07-la agencia espanola de proteccion de datos person ales

MODULO 7

La Agencia Española de Protección de Datos

Personales

Edición: Noviembre 2009

Módulo 7. La Agencia Española de Protección de Datos Personales

Gestión de la Seguridad en la Empresa: LOPD

Módulo 7 / Índice

MÓDULO 7. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS PERSONALES

Introducción y Objetivos del módulo 781

Unidad 7.1.La Agencia Española de Protección de Datos. Introducción 783

Unidad 7.2. Procedimiento de tutela de derechos 793

Anexo. Formularios AEPD para el ejercicio del derecho de acceso 799

Unidad 7.3. Procedimiento Sancionador 801

Anexo. Principios de la Potestad Sancionadora en la LRJPAC 812

Unidad 7.4. Otros Procedimientos tramitados por la Agencia Española de Protección de Datos 817

Actividades del módulo 828

Autor: Ricardo Chamorro Delmo

Índice de contenidos

781



Módulo 7 / Introducción

Introducción al módulo Estamos finalizando la parte más teórica del programa y lo haremos con un estudio a la figura fundamental prevista por nuestro ordenamiento para la garantía del derecho a la protección de datos personales: La Agencia Española de Protección de Datos. Veremos que la Agencia Española de Protección de Datos es un ente de Derecho Público que tiene por objeto la garantía del cumplimiento y aplicación de la normativa de protección de datos personales, actuando con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones, y relacionándose con el Gobierno a través del Ministerio de Justicia. La Agencia Española de Protección de Datos nació en el año 1993, como autoridad que garantizara el cumplimiento de las previsiones y mandatos de la normativa por entonces en vigor (LORTAD). Dedicaremos la primera parte de este Módulo al estudio de su régimen jurídico. Por otra parte, como en la mayoría de las materias que estamos estudiando, el desarrollo normativo relativo a la actividad de la AEPD ha recibido un notable impulso con la aprobación del RLOPD. En concreto, en el Reglamento se han regulado con detalle todos los procedimientos previstos por el legislador para el cumplimiento de sus funciones de supervisión y garantía de los derechos de los ciudadanos por parte de la Agencia. Vamos a dedicar, por ello, la parte más importante de este Módulo (Unidades 7.2 a 7.4) al estudio de estos procedimientos, ya que su conocimiento es necesario para la garantía de los derechos de los titulares de los datos de carácter personal. Nos centraremos en los procedimientos de tutela de derechos y sancionador, que son los de mayor relevancia práctica. Adicionalmente, incluiremos una referencia a otros procedimientos cuya estructura y características también debemos conocer. En concreto nos referiremos a:

• Procedimiento de inscripción o cancelación de ficheros • Procedimiento de solicitud de transferencias internacionales de datos • Procedimiento de inscripción de códigos tipo • Procedimiento de exención del deber de información al interesado

MÓDULO

7La Agencia Española de

Protección de Datos Personales

782



Módulo 7 / Introducción

• Procedimiento para la autorización de conservación de datos para fines históricos, estadísticos o científico

¿Qué vamos a estudiar?

Objetivos del módulo Revisar las principales particularidades de cada uno de los sectores seleccionados Estudiar los antecedentes y la naturaleza jurídica de la AEPD Conocer el régimen jurídico de aplicación a la AEPD y las funciones atribuidas a la

misma por la Ley Analizar el procedimiento de tutela de los derechos de acceso, rectificación,

cancelación y oposición Conocer el desarrollo del procedimiento sancionador previsto en el RLOPD y en la

normativa complementaria que resulta de aplicación Analizar otros procedimientos desarrollado por la AEPD, y en concreto:

• Procedimientos relacionados con la inscripción o cancelación de ficheros • Procedimientos relacionados con las transferencias internacionales de datos. • Procedimientos de inscripción de códigos tipo • Procedimientos de exención del deber de información al interesado • Procedimientos para la autorización de conservación de datos con fines

históricos, estadísticos o científicos

Esquema conceptual del módulo

783



Unidad 7.1. La agencia española de protección de datos. Introducción

Unidad 7.1 La Agencia Española de Protección de

Datos. Introducción

Introducción En esta primera Unidad del Módulo VII dedicada al estudio de la AEPD y, especialmente, de los procedimientos previstos por la Ley, llevaremos a cabo una introducción a este Organismo, describiendo el régimen jurídico de aplicación. Por lo tanto, el objetivo general de esta Unidad es establecer las líneas generales que definen la Agencia y determinar cual será la normativa que deberá aplicarse en las relaciones con ella. El 28 de enero de 1981, el Consejo de Europa suscribió el Convenio 108 para la protección de las personas con respecto a los tratamientos automatizados de datos de carácter personal, que como sabemos es uno de los principales antecedentes de la regulación actual en la materia, y que, en el tema que ahora nos ocupa, dispuso la obligación de las Partes firmantes de designar una Autoridad para concederse ayuda mutua en esta materia. Esta previsión constituye el germen de las autoridades de control que actualmente desarrollan sus funciones en los Estados europeos. Si bien el Convenio no obligaba a la creación de una específica Autoridad de Control competente en materia de protección de datos personales, el Protocolo Adicional al Convenio lo fijó como exigencia para todos los Estados con el objeto de homogeneizar la regulación europea en esta materia. Por lo tanto, cada Estado estaba obligado a crear un órgano de control y fijar sus competencias. En cumplimiento de esta previsión del Convenio, la LORTAD encomendó el control de su aplicación a una entidad independiente para asegurar la máxima eficacia de sus disposiciones: La Agencia Española de Protección de Datos (AEPD).

