En este artículo, trataré de explicarles los distintos procedimientos frente a una autoridad de control previstos por la legislación de protección de datos:
- Falta de atención y respuesta a una solicitud de ejercicio de derechos.
- Posible vulneración de la normativa de protección de datos.
- Procedimiento de apercibimiento.
- Procedimiento de reclamaciones transfronterizas
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) regula en sus artículos 63 a 69 los «procedimientos en caso de posible vulneración de la normativa de protección de datos» que comprenden, por un lado, la falta de atención y respuesta a una solicitud de ejercicio de derechos reconocidos en los artículos 15 a 22 del Reglamento General de Protección de Datos (RGPD) y, por otro, el procedimiento sancionador para el caso de posible infracción de dicha normativa.
A su vez, la Ley 11/2023, de 8 de mayo, de trasposición de directivas de la Unión Europea modifica el artículo 64 de la LOPDGDD para introducir el procedimiento de apercibimiento.
Falta de atención y respuesta a una solicitud de ejercicio de derechos
Se regula en el artículo 64, apartado 1, de la LOPDGDD.
Cuando el procedimiento se refiera exclusivamente a la falta de atención y respuesta de una solicitud de ejercicio de derechos reconocidos en los artículos 15 a 22 del RGPD, esto es, los derechos de acceso, rectificación, oposición, supresión (derecho al olvido), limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas, el interesado tendrá que probar su efectivo ejercicio frente al responsable del tratamiento y este tendrá que probar que atendió dicha solicitud para eludir su responsabilidad.
El responsable del tratamiento está obligado a informar al interesado acerca de los medios que están a su disposición para el ejercicio de los referidos derechos que serán fácilmente accesibles. Una opción puede ser a través del correo electrónico, siempre que existan las adecuadas garantías para identificar al interesado. El fax no se considera un medio idóneo para el ejercicio de derechos, pues no permite acreditar que se haya producido la recepción por el responsable, siendo esta la exigencia legal para que se entienda ejercido el derecho (AEPD Resolución R/01746/2011).
Cualquiera de los derechos reconocidos en los artículos 15 a 22 del RGPD serán denegados por el responsable del tratamiento cuando la solicitud sea formulada por persona distinta del interesado y no se acredite que la misma actúa en representación de aquel. Los menores entre 14 y 18 años pueden ejercitar por ellos mismos dichos derechos y los derechos digitales del Título X de la LOPDGDD.
Cuando el interesado presente la solicitud por medios electrónicos, la información se le facilitará por los mismos medios, siempre que sea posible, a menos que el interesado solicite que se le facilite por otros medios (art. 12.3 del RGPD).
De formularse una reclamación ante la AEPD por falta de atención y respuesta a una solicitud de ejercicio de derechos, dicha autoridad examinará la misma para determinar si es admitida a trámite o no. La AEPD inadmitirá las reclamaciones presentadas que no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, sean abusivas o, en su caso, no aporten indicios racionales de la existencia de una infracción.
También inadmitirá las reclamaciones formuladas cuando el responsable o encargado del tratamiento, previo requerimiento de la AEPD, hubieran adoptado las medidas correctivas oportunas, encaminadas a poner fin a su incumplimiento, y concurra alguna de las siguientes circunstancias:
- Que no se haya causado perjuicio al interesado en el caso de las infracciones previstas en el artículo 74 de la LOPDGDD.
- Que el derecho del afectado que plenamente garantizado mediante la aplicación de las medidas.
Si procede su admisión, la AEPD tiene un plazo de seis meses para resolverla, a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, sin resolución expresa, el reclamante puede considerar estimada su reclamación.
Si la reclamación es estimada, de forma expresa, la autoridad de control requerirá al responsable del tratamiento para que atienda la solicitud del interesado. El plazo que se concede al responsable o encargado del tratamiento para responder a la solicitud del interesado es, generalmente, de diez días. El incumplimiento de la resolución podría comportar la comisión de la infracción considerada en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdo con el artículo 58.2 del RGPD.
