Esquemas | Protección de datos

La necesidad o no necesidad de una EIPD (Evaluación de impacto de protección de datos) tiene relación directa con la naturaleza de los datos que sean objeto de tratamiento, esto es, que el tratamiento entrañe un riesgo evidente para los derechos y libertades de las personas físicas titulares de los datos.

Del resultado de dicha evaluación dependerá que el responsable pueda iniciar la actividad de tratamiento o, en su defecto, deba consultar previamente a la autoridad de control (art. 35 y siguientes del RGPD) 

El procedimiento descrito en el artículo 64 de la LOPDGDD admite diferentes supuestos, no siendo el único de ellos la no atención de los derechos contemplados en el artículo 15 a 22 de la RGPD (acceso, rectificación, supresión, limitación, oposición, portabilidad, etc.).

Así pues, se incluyen también posibles infracciones de la precitada RGPD o la propia LOPDGDD o, incluso, por la comunicación de la autoridad de control de otro Estado miembro dirigida a la AEPD (Agencia Española de Protección de Datos) ante la existencia de un incumplimiento de la RGPD. 

La admisión a trámite del procedimiento por vulneración de la normativa de protección de datos, aparece regulada en el artículo 65 de nuestra LOPDGDD.

El presente esquema ofrece una visión general de los supuestos en los que no procederá la admisión a trámite, que podemos clasificar en:

Inadmisión directa:

• Al no versar sobre la materia de protección de datos (65.2).
• Sean reclamaciones sin fundamento (65.2).
• Sean reclamaciones abusivas (65.2).
• No existan suficientes indicios racionales sobre la existencia de una infracción (65.2).

Posible inadmisión (con la respectiva advertencia de la AEPD, art. 65.3 de LOPDGDD):

• Si el responsable o encargado de tratamiento haya aplicado las medidas pertinentes que pongan fin al incumplimiento.
• Si, además de aplicar las precitadas medidas, no se haya causado ningún perjuicio a los afectados (por la comisión de infracciones leves del artículo 74 de LOPDGDD).
• Si, tras aplicar las medidas, los derechos del afectado quedan plénamente garantizados. 

El artículo 66 de la LOPDGDD matiza una importante cautela que debe cumplir la AEPD (Agencia Española de Protección de Datos) previa a cualquier actuación, ya sea una investigación o el trámite de admisión de las reclamaciones por vulneración de la normativa de protección de datos, y que se plasma en la necesidad de establecer su propia competencia y el alcance de la misma. 

Por ello, y en caso de que tal competencia no tenga lugar, la AEPD deberá:

• Remitir las actuaciones a la autoridad de control competente (autoridad de control principal), notificando tal circunstancia a quien haya formulado la reclamación.
• El archivo provisional de la causa hasta que se resuelva la remisión a la autoridad competente. En cualquier caso, el artículo 60.8 del RGPD faculta que sea la propia AEPD la que dicte la resolución pertinente cuando la autoridad de control principal la rechace o desestime.  

El artículo 67 de la LOPDGDD indica las actuaciones previas que puede llevar a cabo la Agencias Española de Protección de Datos.

A este respecto, podemos afirmar que:

• Las actuaciones deben ser previas a la adopción de acuerdos y los procedimientos de admisión.
• Se debe establecer si las actuaciones están justificadas según los hechos o circunstancias planteados.
• El plazo máximo de esta fase no debe exceder los 12 meses, a contar desde la fecha de adopción de los acuerdos o procedimientos de admisión.

