¿Qué ocurre si hay una posible vulneración de la normativa sobre protección de datos?

Vulneración protección de datos

 

El Real Decreto-ley 5/2018 del 27 de julio de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, regula en su Capítulo III los procedimientos en caso de que exista una posible vulneración de la normativa sobre protección de datos.

Lo dispuesto en este Capítulo será aplicable cuando (i) un afectado reclame que no se ha atendido a su solicitud de derechos; y (ii) la Agencia Española de Protección de datos (AEPD) investigue una infracción sobre protección de datos.

Existen diferentes formas de iniciación del procedimiento:

  • Cuando el procedimiento se refiera exclusivamente a que no se ha atendido a una solicitud de ejercicio de derechos: se iniciará por “acuerdo de admisión a trámite” y hay 6 meses para resolver.
  • Cuando el procedimiento tenga su origen en cooperación entre autoridad de control principal y autoridades interesadas (situación transfronteriza), el procedimiento se iniciará por “proyecto de acuerdo de inicio”.
  • Cuando el procedimiento tenga por objeto una posible infracción, se iniciará mediante “acuerdo de inicio”. Este procedimiento puede iniciarse por dos vías:
    • consecuencia de una reclamación ante la AEPD, en este caso debe decidir con carácter previo su “admisión a trámite”;
    • adoptado por propia iniciativa de la AEPD.

Para decidir sobre si procede la “admisión a trámite” en procedimientos consecuencia de reclamaciones, la AEPD evaluará diferentes factores e inadmitirá las reclamaciones presentadas cuando:

a) no versen sobre cuestiones protección datos
b) carezcan manifiestamente de fundamento
c) sean abusivas
d) no aporten indicios racionales de existencia de infracción
e) el responsable o encargado de tratamiento, previa advertencia, hubiese adoptado medidas correctivas encaminadas a poner fin al posible incumplimiento y concurra alguna de estas circunstancias: a) no haya causado perjuicio al afectado, b) el derecho del afectado quede plenamente garantizado mediante la aplicación de medidas.

Antes de resolver “admisión a trámite” de una reclamación la AEPD podrá remitir al Delegado de Protección de Datos (DPO) a fin de que dé respuesta en un mes. También podrá remitir la reclamación al responsable o encargado de tratamiento si no hay DPO ni estuviese adherido a mecanismos de resolución extrajudicial de conflictos.

La decisión sobre admisión o inadmisión a trámite, o remisión a autoridad de control principal, debe notificarse al reclamante en el plazo de 3 meses. Si transcurrido plazo no hay notificación se entiende que prosigue la tramitación.
En estos procedimientos, la AEPD puede establecer una fase de “actuaciones previas de investigación”.

El objetivo es lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento. Estas actuaciones previas no podrán tener una duración superior a 12 meses.

Concluidas estas actuaciones de investigación, se podrá dictar “acuerdo de inicio de procedimiento” para el ejercicio de la potestad sancionadora. En donde se concretarán: hechos, identificación de persona o entidad contra al que dirigir el procedimiento, infracción que haya podido cometer y posible sanción

El procedimiento sancionador tendrá un plazo de duración máxima de 9 meses, a contar desde el “acuerdo de inicio” o “proyecto de acuerdo de inicio”.
Cada uno de los procesos pueden ser suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea (UE) o de una o varias autoridades de control, por el tiempo que medie entre la solicitud y el pronunciamiento.

¿Se pueden establecer medidas provisionales?

Durante las actuaciones previas de investigación o iniciado un procedimiento, la AEPD podrá acordar motivadamente medidas provisionales necesarias y proporcionadas para salvaguardar el derecho a la protección de datos.
Estas medidas pueden ser, por ejemplo:
a) el bloqueo cautelar de los datos: podrá ordenar a responsables o encargados el bloqueo y cesación del tratamiento o proceder a su inmovilización de los datos;
b) la obligación inmediata de atender un derecho solicitado, para los casos de reclamaciones sobre ejercicio de derechos, podrá mediante resolución motivada, obligar a atender el derecho solicitado.

 

Andrés Ruiz - Metricson

Artículo escrito por Andrés Ruiz Pérez

Abogado. Especialista en Privacidad y Propiedad Intelectual en Metricson

andres.ruiz@metricson.com

 

 

Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores y ayudas a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.

Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid
918 228 031

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla