Publicamos interesante artículo de Dª. Victoria Hernández Turiel, Abogada y Politóloga. Especialista en derecho de nuevas tecnologías. Experta en protección de datos, comercio electrónico y propiedad intelectual e industrial.
¿En qué consiste la reclamación ante la Agencia Española de Protección de Datos?
Es la acción llevada a cabo por un afectado ante el Organismo con competencias en la materia, a consecuencia de que se haya producido una lesión a sus derechos en protección de datos.
¿Qué opciones de reclamación tiene el afectado?
Recordemos que el afectado tiene dos opciones, reclamar directamente ante el Delegado de Protección de datos (DPO) sin acudir a la Agencia Española de Protección de Datos (AEPD), o iniciar directamente el procedimiento ante ésta última, tal y como se ilustró en un artículo precedente en este blog sobre la materia titulado “Reclamaciones en materia de Protección de Datos: solicitud ante la AEPD o directamente ante el DPO”.
¿Cuál es la forma de iniciación del procedimiento y duración?.
Cuando el procedimiento se refiera a la falta de atención de una solicitud de los derechos consignados en los artículos 15 – 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite. El plazo para resolver será de seis meses, desde que el acuerdo de admisión a trámite se haya notificado al reclamante, Cuando el objetivo del procedimiento sea la determinación de una posible infracción de lo establecido en el merito Reglamento y en la LOPD, se iniciará mediante acuerdo iniciado de oficio o a causa de una reclamación. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio.
Por último, el procedimiento también podrá ser tramitado tras la comunicación de la AEPD, por parte de la autoridad de control de otro Estado de la Unión Europea.
¿Dónde se encuentra recogido el procedimiento de reclamación?
El procedimiento de la Agencia Española de Protección de Datos viene establecido en el Título VIII de la LOPDGDD y en sus normas de desarrollo, y prevé una participación previa a la presentación de la denuncia, del DPO que resolverá en un plazo de 2 meses.
Además, tras la presentación de la denuncia el articulo 65.4 LOPDGDD establece que antes de resolver sobre la admisión a trámite de la reclamación, la AEPD podrá remitir la misma al DPO, o encargado de supervisión de códigos de conducta. No obstante, si no se ha designado DPO, o no se hubiera adherido al Código de Conducta de su entidad, entonces podrá remitírsela directamente el responsable o encargado, en este último caso se prevé que deberá responder en 1mes (último párrafo art 65.4).
Las disposiciones contenidas en los artículos 63 a 67 de la LOPDGGDD son las aplicables a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los casos en que la Agencia investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y en la presente ley orgánica.
¿Han de admitirse a trámite las denuncias presentadas?.
Afirmativo, para poder continuar, en su caso, con el procedimiento. La reclamación presentada ante la AEPD, serán evaluadas por esta última y, en su caso, deberán de ser admitidas a trámite. Pueden ser inadmitidas, cuando no se refieran a materias de protección de datos, carezcan de fundamento, sean abusivas o no aporten indicios de infracción. También, cuando el responsable del tratamiento, hubiera adoptado las medidas exigidas por la AEPD.
¿Cuáles son, a grandes rasgos, las fases de un procedimiento de reclamación o denuncia ante la Agencia Española de Protección de Datos?.
a) Fase de investigación previa de la AEPD tras la admisión a trámite de la reclamación?.
En cuanto a la fase de investigación, la AEPD desarrollará su actividad de investigación a través de las actuaciones previstas en dichos artículos y de los planes de auditoría preventivas. Las personas encargadas de llevar a cabo la investigación, serán los funcionarios de la Agencia Española de Protección de Datos o funcionarios ajenos a ella, pero habilitados expresamente por su Presidencia (se trata de un caso de apoderamiento a terceros por la AEPD).En definitiva, el artículo 57 de la LOPDGDD prevé la posibilidad de habilitación de funcionarios ajenos a la AEPD para realizar actividades de investigación, lo cual no requiere el consentimiento del titular del órgano ajeno.
Así mismo, el legislador se decanta en caso de actuaciones conjuntas de investigación entre varias autoridades de control europeas que se desarrollen en España, a la sumisión a la normativa española y reconoce el deber de secreto de las autoridades investigadoras incluso después del cese de sus funciones. Por ejemplo, en caso de que un equipo conjunto de varias autoridades europeas de protección de datos haga una inspección a Google, se someten a la ley española, o si viene a España un inspector lituano y se crea un equipo de investigación con inspectores de Lituania, Francia y España para visitar la sede de Telefónica, se someterán en su actuación de investigación a la ley española, por imperativo de la LOPDGDD.
Por lo tanto, si desean visitar un domicilio, como se encuentra protegido constitucionalmente, necesitarán obtener la autorización judicial correspondiente, pues ese es el procedimiento que se sigue en España en este tipo de casos, con independencia del procedimiento establecido en la legislación lituana o francesa.
Conviene destacar, que en el procedimiento ante la Agencia el denunciante no es interesado, salvo que alegue un interés porque su esfera de derechos se beneficie de la sanción que eventualmente se pueda imponer la sanción, destinándose el monto económico al tesoro público (es decir, ese montante económico, no se pone a disposición del interesado). Adicionalmente, la jurisprudencia también defiende que el DPO tampoco es interesado. De lo anterior se deriva que, en vía administrativa el afectado no es interesado, aunque se estable en el RGPD la reclamación en vía civil por daños y perjuicios, y aquí si es interesado, pues le permite en esta materia acudir a los Tribunales de Justicia.
