Protección de datos: ¿Cómo actuar ante una denuncia de un usuario?

En efecto, uno de los derechos que se reconocen a los interesados en esta nueva regulación, es el derecho a plantear una reclamación ante la autoridad de control. En principio estas reclamaciones deben plantearse ante la Autoridad de control del país de residencia o del domicilio del afectado. Pero en un mundo cada vez más globalizado, sobre todo en materia de protección de datos, ya que debido al impacto de internet, la mayoría de tratamientos tienen carácter transfronterizo, la nueva regulación ha venido a establecer un sistema de ventanilla única.

De esta forma, se prevén mecanismos de cooperación y coherencia entre las autoridades de control de los diversos estados miembros para estos casos con componentes internacionales, ósea, reclamación planteada ante un estado miembro pero referida a un tratamiento de datos llevado a cabo por un responsable o encargado ubicado en otro estado. Como regla general podemos decir que las empresas y organizaciones están sometidas a la autoridad de control del lugar donde se halle establecido su establecimiento principal, aunque la reclamación se haya plantado ante una autoridad de control de otro país.

Es importante señalar que hay que informar a los afectados sobre este derecho que les asiste de poder acudir a la autoridad de control. Además, las autoridades de control están obligadas a facilitar formularios para que los interesados puedan presentar este tipo de reclamaciones.

Pero, ¿Sabemos cómo actuar frente a una reclamación de este tipo?

La nueva regulación de las autoridades de control y, entre ellas, de la Agencia Española de Protección de Datos, les atribuye amplios poderes tanto de investigación como correctivos.

En este sentido, las autoridades de control tienen potestad para:

– Ordenar al responsable del tratamiento o al encargado de tratamiento (o a su representante) que faciliten la información que requiera para el ejercicio de sus funciones
– Realizar investigaciones en forma de auditorías de protección de datos
– Revisar las certificaciones expedidas
– Notificar al responsable del tratamiento o al encargado de tratamiento las presuntas infracciones
– Obtener del responsable y del encargado de tratamiento, acceso a todos los datos personales y a toda la información necesaria para el ejercicio sus funciones
– Obtener el acceso a los locales del responsable o del encargado (incluidos equipo y medios de tratamiento) de acuerdo con las normas procesales

Asimismo, y en el ámbito sancionador, los poderes atribuidos a estas autoridades son muy amplios. Todos hemos oído hablar, por la magnitud de sus cuantías, de las nuevas multas que prevé el citado Reglamento que pueden llegar a la cifra de los 20.000.000 de Euros o al 4% del volumen de negocio. Sin embargo, en aquellos casos menos graves, estas multas pueden ser sustituidas por una advertencia o por un apercibimiento.

Además, de las sanciones administrativas, estas autoridades están facultadas para ordenar al responsable del fichero o al encargado de tratamiento, para que cese en la conducta infractora pudiendo, por ejemplo, ordenar la supresión o rectificación de los datos, o la limitación o el cese del tratamiento.

En suma, pues, debemos prepararnos bien para poder atender correctamente estas reclamaciones en materia de protección de datos pues, como vemos, las consecuencias para la empresa pueden llegar a ser muy graves.

EL CONSEJO DE LOS EXPERTOS

Antonio Linares Gutiérrez
Abogado Of Counsel
Fórum Jurídico Abogados

A la vista del nuevo Reglamento UE (RGPD), sobre protección de datos personales, más que saber cómo tenemos que actuar ante una denuncia, conviene conocer lo que debemos hacer antes de producirse esta denuncia. Precisamente este carácter proactivo y no reactivo es el que legislador europeo quiere impulsar. De esta forma, se incentiva al responsable del tratamiento de datos para que se anticipe al problema y pueda demostrar ante la AEPD que hizo todo lo que estuvo en su mano para proteger y salvaguardar los datos personales del denunciante.

Una vez recibida la denuncia, si previamente no se implantó una adecuada política de cumplimiento del RGPD, poco más podremos hacer que cooperar con la AEPD poniendo a su disposición cuantos registros, documentos e información solicite y, como no, encomendarnos a los conocimientos de un abogado especializado en esta materia.

Jordi Díaz José
Director del Área de Consultoría
JDA/SFAI

Cualquiera de quien Ud. pueda tener sus datos de carácter personal, si observa que no cumple con la normativa, puede denunciarle ante la Agencia Española de Protección de Datos. Denunciar es muy fácil y aún más barato; solo tiene el coste de un sello y no requiere tener abogado ni personarse en ningún procedimiento. Lo habitual es que se personen los inspectores de la AEPD en sus instalaciones o reciba un requerimiento de información sobre los hechos denunciados. En este punto, poco hay que hacer pues la infracción ya está hecha y denunciada. No obstruya la acción inspectora, o incurrirá en otra infracción. Al contrario, muéstrese colaborativo; puede ayudar a rebajar la posible sanción.

Jaume Feliu
Asesor LOPD
GD Legal

Son muchos los clientes que nos preguntan, sobre todo a raíz de la aplicación del Reglamento Europeo de Protección de Datos (RGPD), si la Autoridad de Control correspondiente, en este caso la Agencia Española de Protección de Datos (AEPD), está imponiendo sanciones.

Evidentemente inspecciones las hay, y sanciones también. De hecho, se pueden consultar las resoluciones en la propia web de la AEPD. Eso sí, en la mayoría de casos estas actuaciones vienen precedidas de una denuncia de un ciudadano, que puede ser un cliente, un usuario o un empleado y no de una actuación de oficio de la Autoridad de Control, que más bien está llevando a cabo una labor divulgativa y de concienciación mediante la publicación de guías de cumplimiento sobre la materia. En un caso de denuncia, deberemos atender al requerimiento que nos pueda hacer la AEPD quien puede pedir información o documentación previa o personarse en las instalaciones de la entidad denunciada previo aviso y siempre atendiendo a los plazos que requieran. Dado el importe de las sanciones (según la gravedad del caso) y el incremento de las mismas con el RGPD, es importante cerciorarnos de que cumplimos con todas las prescripciones en esta materia.