Formular una reclamación ante la autoridad de control es sencillo.
La reclamación ante la Agencia Española de Protección de Datos (AEPD) se puede presentar por carta certificada con acuse de recibo a C/ Jorge Juan, 6, 28.001 Madrid o a través de la sede electrónica de la AEPD, que pueden encontrar haciendo clic aquí.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) regula en sus artículos 63 a 69 los «procedimientos en caso de posible vulneración de la normativa de protección de datos» que comprenden, por un lado, la falta de atención y respuesta a una solicitud de ejercicio de derechos reconocidos en los artículos 15 a 22 del Reglamento General de Protección de Datos (RGPD) y, por otro, el procedimiento sancionador para el caso de posible infracción de dicha normativa.
Falta de atención a una solicitud de ejercicio de derechos
Si estamos en el caso de una falta de atención o respuesta a una solicitud de ejercicio de los derechos reconocidos en el RGPD, el interesado tiene que probar su efectivo ejercicio frente al responsable del tratamiento. Por su parte, el responsable del tratamiento debe probar que atendió dicha solicitud si quiere eludir su responsabilidad.
El responsable del tratamiento está obligado a informar al interesado sobre los medios disponibles para el ejercicio de derechos, que deberán ser fácilmente accesibles. Una opción viable es a través de correo electrónico, siempre que existan las adecuadas garantías para identificar al afectado. El fax no se considera un medio idóneo para el ejercicio de derechos, pues no permite acreditar que se haya producido la recepción por el responsable, siendo esta la exigencia legal para que se entienda ejercido el derecho (AEPD Resolución R/01746/2011).
Los derechos serán denegados por el responsable del tratamiento cuando la solicitud sea formulada por persona distinta del interesado y no se acredite que la misma actúa en representación de aquél. Los menores, entre 14 y 18 años, pueden ejercitar por ellos mismos los derechos reconocidos en los artículos 15 a 22 del RGPD y los derechos digitales reconocidos en el Título X de la LOPDGDD.
Cuando el interesado presente la solicitud por medios electrónicos, la información se le facilitará de forma electrónica, siempre que sea posible, a menos que el interesado solicite que se facilite de otro modo (artículo 12.3 del RGPD).
En caso de formular una reclamación ante la autoridad de control, esta tiene un plazo para resolverla de seis (6) meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido dicho plazo, sin resolución expresa, el reclamante puede considerar estimada su reclamación.
Si la reclamación es estimada, de forma expresa o por silencio administrativo, la autoridad de control apercibirá al responsable del tratamiento para que permita el ejercicio del derecho al reclamante. En atención a la gravedad del caso puede llegar a sancionarle con multas.
El procedimiento sancionador
Cuando el procedimiento tenga por objeto determinar la posible existencia de una infracción de la normativa, este se podrá iniciar de oficio o a instancia de parte (que es lo habitual).
La autoridad de control inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, resulten abusivas o no aporten indicios racionales de la existencia de una infracción.
Dicha autoridad también inadmitirá las reclamaciones formuladas cuando el responsable o encargado del tratamiento, previo requerimiento, hubiera adoptado medidas correctivas encaminadas a poner fin a su incumplimiento y concurra alguna de las siguientes circunstancias:
- Que no se haya causado perjuicio al afectado en el caso de las infracciones previstas en el artículo 74 de la LOPDGDD.
- Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas correctivas.
El procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado. Podrá existir una fase de actuaciones previas de investigación que se regirá por lo dispuesto en el artículo 67 de la LOPDGDD.
En el desarrollo de las actuaciones previas los servicios de inspección de la AEPD pueden acceder a la sede del inspeccionado y a aquellas instalaciones donde se realicen las actividades de tratamiento. El responsable del tratamiento está obligado a permitir el acceso a los locales en los que se hallen los ficheros y los equipos informáticos, previa exhibición por el funcionario actuante de la autorización expedida por la Presidencia de la AEPD. Si el local tiene la consideración legal de domicilio, la labor inspectora debe ajustarse a las reglas que garantizan su inviolabilidad. La obstrucción al ejercicio de la función inspectora constituye una infracción muy grave del artículo 72.1.o de la LOPDGDD.
Finalizada la fase de investigación, si procede, se dictará el acuerdo de iniciación del procedimiento sancionador, en el que se concretarán los hechos, la identidad de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y la propuesta de sanción, todo ello sin perjuicio de las acciones ejercitables ante los tribunales de justicia contempladas en el artículo 79 del RGPD.
Transcurridos nueve (9) meses desde la fecha del acuerdo de iniciación, sin que se haya notificado resolución expresa al interesado, se producirá la caducidad del procedimiento y el archivo de las actuaciones. En dicho cómputo, se tendrán en cuenta las interrupciones por causas imputables al interesado. Si la infracción no ha prescrito cabría la apertura de un nuevo procedimiento sancionador, al no existir un pronunciamiento sobre el fondo del asunto.