Una vez terminada la fase de actuaciones previas de investigación —que ya hemos comentado en otro esquema, artículo 67 de la LOPDGDD—, y cuando, según la AEPD, existan evidencias sobre la comisión de alguna infracción, se pasará al ejercicio de la potestad sancionadora (art. 68) que podemos resumir en los siguientes términos:

• Corresponderá a la presidencia de la Agencia Española de Protección de Datos dictar el acuerdo de inicio del procedimiento sancionador.
• En dicho acuerdo, se harán constar los hechos, identificación de la persona o entidad implicada contra la que se dirija el procedimiento, determinación de la fracción que se haya podido cometer y su correspondiente sanción.
• En caso de que la AEPD ostente la condición de autoridad de control según lo establecido en el artículo 60 de la RGPD, el inicio de acuerdo se regirá por lo dispuesto en el precitado artículo. 

En los procedimientos de los que pueda derivar una potencial sanción en materia de protección de datos, no es ajeno el establecimiento de medidas provisionales (art. 69 de la LOPDGDD) que permitan garantizar la salvaguardia e integridad de los datos objeto de infracción.

Sobre estas medidas, podemos afirmar que:

• Su objetivo, como ya hemos mencionado antes, es salvaguardar el derecho a la protección de datos del interesado.
• Las medidas deben regirse por los mismos criterios reguladores de cualquier procedimiento sancionador, esto es, deben estar motivadas, ser necesarias para la consecución del fin pretendido y proporcionales teniendo en cuenta las circunstancias del supuesto.
• Las medidas provisionales podrán iniciarse durante las actuaciones previas de investigación y una vez iniciado el procedimiento para el ejercicio de la potestad sancionadora (arts. 67 y 68 de la LOPDGDD respectivamente).
• Puede establecerse un bloqueo cautelar del tratamiento de datos según lo establecido en el artículo 66 del RGPD.
• La AEPD podrá ordenar a los responsables y encargados de tratamiento el bloqueo de datos y la cesación del tratamiento cuando por la continuación del mismo se pueda generar un grave menoscabo a los interesados.
• En los casos en los que NO se atiendan en el plazo correcto los derechos contenidos en los artículos 15 a 22 del RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones individualizadas automatizadas), la AEPD (previa reclamación, como es lógico) podrá acordar, en cualquier momento, la obligación de atender el derecho solicitado previa audiencia de responsable de tratamiento. Esta facultad especial podrá iniciarse, incluso, antes de la iniciación del procedimiento para el ejercicio de la potestad sancionadora.  

El régimen sancionador en materia de protección de datos se regula, de forma amplia, en los artículos 70 a 78 de la LOPDGDD. A partir de aquí, nos centraremos en tres aspectos: sujetos responsables, tipos de infracciones e interrupción de los plazos de prescripción.

Serán sujetos responsables (art. 70 LOPDGDD):

• Los responsables de tratamiento.
• Los encargados de tratamiento.
• Los representantes de los responsables o encargados de tratamiento NO establecidos en territorio de la UE.
• Las entidades de certificación.
• Las entidades acreditadas para la supervisión de los códigos de conducta.
• Es importante recordar que el delegado de protección de datos (DPO) NO está sujeto al presente régimen sancionador. 

Las sanciones contenidas en este régimen se clasifican como:

• Infracciones muy graves que prescriben a los 3 años (art. 72 de la LOPDGDD).
• Infracciones graves que prescriben a los 2 años (art. 73 de la LOPDGDD).
• Infracciones leves que prescriben en 1 año (art. 74 de la LOPDGDD).

los plazos de prescripción podrán interrumpirse si (art. 75 LOPDGDD):

• Se inicia el procedimiento sancionador con conocimiento del interesado. 
• Si el precitado expediente sancionador queda paralizado durante más de 6 meses por causas no imputables al infractor, se reiniciará el plazo de prescripción.
• La AEPD tiene la condición de autoridad de control y deba seguirse el procedimiento contenido en el artículo 60 de la RGPD, interrumpirá el plazo el conocimiento, por parte del interesado, del proyecto de acuerdo sometido a las autoridades de control.