Posible vulneración de la normativa de protección de datos
Cuando el procedimiento tenga por objeto determinar la posible existencia de una infracción de la normativa de protección de datos, éste se iniciará mediante acuerdo de inicio, adoptado por iniciativa propia o como consecuencia de reclamación, que le será notificado al interesado.
La autoridad de control inadmitirá las reclamaciones que no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, resulten abusivas o no aporten indicios racionales de la existencia de una infracción.
Dicha autoridad también inadmitirá las reclamaciones formuladas cuando el responsable o encargado del tratamiento, previo requerimiento, hubiere adoptado medidas correctivas encaminadas a poner fin a su incumplimiento y concurra alguna de las siguientes circunstancias:
- Que no se haya causado perjuicio alguno al afectado, en el caso de las infracciones previstas en el artículo 74 de la LOPDGDD.
- Que el derecho del afectado esté garantizado mediante la aplicación de las medidas correctivas.
Para una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento podrá existir una fase de actuaciones previas de investigación que se regirá por lo dispuesto en el artículo 67 de la LOPDGDD. Dichas actuaciones previas tendrán una duración máxima de dieciocho (18) meses a contar desde la fecha del acuerdo de admisión a trámite o desde la fecha del acuerdo por el que se decida su iniciación cuando la AEPD actúe por propia iniciativa.
En el desarrollo de las actuaciones previas, los servicios de inspección de la AEPD pueden acceder a la sede del inspeccionado y a aquellas instalaciones donde se realicen las actividades de tratamiento. El responsable del tratamiento está obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos, previa exhibición por el funcionario actuante de la autorización expedida por la Presidencia de la AEPD. Si el local tiene la consideración legal de domicilio, la labor inspectora debe ajustarse a las reglas que garantizan su inviolabilidad. La obstrucción al ejercicio de la función inspectora constituye una infracción muy grave del artículo 72.1.o de la LOPDGDD.
Antes de resolver sobre la admisión a trámite de la reclamación, la autoridad de control podrá remitir la misma al delegado de protección de datos que hubiere designado el responsable o encargado del tratamiento, que tendrá el plazo de un mes para responder. Igualmente, podrá remitir la reclamación al responsable o encargado del tratamiento si no se hubiera designado un delegado de protección de datos. Si éstos demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable, la AEPD podrá inadmitir a trámite la reclamación.
Finalizada la fase de investigación, si procede, se dictará el acuerdo de iniciación del procedimiento sancionador, en el que se concretarán los hechos, la identidad de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y la propuesta de sanción, todo ello sin perjuicio de las acciones ejercitables ante los tribunales de justicia contempladas en el artículo 79 del RGPD.
La decisión sobre la admisión o la inadmisión de la reclamación deberá notificarse al reclamante en el plazo de tres (3) meses, a contar desde la fecha de presentación de la reclamación. Si transcurrido ese plazo no se produjera la notificación se entenderá que prosigue el procedimiento, sin perjuicio de que la autoridad de control puede archivarla posteriormente.
Transcurridos doce (12) meses desde la fecha del acuerdo de iniciación, sin que se haya notificado una resolución expresa al interesado, se producirá la caducidad del procedimiento y el archivo de las actuaciones. En dicho cómputo, se tendrán en cuenta las interrupciones por causas imputables al interesado. Si la infracción no ha prescrito cabría la apertura de un nuevo procedimiento sancionador, al no existir un pronunciamiento sobre el fondo del asunto.
Iniciado el procedimiento, de conformidad con el artículo 82 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados tienen un plazo no inferior a diez (10) días ni superior a quince (15) días para presentar las alegaciones y los documentos que estimen pertinentes, proponiendo las pruebas de las que pretendan valerse.