Iniciado el procedimiento, de conformidad con el artículo 82 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, los interesados tendrán un plazo no inferior a diez días ni superior a quince días para presentar alegaciones, documentos o informaciones que estimen convenientes, proponiendo las pruebas de las que pretendan valerse.
Recibidas las alegaciones, o transcurrido el plazo al efecto concedido sin que se hayan formulado, el órgano instructor podrá acordar la apertura de un período de prueba por un plazo no superior a treinta días ni inferior a diez días. El acuerdo debe notificarse a los interesados y en él se podrá rechazar motivadamente la práctica de aquellas pruebas que se consideren improcedentes de acuerdo con el artículo 77.3 de la Ley 39/2015. En cuanto a la práctica de la prueba habrá de estarse a lo indicado por los artículos 77 y 78 de dicha ley.
Concluida la instrucción del procedimiento, se dictará la resolución del expediente, previa propuesta por parte del instructor. La resolución hará mención a los hechos probados y su exacta calificación jurídica, la infracción cometida, la persona responsable y la sanción propuesta, así como las medidas provisionales adoptadas, o bien contendrá la declaración de no existencia de responsabilidad.
Antes de dictar resolución, el órgano competente para resolver podrá decidir, mediante acuerdo motivado, la realización de las actuaciones complementarias que considere indispensables para resolver el procedimiento. El acuerdo de realización de actuaciones complementarias se notificará a los interesados, concediéndoseles un plazo máximo de siete días para que formulen alegaciones. Las actuaciones complementarias deben practicarse en un plazo no superior a quince días. En todo caso, el plazo para resolver el procedimiento queda suspendido hasta la terminación de estas actuaciones complementarias.
Si el procedimiento se inició como consecuencia de la denuncia de un afectado, la resolución le será notificada. En el caso de que la resolución sea sancionadora, el interesado tiene derecho a reclamar una indemnización por daños y perjuicios ante el órgano judicial competente.
La resolución dictada en el procedimiento pone fin a la vía administrativa. Frente a la misma caben dos opciones: la interposición de recurso potestativo de reposición, en el plazo de un mes a contar desde el día siguiente a la notificación de la resolución, o de recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional en el plazo de dos meses a contar desde el día siguiente a la notificación de la resolución o de la contestación al recurso potestativo de reposición.
Si el procedimiento concluye con una sanción, y decide no recurrirla, se iniciará el periodo voluntario para el pago. Si recibe la notificación entre los días uno y quince de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día veinte del mes siguiente o inmediato hábil posterior. Si recibe la notificación entre los días dieciséis y último de cada mes, ambos inclusive, el plazo del pago en periodo voluntario será hasta el cinco del segundo mes siguiente o inmediato hábil posterior. En el caso de no hacerse efectiva la sanción en el período voluntario, se procederá a su recaudación en período ejecutivo con recargos e intereses.
El reconocimiento de la infracción, materializado con el pago voluntario, supone la reducción del 20 % sobre el importe de la sanción, algo a tener muy en cuenta cuando no hay razón a discutirla.
Procedimiento de reclamaciones transfronterizas
El procedimiento se tramitará como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la Unión de la reclamación formulada ante la misma, cuando la AEPD tuviese la condición de “autoridad de control principal” según el artículo 56 del RGPD. En tales casos, la reclamación se regirá por lo establecido en el artículo 64 apartado 1 de la LOPDGDD y en los párrafos primero, tercero, cuarto y quinto del apartado 2 del mencionado artículo.
La importancia de respetar escrupulosamente el procedimiento
Estoy seguro que recordarán el caso de Cristina Cifuentes (expresidenta de la comunidad de Madrid) sustrayendo unas cremas en un supermercado Eroski.
Como consecuencia de aquella filtración se sancionó a Cecosa Hipermercados, S.L. del grupo Eroski con dos sanciones económicas: una de 100.000 € por haber custodiado indebidamente las imágenes y otra de 50.000 € por la recopilación y el almacenamiento de imágenes previas de autores de hurtos obtenidas en supermercados del grupo para impedirles el acceso a sus establecimientos (pueden consultar la resolución de la AEPD haciendo clic aquí).
Tiempo después, la Audiencia Nacional anuló ambas sanciones, al entender que no se habían seguido las normas establecidas para el procedimiento sancionador, cuyos principios y garantías esenciales «han sido vulneradas, lo que determina la nulidad de la resolución», en concreto, se entienden infringidos los derechos de defensa, a ser informado y a utilizar los medios de prueba adecuados para la defensa del acusado (pueden consultar la sentencia haciendo clic aquí). Aquellos errores de la AEPD en la tramitación del procedimiento sancionador sirvieron para eludir el pago de las sanciones.
—
* La autoridad de control en Cataluña es la Autoridad Catalana de Protección de Datos; en el País Vasco, la Agencia Vasca de Protección de Datos; y en Andalucía, el Consejo de Transparencia y Protección de Datos de Andalucía.