Objetivos de aprendizaje Estudiar los antecedentes y la naturaleza jurídica de la EAPD Conocer el régimen jurídico de aplicación a la AEPD Enunciar sus funciones y conocer el organigrama dispuesto para el cumplimiento de las

mismas

784




A la AEPD se le atribuyó el estatuto de Ente Público y a su frente se situó a un Director que, como titular del Órgano, se caracterizaba por la independencia en el ejercicio de sus funciones. En la línea marcada por el Convenio 108, la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos, señalaba en su Considerando 62: “Considerando que la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales”. Veremos como la Directiva desarrolló esta previsión en su artículo 28. Por ahora, baste con señalar que esta regulación, junto con el desarrollo ya realizado por la LORTAD, constituyeron las bases sobre las que se desarrolló la regulación vigente contenida en la LOPD y en el reciente RLOPD1. Dedicaremos esta Unidad al estudio del régimen vigente de aplicación a la AEPD como organismo de control. Analizaremos el régimen jurídico introducido por la LOPD y su normativa de desarrollo a estos efectos, haciendo también una referencia a la estructura que a día de hoy conforma la Agencia. Por último, haremos una referencia a aspectos comunes a todos los procedimientos que estudiaremos en las siguientes Unidades.

La agencia española de protección de datos. Régimen jurídico

Marco normativo En desarrollo del Considerando 62 de la Directiva 95/46/CE al que nos hemos referido, el artículo 28 de dicha Directiva dispone:

1 Otros antecedentes de la regulación de los Organismos de Control en materia de protección de datos personales, lo constituye la Carta Europea de los Derechos Fundamentales, proclamada en Niza el 8 de diciembre de 2000, en cuyo artículo 68 se establece que “el respecto de estas normas estará sujeto al control de una autoridad independiente”.

785




“Autoridad de control 1. Los Estados miembros dispondrán que una o más autoridades públicas se

encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia. (…) 2. La autoridad de control dispondrá, en particular, de • poderes de investigación, (…) • poderes efectivos de intervención, (…) • capacidad procesal en caso de infracciones (…)”. Pues bien, el marco normativo vigente en España que desarrolla esta previsión de la Directiva está conformado por las siguientes normas:

• Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. • Real Decreto 1720/2007 de Desarrollo de la Ley Orgánica 15/1999 de

Protección de Datos de Carácter Personal.

• Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.

Adicionalmente, y pese a que aquí nos referiremos exclusivamente a la AEPD, debemos tener en cuenta la normativa que aplica a las Agencias Autonómicas previstas en el artículo 41 LOPD: “1. Las funciones de la Agencia Española de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j, k y l, y en los apartados f y g en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido”. En desarrollo de esta habilitación, y en sus correspondientes territorios, serán de aplicación las siguientes normas:

• Ley 5/2002 (Comunidad Autónoma de Cataluña), de 19 de abril, de la Agencia Catalana de Protección de Datos.

• Ley 8/2001 (CAM), de 13 de julio, de Protección de Datos de Carácter Personal

en la Comunidad de Madrid.

786




• Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.

En el ejercicio de sus funciones, y en defecto de lo que dispongan la LOPD y sus disposiciones de desarrollo, la AEPD actuará de acuerdo a lo previsto por la Ley 30/1992, de 26 de noviembre, de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC). De este modo, el artículo 35.2 LOPD recoge lo establecido en el artículo 2.2 de la citada LRJPAC, cuando establece que las entidades de derecho público sujetarán su actividad a dicha Ley cuando ejerzan potestades administrativas, sometiéndose en el resto de su actividad a lo que dispongan sus normas de creación. Funciones y estructura De acuerdo con lo previsto por el artículo 37.1 LOPD, en el ejercicio de sus funciones la AEPD:

a. Velará por el cumplimiento de la legislación sobre protección de datos y controlará su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

b. Emitirá las autorizaciones previstas en la Ley o en sus disposiciones

reglamentarias. c. Dictará, en su caso, y sin perjuicio de las competencias de otros órganos, las

instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.

d. Atenderá las peticiones y reclamaciones formuladas por las personas afectadas.

e. Proporcionará información a las personas acerca de sus derechos en materia de

tratamiento de los datos de carácter personal. f. Requerirá a los responsables y los encargados de los tratamientos, previa

audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenará la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.

Importante

De acuerdo con lo dispuesto por el artículo 35 LOPD, la AEPD es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones.

787




g. Ejercerá la potestad sancionadora en los términos previstos por el Título VII de la presente Ley.

h. Informará, con carácter preceptivo, los proyectos de disposiciones generales que

desarrollen esta Ley. i. Recabará de los responsables de los ficheros cuanta ayuda e información

estime necesaria para el desempeño de sus funciones. j. Velará por la publicidad de la existencia de los ficheros de datos con carácter

personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.

k. Redactará una memoria anual que será remitida al Ministerio de Justicia. l. Ejercer el control y adoptar las autorizaciones que procedan en relación con los

movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.

m. Velará por el cumplimiento de las disposiciones que la Ley de la Función

Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, y dictará las instrucciones precisas. Dictaminará sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercerá la potestad a la que se refiere el artículo 46 LOPD2.

n. Por último, la LOPD cierra esta enumeración de las funciones de la AEPD afirmando que esta deberá asumir cuantas otras funciones le sean atribuidas por normas legales o reglamentarias

2 Artículo 46. Infracciones de las Administraciones públicas. 1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia Española de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. 2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas. 3. Se deberán comunicar a la Agencia las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores. 4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones que efectúe y las resoluciones que dicte al amparo de los apartados anteriores.

788




Además de sus funciones de inspección y sancionadora a las que haremos referencia más adelante, tienen especial importancia la función instructora e investigadora llevada a cabo por la AEPD en la tramitación de los expedientes sancionadores.

