Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Procedimientos previstos ante la autoridad de control por la legislación de protección de datos

En este artículo, analizaremos los distintos procedimientos frente a una autoridad de control previstos por la legislación de protección de datos:

  • Falta de atención y respuesta a una solicitud de ejercicio de derechos.
  • Posible vulneración de la normativa de protección de datos.
  • Procedimiento de apercibimiento.
  • Procedimiento de reclamaciones transfronterizas

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) regula en sus artículos 63 a 69 los «procedimientos en caso de posible vulneración de la normativa de protección de datos» que comprenden, por un lado, la falta de atención y respuesta a una solicitud de ejercicio de derechos reconocidos en los artículos 15 a 22 del Reglamento General de Protección de Datos (RGPD) y, por otro, el procedimiento sancionador para el caso de posible infracción de dicha normativa.

A su vez, la Ley 11/2023, de 8 de mayo, de trasposición de directivas de la Unión Europea modifica el artículo 64 de la LOPDGDD para introducir el procedimiento de apercibimiento.

Falta de atención y respuesta a una solicitud de ejercicio de derechos

Este procedimiento se regula en el artículo 64, apartado 1, de la LOPDGDD.

Cuando el procedimiento se centra exclusivamente en la falta de atención o respuesta de una solicitud de ejercicio de derechos reconocidos en los artículos 15 a 22 del RGPD –es decir, los derechos de acceso, rectificación, oposición, supresión (derecho al olvido), limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas– el interesado debe demostrar el ejercicio efectivo de dichos derechos ante el responsable del tratamiento. A su vez, este último debe probar que atendió la solicitud para evitar su responsabilidad.  

El responsable del tratamiento está obligado a informar al interesado acerca de los medios que están a su disposición para el ejercicio de los referidos derechos, que serán fácilmente accesibles. Una opción válida es el correo electrónico, siempre que se implementen garantías adecuadas para identificar al interesado. El fax no se considera un medio idóneo para el ejercicio de derechos, pues no permite acreditar que se haya producido la recepción por el responsable, siendo esta la exigencia legal para que se entienda ejercido el derecho (AEPD Resolución R/01746/2011).

Los derechos reconocidos en los artículos 15 a 22 del RGPD pueden denegarse si la solicitud la formula una persona distinta del interesado y no se acredita la representación. Los menores de entre 14 y 18 años pueden ejercer por sí mismos estos derechos, así como los derechos digitales del Título X de la LOPDGDD.

Cuando el interesado presente la solicitud por medios electrónicos, la información se le facilitará por los mismos medios, siempre que sea posible, a menos que el interesado solicite que se le facilite por otros medios (artículo 12.3 del RGPD).

Al presentar una reclamación ante la AEPD por falta de atención o respuesta, esta autoridad evaluará su admisibilidad. La AEPD inadmitirá reclamaciones que no versen sobre protección de datos personales, carezcan de fundamento manifiesto, sean abusivas o no aporten indicios racionales de infracción.

Si se admite a trámite, la AEPD dispone de seis meses para resolver la reclamación, contados desde la notificación del acuerdo de admisión al reclamante. Si transcurre este plazo sin resolución expresa, el reclamante puede considerar estimada su reclamación.

En caso de estimación expresa, la autoridad de control requerirá al responsable para que atienda la solicitud en un plazo generalmente de diez días. El incumplimiento del requerimiento podría constituir una infracción del artículo 72.1.m) de la LOPDGDD, sancionable conforme al artículo 58.2 del RGPD.

Posible vulneración de la normativa de protección de datos

Cuando el procedimiento tenga por objeto determinar la posible existencia de una infracción de la normativa de protección de datos, este se iniciará mediante acuerdo de inicio, adoptado por iniciativa propia o como consecuencia de reclamación, que le será notificado al interesado.

La autoridad de control inadmitirá las reclamaciones que no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, resulten abusivas o no aporten indicios racionales de la existencia de una infracción.

También inadmitirá las reclamaciones formuladas cuando el responsable o encargado del tratamiento, previo requerimiento de la AEPD, hubiera adoptado las medidas correctivas oportunas, encaminadas a poner fin a su incumplimiento, y concurra alguna de las siguientes circunstancias:

  • Que no se haya causado perjuicio al interesado en el caso de las infracciones previstas en el artículo 74 de la LOPDGDD.
  • Que el derecho del afectado se garantiza plenamente mediante las medidas adoptadas.

Para una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento, podrá existir una fase de actuaciones previas de investigación, que se regirá por lo dispuesto en el artículo 67 de la LOPDGDD. Dichas actuaciones tendrán una duración máxima de dieciocho (18) meses, contados desde el acuerdo de admisión a trámite o desde la fecha del acuerdo por el que la AEPD decida su inicio cuando actúe por iniciativa propia.

En el desarrollo de las actuaciones previas, los servicios de inspección de la AEPD pueden acceder a las instalaciones del inspeccionado donde se realicen las actividades de tratamiento. El responsable está obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos, previa exhibición por el funcionario actuante de la autorización expedida por la Presidencia de la AEPD. Si el local tiene la consideración legal de domicilio, la labor inspectora debe ajustarse a las reglas que garantizan su inviolabilidad. La obstrucción al ejercicio de la función inspectora constituye una infracción muy grave del artículo 72.1.o de la LOPDGDD.

Antes de resolver sobre la admisión a trámite de la reclamación, la autoridad de control podrá remitir la misma al delegado de protección de datos (DPD) designado por el responsable o encargado del tratamiento, que tendrá el plazo de un mes para responder. Si no hay DPD, se remitirá directamente al responsable o encargado. 

