¿Cómo se tramitan las reclamaciones por incumplimiento de las Administraciones públicas de la normativa de protección de datos?

La AEPD como autoridad administrativa independiente

El artículo 51 del RGPD dispone que cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes («autoridad de control») supervisar la aplicación del RGPD, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

En atención a dicho mandato se crearon las autoridades de protección de datos, de carácter público e independientes, que supervisan por medio de sus competencias de inspección el buen funcionamiento y la buena práctica del RGPD, y colaboran entre sí con ese fin. Asimismo, ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento General de Protección de Datos y las legislaciones nacionales pertinentes. Existirá al menos una en cada Estado miembro de la UE.

Los Estados miembros pueden establecer varias autoridades de control y, en esos casos, el Estado debe designar la autoridad que representará a las demás ante el Comité, y establecerá un mecanismo que garantice el cumplimiento por las demás de las normas relativas al mecanismo de coherencia del art. 63 que determina la obligación que tienen las autoridades de control de cooperar con la Comisión y con otras autoridades de control. 

En España, a nivel estatal encontramos la Agencia Española de Protección de Datos (AEPD) y a nivel autonómico:

• La Autoridad Catalana de Protección de Datos.
• La Agencia Vasca de Protección de Datos.
• El Consejo de Transparencia y Protección de Datos de Andalucía.

CUESTIÓN

¿Tienen las autoridades autonómicas de protección de datos atribuidas funciones en lo que se refiere al control de la aplicación del RGPD?

Sí, el artículo 57 de la LOPDGDD les atribuye, entre otras, la función de controlar la aplicación del RGPD, cuando se refiera a:

- Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente comunidad autónoma o de las entidades locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.

- Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración autonómica o local.

- Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos estatutos de autonomía.

La LOPDGDD en su artículo 44 establece que la Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.

CUESTIÓN

¿Cuál es la denominación oficial de la Agencia Española de Protección de Datos?

Su denominación oficial será «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente».

El apartado 3 del citado artículo dispone que: «La Agencia Española de Protección de Datos, el Consejo General del Poder Judicial y en su caso, la Fiscalía General del Estado, colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia».

Las funciones de la AEPD recogidas en el artículo 47 de la LOPDGDD serían la supervisión de la aplicación de la citada ley y del RGPD, y todas las que se atribuyen en el RGPD a la autoridad de control en sus artículos 57 y 58. Entre ellas podemos destacar la de tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control.

Además, debe facilitar la presentación de las reclamaciones, mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

Como autoridad de control, el artículo 58 del RGPD le atribuye los siguientes poderes correctivos:

• Dirigir una advertencia, a los responsables o encargados del tratamiento, cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el RGPD.
• Dirigir un apercibimiento, a los responsables o encargados del tratamiento, cuando las operaciones de tratamiento hayan infringido lo dispuesto en el RGPD.
• Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado.
• Ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a lo dispuesto en el RGPD, de una determinada manera y dentro de un plazo especificado cuando proceda.
• Ordenar al responsable del tratamiento que comunique las violaciones de la seguridad de los datos personales al interesado.
• Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
• Ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo al RGPD y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales según lo establecido en el RGPD.
• Retirar una certificación u ordenar al organismo de certificación que la retire cuando corresponda, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación.
• Imponer una multa administrativa cuando corresponda.
• Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

Las administraciones públicas como sujetos infractores de la normativa de protección de datos

El artículo 83 del RGPD recoge las condiciones generales para la imposición de multas administrativas por parte de la autoridad de control (que en el caso de España sería la AEPD), y en su apartado 7 prevé que cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

Por su parte, el artículo 77 de la LOPDGDD, dando cumplimiento al reglamento, establece el régimen aplicable a determinadas categorías de responsables o encargados del tratamiento cuando las mismas sean cometidas por los responsables o encargados de:

• Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
• Los órganos jurisdiccionales.
• La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración local.
• Los organismos públicos y entidades de derecho público vinculadas o dependientes de las Administraciones públicas.
• Las autoridades administrativas independientes.
• El Banco de España.
• Las corporaciones de derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
• Las fundaciones del sector público.
• Las universidades públicas.
• Los consorcios.
• Los grupos parlamentarios de las Cortes Generales y las asambleas legislativas autonómicas, así como los grupos políticos de las corporaciones locales.