Dentro de su organigrama, corresponderá a la Subdirección General de Inspección de Datos esta función (artículo 29 del Estatuto de la AEPD), que es la garantía del procedimiento sancionador cuyo ejercicio exige la separación entre la fase instructora y la sancionadora, encomendada a órganos distintos por el artículo 134 LRJPAC:

Respecto a la estructura de la AEPD, esta viene determinada por lo previsto en el artículo 11 de su Estatuto conforme al que la Agencia estará integrada por un Director, un Consejo Consultivo, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General. La figura del Director, el Consejo Consultivo, el Registro y la Inspección, son objeto de regulación en los artículos 36, 38, 39 y 40 LOPD a los que remitimos para el detalle de sus funciones. Actualmente, la estructura de la AEPD corresponde al siguiente organigrama3:

Como complemento al contenido de la presente Unidad y a la enumeración de las funciones que aquí hemos realizado, se incluye en la Sección Biblioteca la Carta de Servicios de la AEPD. 3 Fuente: Página Web de la AEPD (www.agpd.es)

“Artículo 134. Garantía de procedimiento.

1. El ejercicio de la potestad sancionadora requerirá procedimiento legal o reglamentariamente establecido.

2. Los procedimientos que regulen el ejercicio de la potestad sancionadora deberán establecer la debida separación entre la fase instructora y la sancionadora, encomendándolas a órganos distintos.

3. En ningún caso se podrá imponer una sanción sin que se haya tramitado el necesario procedimiento”

789




La Carta de Servicios es un documento que constituye el instrumento a través del cual los Órganos, Organismos y Entes Públicos y otras Entidades de la Administración General del Estado informan a los ciudadanos y usuarios sobre los servicios que tienen encomendados, sobre los derechos que les asisten en relación con aquellos y sobre los compromisos asumidos por el órganos en términos de calidad de su prestación. Su origen está vinculado a la obligación que asumen las AAPP de conseguir la mejora de los servicios públicos atendiendo a las demandas de los ciudadanos. En base a estas consideraciones se dictó el Real Decreto 951/2005, de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado. En cumplimiento de lo previsto en este Real Decreto, la AEPD aprobó su Resolución de 19 de febrero de 2008 por la que se aprueba esta Carta de Servicios4.

Procedimientos tratados por la AEPD En el presente Módulo estudiaremos detenidamente el procedimiento establecido para el ejercicio de las potestades reconocidas por la Ley a la AEPD. Nos referiremos a: Potestad sancionadora Como hemos señalado, las funciones más significativas de la Agencia son las de inspección y la potestad sancionadora. Durante años, el procedimiento sancionador ha estado regulado en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD. Esta norma fue derogada por el Real Decreto 1720/2007. Veremos como el RLOPD determina actualmente el procedimiento a seguir para la determinación de las infracciones y la imposición de sanciones, estructurándose como cualquier otro procedimiento sancionador en las tres fases de Iniciación, Instrucción y Resolución y la propuesta razonada del Director de la Agencia del Acuerdo de Inicio del procedimiento sancionador y de la Resolución de éste. Función instructora Por su parte, la función instructora se concreta en la incoación de tres clases de procedimientos:

• Procedimiento sancionador incoado contra los responsables de ficheros de titularidad privada por infracción de los principios y reglas contenidos en la LOPD

4 BOE núm 58. 7 de marzo de 2008

790




• Procedimiento por infracciones a las Administraciones Públicas (artículo 46 LOPD) cuando es un organismo de esta clase el que vulnera lo previsto en la Ley.

• Procedimiento de tutela de derechos previsto en el artículo 18 de la Ley que se

iniciará cuando son vulnerados los derechos de oposición, acceso, rectificación o cancelación de los afectados.

Pero previamente al estudio detallado de estos procedimientos, y para terminar esta Unidad, vamos a hacer referencia a dos artículos del RLOPD que resultan de aplicación a todos ellos: la determinación de las disposiciones relativas al régimen aplicable y la publicidad de las resoluciones. Se trata de los aspectos regulados en los artículos 115 y 116 RLOPD y como decimos son normas aplicables a cualquier procedimiento llevado a cabo por la AEPD. Régimen aplicable a los procedimiento tramitados por la AEPD Artículo 115. Régimen aplicable. 1. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el presente título, y supletoriamente, por la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. 2. Específicamente serán de aplicación las normas reguladoras del procedimiento administrativo común al régimen de representación en los citados procedimientos. Este artículo inicia el Título IX del Reglamento, titulado “Los procedimientos tramitados por la Agencia Española de Protección de Datos”. Como vemos, el RLOPD se refiere a la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, conforme al contenido ya comentado del artículo 35.2 LOPD. Además de esta remisión a la LRJPAC, resulta interesante la previsión contenida en el segundo punto del artículo que señala que serán de aplicación a estos procedimientos las normas relativas al régimen de representación del procedimiento administrativo común. En este sentido, el artículo 32 de la LRLPAC señala: “Artículo 32. Representación. 1. Los interesados con capacidad de obrar podrán actuar por medio de representante, entendiéndose con éste las actuaciones administrativas, salvo manifestación expresa en contra del interesado.

791




2. Cualquier persona con capacidad de obrar podrá actuar en representación de otra ante las Administraciones Públicas. 3. Para formular solicitudes, entablar recursos, desistir de acciones y renunciar a derechos en nombre de otra persona, deberá acreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado. Para los actos y gestiones de mero trámite se presumirá aquella representación. 4. La falta o insuficiente acreditación de la representación no impedirá que se tenga por realizado el acto de que se trate, siempre que se aporte aquélla o se subsane el defecto dentro del plazo de diez días que deberá conceder al efecto el órgano administrativo, o de un plazo superior cuando las circunstancias del caso así lo requieran”. Publicidad de las resoluciones Por otro lado, el artículo 116 RLOPD regula la Publicidad de las resoluciones que la AEPD dicte en ejercicio de sus funciones: “1. La Agencia Española de Protección de Datos hará públicas sus resoluciones, con excepción de las correspondientes a la inscripción de un fichero o tratamiento en el Registro General de Protección de Datos y de aquéllas por las que se resuelva la inscripción en el mismo de los códigos tipo, siempre que se refieran a procedimientos que se hubieran iniciado con posterioridad al 1 de enero de 2004, o correspondan al archivo de actuaciones inspectoras incoadas a partir de dicha fecha. 2. La publicación de estas resoluciones se realizará preferentemente mediante su inserción en el sitio web de la Agencia Española de Protección de Datos, dentro del plazo de un mes a contar desde la fecha de su notificación a los interesados. 3. En la notificación de las resoluciones se informará expresamente a los interesados de la publicidad prevista en el artículo 37.2 de la Ley Orgánica 15/1999, de 13 de diciembre. 4. La publicación se realizará aplicando los criterios de disociación de los datos de carácter personal que a tal efecto se establezcan mediante Resolución del Director de la Agencia”. Este artículo incluye una matización importante respecto a lo dispuesto en el artículo 60 LRJPAC (60.1 LRJPAC: “Los actos administrativos serán objeto de publicación cuando así lo establezcan las normas reguladoras de cada procedimiento o cuando lo aconsejen razones de interés público apreciadas por el órgano competente”).

