guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Derechos de defensa (Protección de Da...

Derechos de defensa (Protección de Datos)

En virtud del derecho de defensa, cualquier interesado que considere que se han vulnerado sus derechos en el tratamiento de sus datos personales, podrá presentar una reclamación ante la autoridad de control. Ésta decidirá al respecto y podrá imponer al responsable o encargado del tratamiento la obligación de indemnizar al afectado.

Protección de datos

¿Qué reclamaciones se pueden presentar ante la autoridad de control?

A tenor del artículo 77 del Reglamento UE 2016/679, de 27 de abril de 2016 (en adelante, RGPD), los interesados podrán presentar una reclamación ante una autoridad de control si consideran que sus datos de carácter personal están siendo objeto de un tratamiento que no respeta los preceptos del citado Reglamento.

En concreto, el ejercicio de estos derechos de defensa, se presentará cuando se vulneren el resto de derechos que el propio RGPD reconoce. El RGPD no entra a detallar los procedimientos a seguir internamente por las autoridades de control, pero sí lo hace la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que dedica su Título VIII a los procedimientos tramitados por la Agencia Española de Protección de Datos (AEPD) en caso de posible vulneración de la normativa sobre protección de datos.

Estos procedimientos se seguirán cuando un afectado reclame la falta de atención del ejercicio de sus derechos o cuando se investigue la existencia de una posible infracción del RGPD y de la LOPDGDD.

Si la autoridad de control no tramita la reclamación o no se obtiene respuesta a una reclamación presentada en el plazo de tres meses, la persona física o jurídica interesada tendrá derecho a tutela judicial efectiva. Esta acción deberá ejercitarse ante los tribunales del Estado Miembro en que esté establecida dicha autoridad de control (art. 78 del RGPD). Con nuestra legislación nacional actual, es posible interponer un recurso de reposición previo a la interposición del recursocontencioso-administrativo. Estas acciones se podrán entablar del mismo modo ante el responsable o el encargado del tratamiento (art. 79 del RGPD). En cualquiera de los casos analizados previamente, siempre se podrá ejercitar cualquier otro recurso administrativo, acción judicial o extrajudicial que esté disponible.

Existen entidades entre cuyos objetivos se encuentra la persecución del interés público, y dentro de este, la protección de los derechos y libertades de los interesados en materia de protección de datos. Los interesados podrán otorgar a estas entidades un mandato para la presentación de reclamaciones y ejercicios de derechos en su nombre. En algunas ocasiones, se pueden dar una duplicidad de procedimientos entre diferentes Estados Miembros, por lo que los Tribunales de los diferentes países tomarán las medidas a su alcance para suspender el procedimiento que corresponda (art. 81 del RGPD).

¿Cómo se inicia el procedimiento de reclamación?

Por lo que se refiere al inicio del procedimiento hay que distinguir entre si tiene por objeto una reclamación relativa a la falta de atención de la solicitud de ejercicio de derechos o sobre la existencia de una posible infracción de la normativa sobre protección de datos, el RGPD o la LOPDGDD.

En el primer caso, se iniciará mediante un acuerdo de admisión a trámite, lo que implica que la Agencia Española de Protección de Datos evalúe su admisibilidad. En este sentido, una reclamación será inadmitida si no versa sobre cuestiones de protección de datos personales, carece manifiestamente de fundamento, es abusivas o no aporta indicios racionales de la existencia de una infracción, y podrá ser inadmitida si el responsable o el encargado del tratamiento hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos, siempre que no se haya causado perjuicio al afectado o el derecho del afectado quede plenamente garantizado mediante la aplicación de las correspondientes medidas.

En este caso, el plazo para resolver el procedimiento será de seis meses, que computan desde la fecha en que se haya notificado al reclamante el acuerdo de admisión a trámite. Si este plazo transcurre sin noticias para el interesado, podrá considerar estimada su reclamación.

Además, la Agencia Española de Protección de Datos podrá, antes de resolver sobre la admisión, remitir la reclamación al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta.

En el segundo caso, el procedimiento se iniciará mediante acuerdo de inicio adoptado por propia iniciativa de la Agencia Española de Protección de Datos o como consecuencia de reclamación. En este último caso, la Agencia evaluará la admisibilidad de la reclamación en los términos ya indicados.

La duración máxima del procedimiento es de nueve meses, que se contarán desde la fecha del acuerdo de inicio, y una vez transcurrido el mismo se producirá su caducidad, lo que implicará el archivo de las actuaciones.