Finalizada la fase de investigación, si procede, se dictará el acuerdo de iniciación del procedimiento sancionador, en el que se concretarán los hechos, la identidad de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y la propuesta de sanción, sin perjuicio de las acciones ejercitables ante los tribunales de justicia (artículo 79 del RGPD). 

La decisión sobre la admisión o la inadmisión de la reclamación deberá notificarse al reclamante en el plazo de tres (3) meses, a contar desde la fecha de presentación de la reclamación. Si transcurrido ese plazo no se produjera la notificación, se entenderá que sigue el procedimiento, aunque la autoridad puede archivarlo posteriormente.

Transcurridos doce (12) meses desde el acuerdo de iniciación sin que se haya notificado una resolución expresa al interesado, se producirá la caducidad del procedimiento y el archivo de las actuaciones. En dicho cómputo, se tendrán en cuenta las interrupciones por causas imputables al interesado. Si la infracción no ha prescrito, cabría la apertura de un nuevo procedimiento sancionador, al no existir un pronunciamiento sobre el fondo del asunto.

Iniciado el procedimiento, de conformidad con el artículo 82 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados tienen un plazo no inferior a diez (10) días ni superior a quince (15) días para presentar las alegaciones y los documentos que estimen pertinentes, proponiendo las pruebas de las que pretendan valerse.  

En función de las pruebas interesadas, el órgano instructor acordará la apertura de un período de prueba, cuya duración mínima será de diez (10) días con un máximo de treinta (30) días. El acuerdo deberá notificarse a los interesados y en él se podrá rechazar motivadamente la práctica de aquellas pruebas que se consideren improcedentes de acuerdo con el artículo 77, apartado 3, de la Ley 39/2015. 

Antes de la resolución, se pueden acordar, mediante resolución motivada, la realización de actuaciones complementarias. Los interesados tendrán un plazo máximo de siete (7) días para formular alegaciones. Las actuaciones complementarias deben practicarse en un plazo no superior a quince (15) días. El plazo para resolver el procedimiento quedará suspendido hasta la terminación de las actuaciones complementarias.

Concluida la fase de instrucción del procedimiento, el presidente de la autoridad de control dictará una resolución motivada, detallando los hechos declarados probados, la infracción cometida, la persona responsable, la sanción impuesta y las medidas provisionales adoptadas. En su defecto, contendrá una declaración de ausencia o no existencia de responsabilidad. 

Si el procedimiento se inició como consecuencia de la reclamación de un afectado, la resolución le será notificada. El interesado tiene derecho a reclamar una indemnización por daños y perjuicios ante el órgano judicial competente, si bien deberá acreditar el daño y el nexo causal entre este y la infracción.

La resolución dictada en el procedimiento pone fin a la vía administrativa. Frente a la misma caben dos opciones:

  • Recurso potestativo de reposición, en el plazo de un (1) mes a contar desde el día siguiente a la notificación de la resolución.
  • Recurso contencioso-administrativo ante la Audiencia Nacional en el plazo de dos (2) meses a contar desde el día siguiente a la notificación de la resolución o, en su caso, de la contestación al recurso potestativo de reposición.

El reclamante no tiene legitimación para recurrir judicialmente la inadmisión de su reclamación ni para exigir sanciones que la AEPD no impuso. Sobre ello les hablé en otro artículo, que dejo enlazado aquí para evitar reiteraciones innecesarias.

Si el procedimiento sancionador concluye con una multa económica y el responsable o encargado sancionado decide no recurrirla, se iniciará el periodo voluntario para el pago. Si recibe la notificación entre los días uno (1) y quince (15) de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día veinte (20) del mes siguiente o inmediato hábil posterior. Si recibe la notificación entre los días dieciséis (16) y último de cada mes, ambos inclusive, el plazo del pago en periodo voluntario será hasta el cinco (5) del segundo mes siguiente o inmediato hábil posterior. De no hacerse efectiva la sanción en el período voluntario, se procederá a su recaudación por vía ejecutiva con recargos e intereses.

El pago voluntario conlleva una reducción del 20 % sobre la sanción. Si además se reconoce la responsabilidad, la reducción puede llegar al 40 % según el artículo 85 de la LOPDGDD, lo que es clave al evaluar opciones de no contestación.

Procedimiento de apercibimiento

Considerando la naturaleza de los hechos y los criterios establecidos en el artículo 83.2 del RGPD, la autoridad de control, previa audiencia al responsable o encargado del tratamiento, podrá dirigirles un apercibimiento y ordenarles que «adopten las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado».

Este procedimiento tendrá una duración máxima de seis (6) meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo, se producirá su caducidad y el archivo de actuaciones.

Procedimiento de reclamaciones transfronterizas

Este procedimiento se tramitará como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la Unión de la reclamación formulada ante la misma, cuando la AEPD tuviese la condición de «autoridad de control principal» según el artículo 56 del RGPD. La reclamación se regirá por lo establecido en el artículo 64, apartado 1, de la LOPDGDD y en los párrafos primero, tercero, cuarto y quinto del apartado 2 del mismo artículo.

* Nota: La autoridad de control en Cataluña es la Autoridad Catalana de Protección de Datos; en el País Vasco, la Agencia Vasca de Protección de Datos; y en Andalucía, el Consejo de Transparencia y Protección de Datos de Andalucía. Sus competencias se limitan al sector público autonómico. 

No se pierda nuestro podcast sobre el artículo

 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es