792




Como indica CALVO VERGUEZ5, la publicación, al igual que la notificación, constituye una garantía para los administrados, en tanto que se configura como: “un medio a través del cual se pone en conocimiento de estos el contenido de un acto administrativo, así como las formas para su impugnación. Por lo tanto, en aquellos supuestos en los que la publicación sustituye a la notificación deberá gozar de las mismas garantías que ésta, so pena de considerarse defectuosa”. En este sentido, las garantías para la notificación son reguladas por la LRJPAC, que en su artículo 59.6 señala:

5 Lucía Calvo Vérguez “Novedades en Materia de procedimiento. Publicidad de las

resoluciones” en “Comentarios al Reglamento de Protección de Datos” AAVV. Coord. Juan Zabía de la Mata. Lex Nova. Valladolid 2008. Pág. 808

“La publicación, en los términos del artículo siguiente, sustituirá a la notificación surtiendo sus mismos efectos en los siguientes casos: a. Cuando el acto tenga por destinatario a una pluralidad indeterminada de

personas o cuando la Administración estime que la notificación efectuada a un solo interesado es insuficiente para garantizar la notificación a todos, siendo, en este último caso, adicional a la notificación efectuada

b. Cuando se trata de actos integrantes de un procedimiento selectivo o de

concurrencia competitiva de cualquier tipo. En este caso, la convocatoria del procedimiento deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en lugares distintos”.

793



Unidad 7.2. Procedimiento de tutela de derechos

Unidad 7.2 Procedimiento de tutela de derechos

Introducción Iniciamos el estudio detallado de los procedimientos regulados por el RLOPD con el estudio de los artículos 117 a 119 de la norma. El RLOPD titula el Capítulo II de su Título IX, “Procedimiento de tutela de los derechos de acceso, rectificación, cancelación y oposición”. Este capítulo recoge, por lo tanto, de manera exclusiva este procedimiento cumpliendo de esta forma con la previsión contenida en el artículo 18 LOPD: Artículo 18. Tutela de los derechos. 1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine. 2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación. 3. El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses. 4. Contra las resoluciones de la Agencia Española de Protección de Datos procederá recurso contencioso-administrativo. Vemos como la LOPD prevé este procedimiento y su desarrollo que el RLOPD ha venido a completar. Respecto a la regulación del ejercicio de los derechos de acceso, rectificación, cancelación y oposición, nos remitimos a lo ya estudiado en el Módulo 3 del Curso.

Objetivos de aprendizaje Estudiar el procedimiento de tutela de los derechos de acceso, rectificación, cancelación y

oposición. Determinar quienes son las personas habilitadas para iniciarlo, los plazos establecidos y

analizar el supuesto del silencio administrativo en este caso.

794




El procedimiento que vamos a estudiar es uno de los más importantes de los que pueden sustanciarse ante la AEPD, ya que afecta a la principal vía para la garantía del derecho a la protección de datos personales y así lo ha reconocido también la norma europea (Directiva 45/95/CE). Se trata no obstante de una regulación que, a juicio de algunos autores, es escasa para la importancia de este procedimiento, dejando pendiente de resolución algunos aspectos que señalaremos a continuación.

Iniciación del procedimiento El artículo 117 RLOPD regula la iniciación del procedimiento en los siguientes términos: “1. El procedimiento se iniciará a instancia del afectado o afectados, expresando con claridad el contenido de su reclamación y de los preceptos de la Ley Orgánica 15/1999, de 13 de diciembre, que se consideran vulnerados”. Si bien el artículo 68 LRJPAC dispone que el procedimiento se iniciará “de oficio o a solicitud de persona interesada”, y el artículo 69 LRJPAC matiza que “los procedimientos se iniciarán de oficio por acuerdo del órgano competente, bien por propia iniciativa o como consecuencia de orden superior, a petición razonada de otros órganos o por denuncia”, en este caso, parece evidente que el procedimiento solo podrá iniciarse a instancia del interesado, ya que se trata de un procedimiento de tutela de derechos de la persona. Por lo tanto no cabe la iniciación de oficio ni en virtud de denuncia de un tercero. En este punto, es importante definir un concepto que utilizaremos a lo largo de este módulo. Cuando hablamos de denuncia nos referimos al acto por el que un particular o funcionario público, espontáneamente o en cumplimiento de una obligación legal, ponen en conocimiento del órgano administrativo competente la existencia de un determinado hecho, sancionable o no, a fin de que se acuerde la iniciación de un procedimiento. No tiene por qué ser una parte afectada por el hecho denunciado, ni se le considera parte del procedimiento que se sustancie como consecuencia de dicha denuncia. En el caso de la iniciación del procedimiento a instancia del interesado, es este interesado el que comunica al órgano competente el incumplimiento, y desde ese momento se exige que todas las actuaciones deban seguirse directamente con él, (a salvo siempre del supuesto de representación que hemos visto en la Unidad anterior). La solicitud del interesado deberá incluir con claridad el contenido de su reclamación, los preceptos de la LOPD que considera infringidos y el resto de los requisitos que enumera el artículo 70 LRJPAC:

795




“Artículo 70. Solicitudes de iniciación. 1. Las solicitudes que se formulen deberán contener: A) Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así

como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.