¿Cuáles son las actuaciones previas de investigación y acuerdo de inicio del procedimiento sancionador?

Con la finalidad de estas actuaciones previas es poder obtener más información para determinar los hechos y las circunstancias que justifican la tramitación del procedimiento, una vez que la reclamación haya sido admitida a trámite y antes de que se adopte el acuerdo de inicio del procedimiento, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación.

La duración de las actuaciones previas de investigación no podrá ser superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia Española de Protección de Datos actúe por propia iniciativa.

En el desarrollo de las actuaciones previas, los inspectores de la Agencia Española de Protección de Datos realizar visitas de inspección, en los locales o sede del inspeccionado, o donde se encuentren ubicados los ficheros, en su caso, también pueden recabar cuantas informaciones, documentos y datos precisen, inspeccionar los equipos físicos y lógicos, así como requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del fichero o ficheros sujetos a investigación.

Una vez concluidas, si las hubiere, las actuaciones previas de investigación, y si procede, la Presidencia de la Agencia Española de Protección de Datos dictará el acuerdo de inicio del procedimiento sancionador. En este acuerdo de inicio se concretarán los hechos, la identificación del presunto responsable, la infracción que hubiera podido cometerse y su posible sanción.

¿Cuáles son las medidas provisionales y de garantía de los derechos?

Para salvaguardar el derecho fundamental a la protección de datos, la Agencia Española de Protección de Datos podrá, durante la realización de las actuaciones previas de investigación o iniciado un procedimiento sancionador, acordar, siempre que se fundamente, medidas provisionales necesarias y proporcionadas, tales como el bloqueo cautelar de los datos o la obligación de atender de inmediato las solicitudes de ejercicio de derechos por los interesados.

Igualmente, podrá ordenar a los responsables y encargados del tratamiento el bloqueo de los datos y la cesación del tratamiento si considera que la continuación del tratamiento de los datos personales, su comunicación o transferencia internacional dará lugar a una vulneración grave del derecho a la protección de datos personales.

Si se incumple con el mandato de la Agencia, esta podrá proceder a la inmovilización del tratamiento de los datos personales.

Y si la reclamación se refiere, en particular, a la falta de atención en plazo de los derechos del interesado, la Agencia Española de Protección de Datos "podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento la obligación de atender el derecho solicitado", tal como se indica en la LOPDGDD.

Los interesados cuentan con el derecho de indemnización por parte del responsable o encargado que les haya causado el daño o el perjuicio material o no material. Estos daños podrían ser la pérdida de control sobre los datos personales o la limitación de sus derechos, discriminación, pérdida económica, daño reputacional, pérdida de confidencialidad de datos personales protegidos por el secreto profesional u otras desventajas económicas o sociales (considerandos 75 y 85 del RGPD). En este contexto, la carga de la prueba recaerá sobre el responsable y el encargado, quiénes deberán demostrar que no han sido responsables de la ocurrencia del hecho que originó el daño. El responsable siempre responderá del daño, si bien el encargado del tratamiento únicamente cuando no haya cumplido con sus obligaciones específicas, o haya actuado sin tener en cuenta las instrucciones del responsable. En el caso de la existencia de varios responsables o encargados en el tratamiento, todos ellos serán considerados responsables de la totalidad de los daños producidos, si bien posteriormente podrán reclamarse la cantidad proporcional en función de la responsabilidad de cada uno de ellos.

Recuerde que…

  • Cualquier interesado que considere que se han vulnerado sus derechos en el tratamiento de sus datos personales podrá presentar reclamación ante la autoridad de control.
  • El pronunciamiento o silencio de la autoridad de control será susceptible de recurso ante los Tribunales de lo Contencioso-Administrativo.
  • La defensa en materia de protección de datos podrá ejercitarse personalmente o a través de entidades dedicadas a la defensa de los derechos y libertades en materia de protección de datos.
  • El encargado o responsable del tratamiento podrá ser obligado a indemnizar al afectado por los daños y perjuicios causados.

© LA LEY Soluciones Legales, S.A.

Aviso legal
Política de privacidad
Política de cookies
RSC y Medioambiente
Gestionar cookies
Los productos que se integran en un paquete comercial, conjuntamente con una Base de datos y/o una publicación, pueden ser adquiridos también de forma individual. Puede obtener las condiciones comerciales aplicables a la venta separada de estos productos llamando al 91 903 90 27. En el caso de publicaciones en papel o digitales o productos de e-learning, puede también consultar estos precios en Tienda LA LEY
Subir