicilio, la labor inspectora debe ajustarse a las reglas que garantizan su inviolabilidad. La obstrucción al ejercicio de la función inspectora constituye una infracción muy grave del artículo 72.1.o de la LOPDGDD.

Antes de resolver sobre la admisión a trámite de la reclamación, la autoridad de control podrá remitir la misma al delegado de protección de datos que hubiere designado el responsable o encargado del tratamiento, que tendrá el plazo de un mes para responder. Igualmente, podrá remitir la reclamación al responsable o encargado del tratamiento si no se hubiera designado un delegado de protección de datos. Si éstos demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable, la AEPD podrá inadmitir a trámite la reclamación.

Finalizada la fase de investigación, si procede, se dictará el acuerdo de iniciación del procedimiento sancionador, en el que se concretarán los hechos, la identidad de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y la propuesta de sanción, todo ello sin perjuicio de las acciones ejercitables ante los tribunales de justicia contempladas en el artículo 79 del RGPD. 

La decisión sobre la admisión o la inadmisión de la reclamación deberá notificarse al reclamante en el plazo de tres (3) meses, a contar desde la fecha de presentación de la reclamación. Si transcurrido ese plazo no se produjera la notificación se entenderá que prosigue el procedimiento, sin perjuicio de que la autoridad de control puede archivarla posteriormente.

Transcurridos doce (12) meses desde la fecha del acuerdo de iniciación, sin que se haya notificado una resolución expresa al interesado, se producirá la caducidad del procedimiento y el archivo de las actuaciones. En dicho cómputo, se tendrán en cuenta las interrupciones por causas imputables al interesado. Si la infracción no ha prescrito cabría la apertura de un nuevo procedimiento sancionador, al no existir un pronunciamiento sobre el fondo del asunto.

Iniciado el procedimiento, de conformidad con el artículo 82 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados tienen un plazo no inferior a diez (10) días ni superior a quince (15) días para presentar las alegaciones y los documentos que estimen pertinentes, proponiendo las pruebas de las que pretendan valerse.  

En función de las pruebas interesadas, el órgano instructor podrá acordar la apertura de un período de prueba, cuya duración mínima será de diez (10) días con un máximo de treinta (30) días. El acuerdo deberá notificarse a los interesados y en él se podrá rechazar motivadamente la práctica de aquellas pruebas que se consideren improcedentes de acuerdo con el artículo 77 punto 3 de la Ley 39/2015. 

Antes de la resolución, el órgano competente podrá decidir, mediante acuerdo motivado, la realización de actuaciones complementarias. Los interesados tendrán un plazo máximo de siete (7) días para formular alegaciones. Las actuaciones complementarias deben practicarse en un plazo no superior a quince (15) días. El plazo para resolver el procedimiento quedará suspendido hasta la terminación de las actuaciones complementarias.

Concluida la fase de instrucción del procedimiento, el Director/a de la autoridad de control dictará una resolución expresa y motivada, que hará mención a los hechos declarados probados, la infracción cometida, la persona responsable, la sanción impuesta y las medidas provisionales adoptadas. En su defecto, contendrá una declaración de no existencia de responsabilidad. 

Si el procedimiento sancionador se inició como consecuencia de la reclamación de un afectado, la resolución le será notificada. El interesado tiene derecho a reclamar una indemnización por daños y perjuicios ante el órgano judicial competente, si bien deberá acreditar el daño y el nexo causal entre éste y la infracción.

La resolución dictada en el procedimiento pone fin a la vía administrativa. Frente a la misma caben dos opciones:

  • Recurso potestativo de reposición, en el plazo de un (1) mes a contar desde el día siguiente a la notificación de la resolución.
  • Recurso contencioso-administrativo ante la Audiencia Nacional en el plazo de dos (2) meses a contar desde el día siguiente a la notificación de la resolución o, en su caso, de la contestación al recurso potestativo de reposición.

Cabe decir que el reclamante no tiene legitimación para recurrir, ante los tribunales del orden de lo contencioso-administrativo, la inadmisión a trámite de su reclamación por la AEPD ni para solicitar que impongan la sanción que la AEPD no quiso imponer. Como esto lo expliqué en otro artículo –que dejo enlazado aquí— a él me remito.

Si el procedimiento sancionador concluye con una multa económica y decide no recurrirla, se iniciará el periodo voluntario para el pago. Si recibe la notificación entre los días uno y quince de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día veinte del mes siguiente o inmediato hábil posterior. Si recibe la notificación entre los días dieciséis y último de cada mes, ambos inclusive, el plazo del pago en periodo voluntario será hasta el cinco del segundo mes siguiente o inmediato hábil posterior. De no hacerse efectiva la sanción en el período voluntario, se procederá a su recaudación por vía ejecutiva con recargos e intereses.

El reconocimiento de la infracción, materializado con el pago voluntario, supone la reducción del 20 % sobre el importe de la sanción, algo a tener muy en cuenta cuando no hay razón a discutirla.

Procedimiento de apercibimiento

En atención a la naturaleza de los hechos y teniendo en cuenta los criterios establecidos en el artículo 83.2 del RGPD, la autoridad de control, previa audiencia al responsable o encargado del tratamiento, podrá dirigirles un apercibimiento y ordenarles que «adopten las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado».

Este procedimiento tendrá una duración máxima de seis (6) meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y el archivo de actuaciones.

Procedimiento de reclamaciones transfronterizas

Este procedimiento se tramitará como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la Unión de la reclamación formulada ante la misma, cuando la AEPD tuviese la condición de «autoridad de control principal» según el artículo 56 del RGPD. En tales casos, la reclamación se regirá por lo establecido en el artículo 64 apartado 1 de la LOPDGDD y en los párrafos primero, tercero, cuarto y quinto del apartado 2 del mencionado artículo.

* La autoridad de control en Cataluña es la Autoridad Catalana de Protección de Datos; en el País Vasco, la Agencia Vasca de Protección de Datos; y en Andalucía, el Consejo de Transparencia y Protección de Datos de Andalucía.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).