B) Hechos, razones y petición en que se concrete, con toda claridad, la solicitud. C) Lugar y fecha. D) Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por

cualquier medio. E) Órgano, centro o unidad administrativa a la que se dirige.(…) 2. De las solicitudes, comunicaciones y escritos que presenten los interesados en las oficinas de la Administración, podrán éstos exigir el correspondiente recibo que acredite la fecha de presentación, admitiéndose como tal una copia en la que figure la fecha de presentación anotada por la oficina. 3. Las Administraciones Públicas deberán establecer modelos sistemas normalizados de solicitudes cuando se trate de procedimientos que impliquen la resolución numerosa de una serie de procedimientos. Los modelos mencionados estarán a disposición de los ciudadanos en las dependencias administrativas. Los solicitantes podrán acompañar los elementos que estimen convenientes”. En cumplimiento de lo previsto en este cuarto punto, la AEPD ha elaborado una serie de formularios para el ejercicio de derechos que pone a disposición de los ciudadanos a través de su página Web (www.agpd.es). A título de ejemplo, se incluye como Anexo a la presente Unidad el formulario disponible para la reclamación en caso de no haberse facilitado el ejercicio del derecho de acceso. No obstante, uno de los puntos que el RLOPD no detalla es el supuesto de que la solicitud no se ajuste a lo exigido por la norma. Por ello, en este caso, si la solicitud fuese incompleta, sería de aplicación la previsión del artículo 71 LRJPAC que respecto a la posibilidad de subsanación dispone: “1. Si la solicitud de iniciación no reúne los requisitos que señala el artículo anterior y los exigidos, en su caso, por la legislación específica aplicable, se requerirá al interesado para que, en un plazo de diez días, subsane la falta o acompañe los documentos preceptivos, con indicación de que, si así no lo hiciera, se le tendrá por desistido de su petición, previa resolución que deberá ser dictada en los términos previstos en el artículo 42.

796




2. Siempre que no se trate de procedimientos selectivos o de concurrencia competitiva, este plazo podrá ser ampliado prudencialmente, hasta cinco días, a petición del interesado o iniciativa del órgano, cuando la aportación de los documentos requeridos presente dificultades especiales. 3. En los procedimientos iniciados a solicitud de los interesados, el órgano competente podrá recabar del solicitante la modificación o mejora voluntarias de los términos de aquélla. De ello se levantará acta sucinta, que se incorporará al procedimiento”.

Tramitación En cuanto a la tramitación del procedimiento, no presenta grandes diferencias respecto al procedimiento administrativo común. De acuerdo a lo establecido por el artículo 117.2 RLOPD, recibida la reclamación en la Agencia Española de Protección de Datos, se dará traslado de la misma al responsable del fichero, para que, en el plazo de quince días, formule las alegaciones que estime pertinentes. Recibidas las alegaciones (art. 117.3 RLOPD) o transcurrido el plazo previsto en el apartado anterior, la AEPD, previos los informes, pruebas y otros actos de instrucción pertinentes, incluida la audiencia del afectado y nuevamente del responsable del fichero, resolverá sobre la reclamación formulada. Respecto a este punto, hay que resaltar que la primera audiencia a los interesados procede en todo caso, no pudiendo eludirse este trámite en función de los principios de eficacia y celeridad. Por lo tanto, siempre deberá facilitarse el plazo indicado de quince días para que el responsable del fichero pueda realizar sus alegaciones. Por el contrario, no nos encontraremos en el mismo supuesto en el caso de las segundas alegaciones previstas por el artículo 117.3 RLOPD (“incluida la audiencia del afectado y nuevamente del responsable del fichero”) a determinación del órgano instructor (si no son tenidas en cuenta otros hechos, alegaciones y pruebas que los aducidos por el interesado en primer lugar).

Resolución del procedimiento y ejecución De acuerdo con el artículo 118 RLOPD, que regula la duración del procedimiento y los efectos de la falta de resolución expresa: “1. El plazo máximo para dictar y notificar resolución en el procedimiento de tutela de derechos será de seis meses, a contar desde la fecha de entrada en la Agencia Española de Protección de Datos de la reclamación del afectado o afectados.

797




2. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, el afectado podrá considerar estimada su reclamación por silencio administrativo positivo”. El plazo máximo será por lo tanto de seis meses, en lo que se considera que es un plazo razonable para la resolución de las pretensiones que se aducen en un procedimiento de esa naturaleza. El plazo comenzará a contar (dies a quo) desde la fecha de entrada de la solicitud en la Agencia. El artículo 119 RLOPD cierra la regulación de este procedimiento estableciendo que si la resolución de tutela fuese estimatoria, se requerirá al responsable del fichero para que, en el plazo de diez días siguientes a la notificación, haga efectivo el ejercicio de los derechos objeto de la tutela, debiendo dar cuenta por escrito de dicho cumplimiento a la AEPD en idéntico plazo. Por último, en cuanto al hecho de que transcurridos seis meses sin resolución deba entenderse estimada la solicitud, concuerda con lo previsto a estos efectos por el artículo 43.2 LRJPAC: “Artículo 43. Silencio administrativo en procedimientos iniciados a solicitud de interesado. 1. En los procedimientos iniciados a solicitud del interesado, el vencimiento del plazo máximo sin haberse notificado resolución expresa legitima al interesado o interesados que hubieran deducido la solicitud para entenderla estimada o desestimada por silencio administrativo, según proceda, sin perjuicio de la resolución que la Administración debe dictar en la forma prevista en el apartado 4 de este artículo. 2. Los interesados podrán entender estimadas por silencio administrativo sus solicitudes en todos los casos, salvo que una norma con rango de Ley o norma de Derecho Comunitario Europeo establezca lo contrario. Quedan exceptuados de esta previsión los procedimientos de ejercicio del derecho de petición, a que se refiere el artículo 29 de la Constitución, aquellos cuya estimación tuviera como consecuencia que se transfirieran al solicitante o a terceros facultades relativas al dominio público o al servicio público, así como los procedimientos de impugnación de actos y disposiciones, en los que el silencio tendrá efecto desestimatorio”. No obstante, no parece esta la solución más acertada para un procedimiento de tutela de derechos de las personas. Como indica CALVO VERGEZ:

“Efectivamente, si se produjese por falta de resolución expresa el efecto estimatorio de la solicitud, difícilmente el afectado podría dirigirse al responsable del fichero para que procediese a autorizar el acceso o permitiese la rectificación, cancelación u oposición del interesado.

798




(…) Aun cuando los actos administrativos producidos por silencio administrativo se pueden hacer valer tanto ante la Administración como ante cualquier persona física o jurídica, pública o privada, pudiendo acreditarse por cualquier medio de prueba admitido en derecho, incluido el certificado acreditativo del silencio producido – que la Agencia deberá emitir en el plazo máximo de quince días – lo cierto es que el Reglamento fija la fecha de la notificación como dies a quo para hacer efectivo el ejercicio de los derechos objeto de la tutela. Luego habiéndose producido la estimación por silencio administrativo, resulta difícil imaginar la tramitación para la efectividad de sus derechos”1.

1 Lucía Calvo Vérguez “Novedades en Materia de procedimiento. Publicidad de las

resoluciones” en “Comentarios al Reglamento de Protección de Datos” AAVV. Coord. Juan Zabía de la Mata. Lex Nova. Valladolid 2008. Pág. 814.

799




Anexo I. Formularios AEPD para el ejercicio del derecho de acceso Se incluye a continuación el formulario puestos a disposición de los ciudadanos por la AEPD para la interposición de reclamación en el caso de que su derecho de acceso no haya sido atendido en forma:

A.2. RECLAMACIÓN DE TUTELA POR DENEGACIÓN DEL DERECHO DE ACCESO. DATOS DEL INTERESADO O REPRESENTANTE LEGAL (1) D./ Dª. .........................................................................................................., mayor de edad, con domicilio en la C/Plaza ......................................................................................... nº........, Localidad ........................................... Provincia .......................................... C.P. ............... Comunidad Autónoma ............................................ con D.N.I........................... DATOS DEL RESPONSABLE DEL FICHERO. Nombre/razón social: ......................................................................................... Dirección de la Oficina / Servicio ante el que se ejercita el derecho de acceso: C/Plaza ....................................................................... nº ........... C.Postal .................. Localidad ..................................... Provincia ................................. Comunidad Autónoma .............................. C.I.F./D.N.I. ................................. Por el presente escrito pongo en conocimiento de la Agencia Española de Protección de Datos que, con fecha ....................................., ejercí el derecho de acceso ante el responsable del fichero señalado, habiéndose denegado por éste el citado ejercicio en el siguiente sentido (márquese lo que proceda):

• No se ha contestado en el plazo de un mes desde la recepción de la solicitud. • Se ha denegado el acceso completamente, documentándose con copia del escrito. • No se ha contestado satisfactoriamente a la petición de acceso, documentándose

con copia del escrito. Al objeto de que por parte de esa Agencia Española de Protección de Datos se pueda comprobar lo señalado, se remite la siguiente documentación anexa a este escrito:

• Copia del escrito de petición de acceso sellada por el responsable del fichero.

ANEXO

800




• Copia del escrito de petición de acceso sellada por la oficina de correos. • Copias del resguardo del envío por correo certificado y de la petición de acceso. • Copia de cualesquiera otros medios de prueba facilitados por el responsable del

fichero y de los que se pueda deducir la recepción de la solicitud de acceso. • Copia de la denegación de acceso dictada por el responsable del fichero. • Copia de la contestación del responsable del fichero en la que no se facilita el

contenido de la información solicitada. En virtud de cuanto antecede, SOLICITA la tutela de la Agencia Española de Protección de Datos al amparo de lo establecido en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por vulneración del artículo 15 de la referida Ley Orgánica, y de los artículos 27, 28, 29 y 30 del Real Decreto 1720/2007, de 21 de diciembre, que la desarrolla. En ............................a.........de...........................de 20...... Firmado: ILMO. SR. DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. C/ Jorge Juan, 6.- 28001 MADRID

801



Unidad 7.3. Procedimiento sancionador

Unidad 7.3 Procedimiento Sancionador

Introducción El ejercicio de la potestad sancionadora es una de las principales funciones de la AEPD en el desempeño de su labor de garantía de los derechos fundamentales que estamos estudiando en este Curso. En última instancia, la posibilidad de estas sanciones es en muchas ocasiones el último recurso para asegurar el cumplimiento de las obligaciones que atañen a los responsables de ficheros. Por ello, la iniciación de procedimientos sancionadores es un buen indicador de la actividad de la Agencia en defensa de estos derechos. Según datos del año 20071, el número de procedimientos sancionadores iniciados a responsables privados se incrementó en un 32% en ese año y en términos generales, la potestad sancionadora se consolidó como el área de actividad de la AEPD de mayor crecimiento. En efecto, si nos atenemos a los datos de procedimientos sancionadores iniciados, encontramos:

Año 2005

2006

2007

Procedimientos iniciados

302 278 535

Las actuaciones sancionadoras de la Agencia, como las de cualquier Administración, deben ajustarse a los principios recogidos en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC) y en su normativa de desarrollo y además deben tener en cuenta lo previsto no solo en la LOPD sino también en otras normas que prevén el ejercicio de esta potestad por parte de la Agencia.