En función de las pruebas interesadas, el órgano instructor podrá acordar la apertura de un período de prueba, cuya duración mínima será de diez (10) días con un máximo de treinta (30) días. El acuerdo deberá notificarse a los interesados y en él se podrá rechazar motivadamente la práctica de aquellas pruebas que se consideren improcedentes de acuerdo con el artículo 77 punto 3 de la Ley 39/2015.
Antes de la resolución, el órgano competente podrá decidir, mediante acuerdo motivado, la realización de actuaciones complementarias. Los interesados tendrán un plazo máximo de siete (7) días para formular alegaciones. Las actuaciones complementarias deben practicarse en un plazo no superior a quince (15) días. El plazo para resolver el procedimiento quedará suspendido hasta la terminación de las actuaciones complementarias.
Concluida la fase de instrucción del procedimiento, el Director/a de la autoridad de control dictará una resolución expresa y motivada, que hará mención a los hechos declarados probados, la infracción cometida, la persona responsable, la sanción impuesta y las medidas provisionales adoptadas. En su defecto, contendrá una declaración de no existencia de responsabilidad.
Si el procedimiento sancionador se inició como consecuencia de la reclamación de un afectado, la resolución le será notificada. El interesado tiene derecho a reclamar una indemnización por daños y perjuicios ante el órgano judicial competente, si bien deberá acreditar el daño y el nexo causal entre éste y la infracción.
La resolución dictada en el procedimiento pone fin a la vía administrativa. Frente a la misma caben dos opciones:
- Recurso potestativo de reposición, en el plazo de un (1) mes a contar desde el día siguiente a la notificación de la resolución.
- Recurso contencioso-administrativo ante la Audiencia Nacional en el plazo de dos (2) meses a contar desde el día siguiente a la notificación de la resolución o, en su caso, de la contestación al recurso potestativo de reposición.
Cabe decir que el reclamante no tiene legitimación para recurrir, ante los tribunales del orden de lo contencioso-administrativo, la inadmisión a trámite de su reclamación por la AEPD ni para solicitar que impongan la sanción que la AEPD no quiso imponer. Como esto lo expliqué en otro artículo –que dejo enlazado aquí— a él me remito.
Si el procedimiento sancionador concluye con una multa económica y decide no recurrirla, se iniciará el periodo voluntario para el pago. Si recibe la notificación entre los días uno y quince de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día veinte del mes siguiente o inmediato hábil posterior. Si recibe la notificación entre los días dieciséis y último de cada mes, ambos inclusive, el plazo del pago en periodo voluntario será hasta el cinco del segundo mes siguiente o inmediato hábil posterior. De no hacerse efectiva la sanción en el período voluntario, se procederá a su recaudación por vía ejecutiva con recargos e intereses.
El reconocimiento de la infracción, materializado con el pago voluntario, supone la reducción del 20 % sobre el importe de la sanción, algo a tener muy en cuenta cuando no hay razón a discutirla.
Procedimiento de apercibimiento
En atención a la naturaleza de los hechos y teniendo en cuenta los criterios establecidos en el artículo 83.2 del RGPD, la autoridad de control, previa audiencia al responsable o encargado del tratamiento, podrá dirigirles un apercibimiento y ordenarles que «adopten las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado».
Este procedimiento tendrá una duración máxima de seis (6) meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y el archivo de actuaciones.
Procedimiento de reclamaciones transfronterizas
Este procedimiento se tramitará como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la Unión de la reclamación formulada ante la misma, cuando la AEPD tuviese la condición de «autoridad de control principal» según el artículo 56 del RGPD. En tales casos, la reclamación se regirá por lo establecido en el artículo 64 apartado 1 de la LOPDGDD y en los párrafos primero, tercero, cuarto y quinto del apartado 2 del mencionado artículo.
—
* La autoridad de control en Cataluña es la Autoridad Catalana de Protección de Datos; en el País Vasco, la Agencia Vasca de Protección de Datos; y en Andalucía, el Consejo de Transparencia y Protección de Datos de Andalucía. Solo tienen competencias cuando se ve afectado el sector público.