Por ejemplo, si Telefónica da de alta a un ciudadano indebidamente en el fichero de morosos, y se le sanciona con 10.000 euros, dicha cantidad tendrá como paraderoel tesoro público. En consecuencia, no se paga al interesado, salvo que este acuda a la vía civil y se demuestre que le introdujeron mal en los ficheros de solvencia. En este caso, podrá reclamar una indemnización civil por daños y perjuicios y se le considerará interesado. En consecuencia, con el RGPD se regula la posibilidad de reclamación en vía civil por daños y perjuicios.
Por su parte, la ley prevé (artículo 52 LOPDGDD) la intermediación judicial para obtener información de los sistemas de telefonía o de servicios de la sociedad de la información recogidos en el art 52, lo cual supone una novedosa restricción a las funciones de la Agencia y que plantea incógnitas sobre si repercutirá en el desempeño ágil de las tareas de la Agencia, pues es el único órgano administrativo creado para proteger un derecho fundamental (art 18.4 de la CE). También establece el deber colaboración de algunas autoridades con ciertas funciones auxiliares, indicando el artículo 52 LOPDGDD:
“1. Las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los particulares estarán obligados a proporcionar a la Agencia Española de Protección de Datos los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad de investigación. Cuando la información contenga datos personales la comunicación de dichos datos estará amparada por lo dispuesto en el artículo 6.1 c) del Reglamento (UE) 2016/679”
En el apartado segundo, recalca el caso específico del deber de remitir información en el supuesto de las Administraciones tributarias y de la Seguridad Social. No obstante, la información se limitará a la que resulte necesaria para poder identificar inequívocamente contra quién debe dirigirse la actuación de la Agencia en los casos de creación de entramados societarios que dificulten el conocimiento directo del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la presente ley orgánica.
En línea con lo anterior, el apartado tercero enmarca esta potestad de investigación en aquellos supuestos en los que la Agencia no haya podido identificar, por otros medios, al presunto responsable de una conducta contraria al Reglamento Europeo o a la Ley Orgánica proyectada
En estos casos, la Agencia podrá recabar de los operadores información como la siguiente: El número de teléfono de origen de la llamada en el caso de que el mismo se hubiera ocultado, el nombre, número de documento identificativo y dirección del abonado o usuario registrado al que corresponda ese número de teléfono , la identificación de la dirección de protocolo de internet desde la que se hubiera llevado a cabo la conducta y la fecha y hora de su realización; o, la identificación de la dirección de protocolo de internet desde la que se creó la cuenta de correo y la fecha y hora en la que la misma fue creada.
En todo caso, el acceso a órganos judiciales se efectuará a través y por mediación del Consejo General del Poder Judicial (CGPJ), dado que en caso de actuación jurisdiccional de un tribunal de la que deriven problemas en materia protección datos, es competente el CGPJ como órgano del poder judicial y, si es gubernativo, (cuestiones de personal, o de seguridad) será competente la Agencia.
A modo de ejemplo, en el caso de que se denuncie la aparición en la vía pública de documentos judiciales y de la fiscalía por haberse depositados sin las medidas de seguridad correspondientes, si estuviesen relacionadas con un procedimiento concreto seria competente el CGPD, pero en ese caso es competente la AEPD que fue la que les sancionó en el supuesto comentado.
La AEPD desarrolla su actividad de investigación también a través de los planes de auditoría preventivas (artículo 54 LOPDGDD) los cuales suelen tener como objeto un sector concreto, pero pueden finalizar imponiendo directrices a un concreto responsable o encargado.
Asimismo, se incluye la posibilidad de que la Presidencia de la Agencia solicite la colaboración de Organismos de Supervisión de los Códigos de Conducta y de Resolución Extrajudicial de Conflictos (ADR) si los hubiere, para solicitar su colaboración en la elaboración de directrices generales o específicas que deriven de los planes de auditoría, en definitiva, de un plan de auditoría no se deduce en principio la imposición de sanciones.
b) Acuerdo de inicio del procedimiento sancionador.
En caso de que la denuncia o reclamación fuese admitida a trámite y tras las actuaciones de investigación efectuadas, la AEPD, considerase que existen indicios de comisión de infracción administrativa, acordará el oportuno inicio de procedimiento administrativo sancionador, en el que se determinan los hechos, persona contra la que se dirija el procedimiento, presunta infracción cometida (muy grave, grave o leve) y posible sanción a imponer.
Se lo concederá plazo de alegaciones al interesado.
c) Propuesta de resolución y resolución sancionadora.
Con posterioridad, la AEPD, valorará las alegaciones y las pruebas practicadas, emitiendo la oportuna propuesta de resolución concediendo nuevo trámite de audiencia.
Finalmente, se dictará resolución, que podrá ser recurrida bien en reposición obien directamente ante la Jurisdicción de lo Contencioso – Administrativo.
¿Podrán adoptarse medidas provisionales en cualquier momento del procedimiento?
Sí, tanto durante la realización de actuaciones de investigación como a lo largo de la fase de instrucción, podrán adoptarse las medidas necesarias para proteger el derecho fundamental a la protección de datos personales.