¿Qué hacer ante una infracción del RGPD que vulnera nuestros derechos?

La protección de datos como deber

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental reconocido, a nivel europeo, en el art.8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y en el art.16.1 del Tratado de Funcionamiento de la Unión Europea y, a nivel nacional, en el art.18.4 de nuestra Constitución.

En el ordenamiento español, actualmente, su desarrollo normativo se encuentra contemplado principalmente en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que desarrolla el RGPD armonizando su contenido con el resto de la legislación nacional.

Las disposiciones del RGPD y LOPDGDD constituyen las normas básicas del juego. Todo tratamiento de datos personales ha de realizarse de conformidad con los principios y requisitos procedimentales allí contenidos. Son las exigencias mínimas que todo responsable y encargado debe respetar en el tratamiento de datos personales para que se produzca una protección de los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

El cumplimiento de estos principios y requisitos es por tanto un deber que debe garantizarse sin necesidad de que sea exigido por las personas físicas que se ven afectadas por el tratamiento, los interesados. La omisión de alguno de sus preceptos, según el caso, por parte de responsables o encargados, supone una infracción de la normativa de protección de datos. Según el precepto infringido, esta podrá ser considerada por los jueces y tribunales competentes como una vulneración del derecho fundamental a la protección de datos.

¿Qué acciones podemos ejercer los interesados?

Ante una infracción de la normativa de protección de datos, los interesados tenemos la posibilidad de hacer valer nuestro derecho a que se respeten los principios y requisitos relativos al tratamiento de nuestros datos. 

Este derecho se manifiesta fundamentalmente en tres acciones que podemos ejercer de manera complementaria, pues provocan reacciones jurídicas independientes:

  1. Reclamar ante la autoridad de control competente (arts.77 y 78 RGPD): 

Sin perjuicio de cualquier otro recurso administrativo o acción judicial, ante la Agencia Española de Protección de Datos, se pueden presentar reclamaciones contra el responsable o encargado mediante la aportación de pruebas o indicios de un incumplimiento o infracción de la normativa de protección de datos que afecte al tratamiento de los datos personales del interesado. La reclamación se puede hacer a título personal o mediante representación.

Cabe destacar que las reclamaciones sobre posibles inatenciones de los derechos de acceso, rectificación, limitación, oposición, supresión, portabilidad y oposición al tratamiento de decisiones automatizadas, requieren que, previamente a la interposición de la reclamación, el interesado se haya dirigido a la entidad responsable por un medio que permita acreditar el ejercicio del derecho que corresponda. 

Tras la reclamación, si la AEPD lo considera necesario, se dará apertura al procedimiento de investigación que podrá resultar en una resolución sancionadora o de archivo de las actuaciones que, entre otros requisitos, deberá constar por escrito, ser clara e inequívoca, y haber sido firmada por la Presidencia de la Agencia (Considerando 129 RGPD – art.48.1 LOPDGDD).

Los actos y disposiciones dictados por la Presidencia de la Agencia Española de Protección de Datos ponen fin a la vía administrativa, siendo recurribles mediante el Recurso potestativo de reposición o, directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional. De manera resumida, cabrá recurso cuando:

  • La AEPD no dé curso a una reclamación o no informe al interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación. 
  • La resolución rechace o desestime total o parcialmente el contenido de una reclamación, considerándose así vulnerado el derecho que quiere proteger el RGPD.
  1. Solicitar la tutela judicial oportuna (art.79 RGPD):

Complementariamente, y sin perjuicio de las acciones antes mencionadas, se podrá ejercitar el derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento cuando considere que sus derechos en virtud del RGPD han sido vulnerados como consecuencia de un tratamiento de sus datos personales.

De conformidad con lo dispuesto en el art.53.2 de nuestra Constitución cualquier ciudadano podrá recabar la tutela del derecho a la protección de datos ante los Tribunales ordinarios por un procedimiento basado en los principios de preferencia y sumariedad y, en su caso, a través del recurso de amparo ante el Tribunal Constitucional.

Además de la tutela expuesta en el párrafo anterior, la vulneración del derecho a la protección de datos, puede ser alegada en sede judicial en el marco de cualesquiera otros procedimientos en lo relativo a la ilicitud de la obtención u origen de las pruebas admitidas (art.287 Ley de Enjuiciamiento Civil), lo cual, teniendo en cuenta los múltiples requisitos del RGPD y la cada vez más extensa interpretación de los mismos puede ser una vía de defensa que gane importancia en los próximos años.

3. Reclamar una indemnización por daños y perjuicios como consecuencia de una infracción del RGPD (art.82 RGPD):

Por otro lado, nuevamente sin ser óbice para el ejercicio de las anteriores acciones, toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

La responsabilidad surge de la producción de un daño para el interesado, cuando el origen y fundamento del daño reside en la infracción del RGPD, se trata de un criterio de imputación objetiva. Es importante retener esta idea pues habrá supuestos en los que la acción causante del daño no sea una infracción de la normativa, así como otros en los que habrá infracción sin daño, no derivándose por tanto un derecho de resarcimiento por daños y perjuicios. 

La acción indemnizatoria se deberá ejercitar ante la jurisdicción ordinaria por parte del interesado, que será quien ostente la legitimación activa. Asimismo, merece la oportunidad recordar que, como ha señalado en varias ocasiones la doctrina jurisdiccional, la acción de responsabilidad por daños que no exige una actuación previa ante la AEPD ni viene condicionada por esa actuación.

Conclusión

El RGPD ha perfilado acciones que ya se encontraban presentes en la normativa precedente. Dicha concreción, sumada a la detallada y variada tipificación de los requisitos que han de concurrir en todo tratamiento de datos personales, ofrece un marco de protección que potencialmente situará este derecho fundamental en una posición destacada en toda relación entre personas físicas y entidades con personalidad jurídica. No obstante, el éxito de las previsiones de la normativa y la seriedad que le aporte el mercado y la sociedad en su cumplimiento está sometido a la necesaria valoración por parte de las autoridades de control, en el marco de sus potestades sancionadoras, así como por parte de jueces y tribunales, sobre quienes recae la responsabilidad de ponderar los límites del derecho a la protección de datos en relación con su equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. 

Blog Master Dpo

Deja un comentario