La resolución establecerá las medidas que procede adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.

Dicha resolución debe notificarse:

• Al responsable o encargado.
• Al órgano del que dependa jerárquicamente.
• A los afectados que tuvieran la condición de interesados.

Además, cuando existan indicios suficientes, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Cuando las infracciones sean imputables a autoridades y directivos, y resulte acreditada la existencia de informes técnicos o recomendaciones para el tratamiento que no se hubiesen atendido, la resolución que imponga la sanción incluirá una amonestación con denominación del cargo responsable y ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.

A TENER EN CUENTA. El artículo 77 de la LOPDGDD ha sido modificado en su apartado segundo por la Ley 11/2023, de 8 de mayo, de transposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos.

Derecho a la tutela judicial efectiva por vulneración del derecho a la protección de datos

La resolución de la AEPD pone fin a la vía administrativa, abriéndose la posibilidad de plantear recurso de reposición ante la directora de la Agencia Española de Protección de Datos, o bien interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

El artículo 79 del RGPD recoge que independientemente de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control, todo interesado podrá hacer valer su derecho a la tutela judicial efectiva cuando considere que sus derechos han sido vulnerados como consecuencia de un tratamiento de sus datos personales. 

Serán competentes los tribunales del Estado miembro en el que el responsable o encargado del tratamiento tenga un establecimiento. Dispone el RGPD, en su art. 79.2, que «Alternativamente, tales acciones podrán ejercitarse ante los tribunales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable o el encargado sea una autoridad pública de un Estado miembro que actúe en ejercicio de sus poderes públicos».

Por su parte, el artículo 82 del RGPD regula el derecho a recibir del responsable o del encargado del tratamiento una indemnización por los daños y perjuicios sufridos a causa de una infracción en el tratamiento de los datos personales. Se establece también que las acciones judiciales tendentes a obtener una indemnización se presentarán ante los tribunales competentes con arreglo al derecho del Estado miembro que se indica en el artículo 79.2 RGPD, es decir, los tribunales del Estado miembro en el que el responsable o encargado del tratamiento tenga un establecimiento.

CUESTIONES

1. ¿Quién debe responder de los daños y perjuicios causados cuando una operación de tratamiento no cumple con lo dispuesto en el RGPD?

Debe responder cualquier responsable que participe en la operación de tratamiento que ocasione los daños y perjuicios causados, cuando la citada operación de tratamiento no cumpla con lo establecido en el RGPD.

2. ¿En alguna ocasión responde el encargado del tratamiento de los daños y perjuicios causados?

El encargado del tratamiento únicamente responderá cuando no haya cumplido con las obligaciones que recoge el RGPD específicamente para los encargados, o cuando no haya seguido las instrucciones legales del responsable.

3. Cuando resultan responsables de la indemnización tanto el responsable como el encargado del tratamiento, ¿quién debe hacer frente al pago de la indemnización?

En estos casos, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, para garantizar así la indemnización efectiva al interesado. Cuando uno de los dos haya abonado el total de la indemnización, tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización que les corresponda por su parte de responsabilidad.

Respecto a las indemnizaciones, podemos citar el auto del Tribunal Supremo, rec. 5073/2018, de 17 de enero de 2019, ECLI:ES:TS:2019:522A, que analiza si la infracción de la normativa de protección de datos personales por tratamiento inadecuado de tales datos conlleva, en todo caso, el reconocimiento del derecho a indemnización para el titular de los datos, concluyendo que:

«(...) el tratamiento ilícito dará lugar a indemnización cuando se sufra un perjuicio, lo que desplaza el problema a la determinación casuística de si se ha producido o no, en cada caso, un daño que, real y efectivo, merezca ser indemnizado. 4.º) Por añadidura, tampoco el actual reglamento general de protección de datos 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (no citado por la parte recurrente pero que puede ser traído a colación a efectos argumentativos), da pie para sostener la tesis del recurrente en los drásticos términos en que la plantea. Su artículo 82 —que regula el derecho a indemnización— dispone que "toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos". Una vez más, no dice que toda infracción del reglamento da lugar a indemnización, sino que toda persona que haya sufrido daños como consecuencia de una infracción tendrá derecho a ser indemnizado, de manera que para que la indemnización se declare habrá que verificar si ha habido —o no— daños, con una valoración necesariamente casuística».