1 Memoria AEPD año 2007

Objetivos de aprendizaje

Reflexionar sobre algunos aspectos generales asociados con la potestad sancionadora que la

Ley otorga a la AEPD Identificar las normas que legitiman el ejercicio de la potestad sancionadora por parte de la

AEPD Conocer el desarrollo del procedimiento sancionador previsto en el RLOPD y en la

normativa complementaria que resulta de aplicación

802




Dedicaremos las próximas páginas al estudio del procedimiento previsto en nuestra normativa para el ejercicio de la potestad sancionadora.

Potestad sancionadora. Aspectos generales Ámbito de aplicación Vamos en primer lugar a revisar el contenido del artículo 120 RLOPD que abre el Capítulo III del Título IX de la norma: “Artículo 120. Ámbito de aplicación. 1. Las disposiciones contenidas en el presente capítulo serán de aplicación a los procedimientos relativos al ejercicio por la Agencia Española de Protección de Datos de la potestad sancionadora que le viene atribuida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal, en la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. 2. No obstante, las disposiciones previstas en el artículo 121 y en la sección cuarta de este capítulo únicamente serán aplicables a los procedimientos referidos al ejercicio de la potestad sancionadora prevista en la Ley Orgánica 15/1999, de 13 de diciembre” Iniciamos aquí el estudio de la regulación reglamentaria de la potestad sancionadora de la AEPD y debemos hacerlo con una crítica a la sistemática de la norma. Se trata a juicio de algunos autores de una regulación desordenada. Se dedica la sección primera del Capítulo III a las disposiciones generales aplicables al procedimiento sancionador tanto si se trata de infracciones cometidas por los responsables de ficheros públicos como si se refiere a los privados. Posteriormente, las secciones segunda y tercera se refieren a todo el procedimiento sancionador, y obviamente, deberían referirse al procedimiento de infracciones cometidas por los responsables de ficheros de titularidad privada, ya que la sección cuarta regula el procedimiento de Declaración de Infracción de la LOPD por las Administraciones Públicas. Por su parte, la sección cuarta, aplicable exclusivamente a las Administraciones Públicas, está compuesta de un único artículo, el art. 129, que se remite a la sección tercera del capítulo Resulta, por lo tanto, incomprensible e innecesariamente complicada la sistemática adoptada por el RLOPD. En todo caso, y más allá de estas críticas, el contenido del capítulo III del título IX del RLOPD, será de aplicación al ejercicio de la potestad sancionadora por la AEPD de acuerdo a lo previsto por distintas normas:

803




Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Los artículos 43 a 49 de la LOPD representan el Título VII de la Ley, dedicado a la regulación de las “Infracciones y Sanciones” Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de

comercio electrónico

La LSSI prevé también el ejercicio de la potestad sancionadora por parte de la AEPD en sus artículos 38.3 (epígrafes c, d e i), y 38. 4 (epígrafes d, g, y h). De acuerdo con estos artículos son infracciones graves que deberá sancionar la AEPD:

• El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 212.

• El incumplimiento significativo de la obligación del prestador de servicios

establecida en el apartado 1 del artículo 223, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.

2 Artículo 21 LSSI. “Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”.

3 Artículo 22. LSSI “Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

804




• El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22.

Mientras que de acuerdo con el artículo 38.4 LSSI, son infracciones muy graves: • El envío de comunicaciones comerciales por correo electrónico u otro medio de

comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.

• El incumplimiento de las obligaciones de información o de establecimiento de

un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.

• El incumplimiento de la obligación del prestador de servicios establecida en el

apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave.

Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. De acuerdo con los artículos 53. z y 54. r de la LGT, podrán ser infracciones graves o muy graves en función de las circunstancias que concurran en cada caso:

• La vulneración grave o reiterada de los derechos previstos en el artículo 38.3 LGT, salvo el previsto por el párrafo h, cuya infracción se regirá por el régimen sancionador previsto en la LSSI, y el incumplimiento grave o reiterado de las obligaciones de protección y seguridad de los datos almacenados establecidas en

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.

Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario”.

805




el artículo 8 de la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones4

Por último, para cerrar este punto, hay que hacer referencia a la supletoriedad en esta materia de la LRJPAC en todo aquello no regulado por el RLOPD. Por lo tanto, y conforme a lo previsto en la Disposición Final Única del Reglamento, para la aplicación de la potestad sancionadora de la AEPD habrá que estar a lo dispuesto en los artículos 127 a 138 LRJPAC y en el Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora (en adelante, RPS) y que desarrolla los artículos citados.

4 Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las

comunicaciones electrónicas y a las redes públicas de comunicaciones.

Artículo 8. Protección y seguridad de los datos:

“1. Los sujetos obligados deberán identificar al personal especialmente autorizado para acceder a los datos objeto de esta Ley, adoptar las medidas técnicas y organizativas que impidan su manipulación o uso para fines distintos de los comprendidos en la misma, su destrucción accidental o ilícita y su pérdida accidental, así como su almacenamiento, tratamiento, divulgación o acceso no autorizados, con sujeción a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.

2. Las obligaciones relativas a las medidas para garantizar la calidad de los datos y la confidencialidad y seguridad en el tratamiento de los mismos serán las establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, y su normativa de desarrollo.

3. El nivel de protección de los datos almacenados se determinará de conformidad con lo previsto en la Ley Orgánica 15/1999, de 13 de diciembre, y en su normativa de desarrollo.

4. La Agencia Española de Protección de Datos es la autoridad pública responsable de velar por el cumplimiento de las previsiones de la Ley Orgánica 15/1999, de 13 de diciembre, y de la normativa de desarrollo aplicables a los datos contemplados en la presente Ley”.

Importante

El RLOPD impone de esta forma un criterio subjetivo para la aplicación del procedimiento sancionador de forma que deberá aplicarse el régimen jurídico que veremos aquí a todos los procedimientos sancionadores tramitados por la AEPD, independientemente de que se trate de una infracción de cualquiera de las normas señaladas1.

