Publicamos interesante artículo de Dª. Victoria Hernández Turiel, abogada y politóloga. Especialista en derecho de nuevas tecnologías. Experta en protección de datos, comercio electrónico y propiedad intelectual e industrial.
La reclamación en materia de protección de datos, es la acción instada por un particular (afectado) ante el Organismo competente, tras haber visto vulnerados sus derechos a la protección de datos personales como consecuencia del tratamiento de sus datos llevado a cabo por una entidad concreta. A tal fin, puede reclamar el resarcimiento de los daños y/o perjuicios realmente padecidos.
En este sentido, el afectado tiene dos opciones, por un lado, reclamar ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos; o, por otro lado, en el supuesto de que el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el perjudicado podrá dirigirse al delegado de la entidad contra la que se reclame directamente, o solo en el caso de que decida no continuar con el procedimiento (por no ver que vaya a ser resarcido de forma satisfactoria, o acorde a sus intereses, por ejemplo) entonces podrá acudir ulteriormente a reclamar frente a la AEPD o autoridad autonómica de protección de datos correspondiente.
En consecuencia, se la atribuye una función especial al delegado en caso de reclamaciones efectuadas por los afectados como consecuencia del tratamiento de sus datos.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD, que sustituyó a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), es la que atribuye al delegado de protección de datos (en adelante DPO) una función especial en el caso de que haya denuncia o reclamación en materia de protección de datos, pues además de la tarea de asesoramiento también se le encomienda la organización interna del procedimiento y la participación en la toma de decisiones.
De esta manera, es posible reclamar la vulneración de derecho ante el delegado de protección de datos antes de acudir al procedimiento previsto ante la Agencia Española de Protección de Datos (AEPD), debiendo este comunicar al afectado la decisión que se hubiese adoptado en el plazo máximo de 2 meses.
Este trámite se encuentra regulado en el artículo 37.1 de la LOPDGDD, titulado “Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos”, que señala expresamente:
“1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de […] el afectado podrá, con carácter previo […] dirigirse al delegado de protección de datos de la entidad contra la que se reclame. En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación”.
Por otro lado, la Agencia recurre al DPO en caso de que reciba una denuncia, para que este responda al denunciante y ofrezca explicaciones a la Agencia (en el plazo de un mes), aunque esta última podrá decidir iniciar procedimiento sancionador si no le parecen adecuadas las justificaciones del DPO en relación a la vulneración del derecho alegada por el denunciante.
Dicho trámite anterior al procedimiento, y del cual depende que se inicie o no, es una suerte de procedimiento de mediación previa, que evita el procedimiento sancionador, que con la antigua Ley Orgánica de Protección de datos no existía.
Y ello es fundamental, dado que el DPO tiene la función de convencer al denunciante pues el decide en último término que se continúe el procedimiento o no, es decir, el DPO realiza una especie de tarea de mediación, y tiene sentido dicho trámite con el DPO, pues es el que realiza las evaluaciones de impacto así como lleva el control de los registros de tratamiento de datos de carácter personal, por lo que debe tener conocimiento absoluto de los motivos por los cuales se vulnera alguno de los derechos relativos a la protección de datos de carácter personal.
Esta función de apoyo por parte del DPO a la AEPD, se recoge en el artículo 37.2 de la LOPDGDD:
“2. Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes. Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación. […]”.
No obstante, si expirado el plazo de un mes el DPO no he remitido su respuesta, la AEPD continuará el procedimiento.
Por último, todo lo relativo al procedimiento en sí de reclamación en materia de protección de datos llevada a cabo ante la Agencia, se revisará en una entrada posterior del blog sobre la materia titulada “Reclamación en materia de protección de datos: El procedimiento ante la AEPD”.