Denunciar en la AEPD: ¿Cómo funciona?
Denunciar en la AEPD (Agencia Española de Protección de Datos) es posible siempre y cuando un interesado tenga pruebas o indicios de un incumplimiento o infracción de la ley de protección de datos por parte de un responsable del tratamiento de sus datos personales.
Para ello, el interesado deberá respetar el procedimiento establecido por la normativa en materia de protección de datos vigente.
¿Qué se puede denunciar en la AEPD?
La AEPD protege los derechos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Este deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD) y confiere a los interesados el derecho de acceso, rectificación, limitación, oposición, supresión (“derecho al olvido”), portabilidad y oposición al tratamiento de decisiones automatizadas.
Procedimiento a seguir
Cuando un interesado considere que cualquier de estos derechos no han sido respetado por el responsable del tratamiento de sus datos personales (o en algunos casos al encargado del tratamiento que atenderá la solicitud por cuenta del responsable) deberá en primer lugar dirigirse al responsable por un medio que permita acreditarlo y ejercerlos.
Cuando un responsable del tratamiento de datos reciba una solicitud de ejercicio de derechos por parte de un interesado dispondrá del plazo de un mes. A contar desde la recepción de la solicitud, para atender la misma y dar respuesta al interesado.
En el caso de que se trate de una solicitud especialmente compleja, podrá extenderse este plazo al de dos meses. Debiendo el responsable del tratamiento comunicar esta ampliación dentro del primer mes al interesado.
Si el responsable no responde o no atiende a su solicitud en el plazo establecido o si el interesado considera que la respuesta no ha satisfecho sus pretensiones, será cuando pueda interponer una reclamación en la AEPD.
Proceso de reclamación
El primer paso en el proceso para denunciar en la AEPD será mediante la presentación del formulario correspondiente al derecho que el interesado desee ejercitar en ese caso.
Una vez recibida la reclamación por parte de la Agencia Española de Protección de Datos (AEPD), el citado organismo contará con el plazo de un mes para responder. Pudiendo prorrogarse el plazo otros dos meses más en caso de que revista especial complejidad o exista un elevado nivel de solicitudes.
La respuesta que otorgue la AEPD pondrá fin a la vía administrativa. No obstante y de conformidad con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, una vez recibida esta respuesta los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos. Será en el plazo de un mes a contar desde el día siguiente a la notificación de este acto. También podrá imponer directamente recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.
Modelo de reclamación
Las reclamaciones ante la AEPD pueden presentarse tanto íntegramente de forma electrónica. Será en caso de que el interesado posea un certificado electrónico o está registrado en el sistema de identificación Cl@ve. También en formato papel.
En ambos casos, resultará necesario cubrir el formulario correspondiente al ejercicio del derecho sobre el cual verse la reclamación del usuario.
En este formulario el interesado deberá aportar información relativa a los hechos que motivan su reclamación. Además, podrá adjuntar a su solicitud documentación que respalde y refuerce su reclamación.
Nuevas directrices de la AEPD en la jornada anual
El pasado 4 de junio se celebró en Madrid la 10ª sesión anual de la Agencia Española de Protección de Datos (en adelante, “AEPD”).
En esta jornada se realizó un repaso por todas las implicaciones prácticas que introduce el Reglamento General de Protección de Datos (en adelante, “RGPD”). Incluye también las iniciativas de adaptación al mismo. Abordando aspectos como la herramienta Facilita RGPD para empresas que hagan un tratamiento de datos que implique un riesgo bajo y las Guías de Análisis de Riesgos y Evaluación de Impacto en protección de datos.
Puntos destacados sobre el consentimiento
Una de las cuestiones que se trató en esta sesión es el número elevado de comunicaciones enviadas por las empresas solicitando la renovación del consentimiento de sus usuarios en los días previos a la plena aplicación del RGPD. Recordando la AEPD que esta normativa no obliga a renovar el consentimiento de los usuarios que se prestó previamente al 25 de mayo de 2018 (fecha en la que resultó de plena aplicación el RGPD) si este cumple con los requisitos del RGPD. Asimismo, desde la AEPD se hizo hincapié en que no solo existe el consentimiento como base de legitimación para el tratamiento de datos. Existen otras bases como es la de la existencia de una relación contractual previa.
La AEPD alertó del amplio número de empresas y profesionales que están ofreciendo servicios de adaptación al RGPD, cuando lo único a lo que se limitan estas empresas es a crear una apariencia de cumplimiento. En este sentido, la AEPD en el caso de que tenga conocimiento de prácticas de este tipo utilizará todos los medios a su alcance para erradicarlas.
Ponencias clave de esta sesión fueron las relativas al Registro de Actividades y las Cookies. El Registro de Actividades, se trata de una de las primeras medidas que toda empresa debe llevar a cabo en la adaptación a esta normativa. La realización de este Registro supone la revisión de los tratamientos de datos que se están llevando a cabo. Como hemos comentado anteriormente, desde la AEPD se ofrece una herramienta con la que poder elaborar este Registro de Actividades. La AEPD por su parte ha hecho público su Registro de Actividades, facilitando con ello criterios como los plazos de conservación, categorías de datos y de destinatarios.
Cookies
En relación con las Cookies, desde la AEPD se ha informado que los requisitos aplicables al consentimiento informado para el uso de cookies serán los establecidos en el RGPD.
En este sentido, se debe informar a los usuarios de la identidad del responsable del tratamiento, de la finalidad de las cookies y el tipo de datos. Debe excluirse cualquier tipo de información que induzca a error o confusión como; “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted”. La formula habitual de “seguir navegando” podría seguir siendo válida si se refuerza la toma de decisiones sobre cookies.
Códigos de conducta y sanciones
Otro tema abordado durante la jornada fue el de los códigos de conducta y las sanciones, algo que preocupa mucho a las empresas puesto que las sanciones que introduce el RGPD son de elevada cuantía. En este sentido, la directora de la AEPD, ha incidido que existen medidas como la advertencia o un apercibimiento, que pueden adoptarse en lugar de una sanción económica, siempre y cuando se aprecie y documente una adecuada diligencia de la empresa en el cumplimiento del RGPD.
Desde Letslaw analizamos y revisamos todas las cuestiones sobre esta normativa, al objeto de informar a las empresas sobre las novedades y sus consecuencias tanto en España como en el resto de Europa, para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.
Si necesitas más información sobre la adaptación al RGPD puedes consultarnos.
LETSLAW
Letslaw es una firma de abogados altamente especializado y con amplia experiencia en materia de protección de datos. Contacta con nosotros para más información sobre cómo podemos ayudarte en el proceso de reclamación de tus derechos ante la AEPD.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.