En este caso debemos ceñirnos a lo contenido en el artículo 83 del RGPD que establece las «condiciones para la imposición de multas administrativas», que clasificaremos en:

Sanciones castigadas con multas administrativas de hasta un máximo de 10 millones de euros o de cuantía equivalente al 2 % del volumen de negocio total del ejercicio financiero anterior, optándose por la de mayor cuantía en materia de:

• Obligaciones de los responsables y encargados de tratamiento dispuestas en los artículos 8 de la RGPD (consentimiento de menores), 11 (tratamiento que no requiere identificación), 25 (protección desde el diseño y por defecto), 39 (funciones del delegado de protección de datos), 42 (mecanismos de certificación) y 43 (organismos de certificación).
• Obligaciones de los organismos de certificación dispuestas en los artículos 42 (mecanismos de certificación) y 43 (organismos de certificación).
• Obligaciones del organismo de supervisión según lo establecido en el artículo 41.4 de la RGPD (infracción de los códigos de conducta por parte de los responsables y encargados de tratamiento).

Sanciones castigadas con multas administrativas de hasta un máximo de 20 millones de euros o de cuantía equivalente al 4 % del volumen de negocio total del ejercicio financiero anterior, optándose por la de mayor cuantía en materia de:

• Principios básicos para el tratamiento, lo que incluye las condiciones para el consentimiento según lo dispuesto en los artículos 5 (principios relativos al tratamiento), 6 (licitud del tratamiento), 7 (condiciones para el tratamiento) y 9 (tratamiento de categorías especiales de datos personales).
• Los derechos de los interesados según lo establecido en los artículos 12 a 22, esto es, derechos de acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones individualizadas automatizadas.
• La transferencia de datos personales a un destinatario de un tercer país u organización internacional según lo establecido en los artículos 44 a 49.
• Obligaciones contenidas en el capítulo IX del RGPD, sobre Derecho de los Estados miembros.
• Incumplimientos de resoluciones o de limitaciones temporales o definitivas en el tratamiento de datos, así como la suspensión de los flujos de datos por parte de una autoridad de control según lo establecido en el artículo 58.2 o no facilitar el acceso a la información solicitada según el artículo 58.1.

Todas estas sanciones prescribirán en los siguientes plazos, acudiendo en este caso al art. 78 de la LOPDGDD que hace mención expresa «a las sanciones impuestas en aplicación del Reglamento (UE) 2016/679»:

• Sanciones por importe igual o inferior a 40.000 euros, prescribirán en el plazo de un año.
• Sanciones por importe comprendido entre 40.001 euros y 300.000, prescribirán a los dos años.
• Sanciones por importe superior a los 300.000 euros, prescribirán a los 3 años, siendo este el plazo establecido para las precitadas sanciones.

Los plazos de prescripción se interrumpirán por la iniciación del procedimiento de ejecución con conocimiento del interesado, reiniciándose el mismo plazo si el procedimiento se paraliza durante 6 meses por causas no imputables al infractor.  

El procedimiento de reutilización de documentos de naturaleza administrativa parte, como se indica en el esquema, del artículo 66.1 del la Ley 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas.

En el precitado artículo se mencionan los elementos que, de forma general, deben integrar una solicitud dirigida a la Administración. Además del nombre y apellidos del interesado, los hechos, razones y petición en que se fundamente la solicitud.

De forma más precisa, el esquema hace referencia a la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público. En su artículo 10 ya encontramos los requisitos específicos para solicitar la reutilización —y que deberán adaptarse a la forma explicada en el 66.1 de la ley 39/2015—:

• Identificar los documentos objeto de solicitud.
• Establecer para qué fines se solicita tal reutilización, ya sean comerciales o no comerciales.
• La solicitud pueden presentarla tanto personas físicas como jurídicas.

Una vez remitida la solicitud, el órgano competente tendrá un plazo para resolver de 20 días desde su recepción; si la solicitud tuviese un contenido complejo (por su propia naturaleza o por el volumen de información contenido en ella) el plazo podrá ampliarse otros 20 días.