806




Inmovilización de ficheros De acuerdo con el artículo 121 RLOPD: 1. En el supuesto previsto como infracción muy grave en la Ley Orgánica 15/1999, de 13 de diciembre, consistente en la utilización o cesión ilícita de los datos de carácter personal en la que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, en cualquier momento del procedimiento, requerir a los responsables de ficheros o tratamientos de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. 2. El requerimiento deberá ser atendido en el plazo improrrogable de tres días, durante el cual el responsable del fichero podrá formular las alegaciones que tenga por convenientes en orden al levantamiento de la medida. 3. Si el requerimiento fuera desatendido, el Director de la Agencia Española de Protección de Datos podrá, mediante resolución motivada, acordar la inmovilización de tales ficheros o tratamientos, a los solos efectos de restaurar los derechos de las personas afectadas”. Este artículo reproduce, con alguna variación o matización, el contenido del artículo 49 LOPD. Como vemos, esta opción se prevé para el caso de una infracción muy grave prevista en la LOPD y se configura como una medida cautelar que el Director de la AEPD puede adoptar sin necesidad de haber iniciado un procedimiento previo. No obstante, no se trata de una medida provisional que trate de asegurar la efectividad de una Resolución, sino que se trata de una medida cautelar que puede imponerse de forma independiente al ejercicio de la potestad sancionadora. Por lo tanto, también será posible recurrir la resolución de forma independiente de la sanción que se imponga. Este carácter independiente viene reforzado por el hecho de que el RLOPD no establezca un plazo para la solicitud de la inmovilización de los ficheros, pudiendo esta iniciarse en cualquier momento del procedimiento y desvinculando esta medida de las medidas provisionales que puedan solicitarse.

Nota

Se incluye al final de esta Unidad un Anexo con los artículos 127 a 138 LRJPAC que como decimos son de aplicación al ejercicio de la potestad sancionadora por parte de la AEPD

807




En cuanto al levantamiento de la medida, el RLOPD tampoco determina nada de forma explícita. No obstante, se entiende que esta deberá levantarse en el momento en el que desaparezcan las causas que motivaron su imposición. Por lo tanto, en el momento en que cese la utilización o cesión ilícita de los datos que impida gravemente o atente contra el ejercicio de los derechos de los ciudadanos la AEPD deberá levantar la inmovilización de los ficheros.

a. Aspectos generales Actuaciones previas

Los artículos 122 a 126 RLOPD regulan las actuaciones previas que podrán llevarse a cabo en el desarrollo de potestad sancionadora de la AEPD. Respecto a estas medidas que estudiaremos aquí, el RLOPD ha significado un importante cambio respecto a la regulación precedente que, hasta la fecha de su entrada en vigor, se regía por lo dispuesto en el RD 1332/1994. Veremos aquí las condiciones para el inicio del procedimiento y comprobaremos como se ha pretendido regular estrictamente dichas condiciones ya que, debido a la importancia de las sanciones y a otros aspectos, como la pérdida de imagen del responsable de fichero que se ve sometido a estas actuaciones, es necesario que este inicio obedezca a una serie de criterios tasados que deben ser cuidadosamente evaluados. En última instancia, las actuaciones previas son una institución que garantiza el correcto ejercicio de la potestad sancionadora por parte de la AEPD. Como decimos, son los artículos 122 a 126 RLOPD los que recogen las previsiones en este sentido. Los puntos fundamentales de estas actuaciones previas son los siguientes:

• Previamente a la iniciación del procedimiento sancionador, se podrán realizar actuaciones previas con objeto de determinar si concurren circunstancias que justifiquen tal iniciación. Se trata de actuaciones que se orientarán a determinar los hechos que pudieran justificar la incoación del procedimiento, identificar la persona u órgano que pudiera resultar responsable y fijar las circunstancias relevantes que pudieran concurrir en el caso.

• Las actuaciones previas se llevarán a cabo de oficio por la AEPD, bien por

iniciativa propia o como consecuencia de la existencia de una denuncia o una petición razonada de otro órgano.

• Cuando las actuaciones se lleven a cabo como consecuencia de la existencia de

una denuncia o de una petición razonada de otro órgano, la AEPD acusará recibo de la denuncia o petición, pudiendo solicitar cuanta documentación estime necesaria para poder comprobar los hechos susceptibles de motivar la incoación del procedimiento sancionador.

808




• Estas actuaciones previas tendrán una duración máxima de doce meses a contar desde la fecha en la que la denuncia o petición razonada o, en caso de no existir aquéllas, desde que el Director de la Agencia acordase la realización de dichas actuaciones. El vencimiento del plazo sin que haya sido dictado y notificado acuerdo de inicio de procedimiento sancionador producirá la caducidad de las actuaciones previas.

El establecimiento de un plazo máximo de duración de las actuaciones previas constituye una novedad del RLOPD, que busca evitar que las actuaciones previas puedan sustituir la acción inspectora.

• El personal habilitado para la realización de las actuaciones previas será el

personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras. No obstante, en supuestos excepcionales, el Director de la AEPD podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones5.

• Los funcionarios que ejerzan la inspección a los que se refieren los dos

apartados anteriores tendrán la consideración de autoridad pública en el desempeño de sus cometidos.

Contenido de las actuaciones previas

Los inspectores podrán recabar cuanta información precisen para el cumplimiento

de su cometido. A tal fin podrán requerir la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados u obtener copia de los mismos. Podrán inspeccionar equipos físicos y lógicos, y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte.

En el desarrollo de las actuaciones previas se podrán realizar visitas de inspección

por parte de los inspectores designados, en los locales o sede del inspeccionado, (o donde se encuentren ubicados los ficheros).

A tal efecto, los inspectores habrán sido previamente autorizados por el Director de la AEPD. Dicha autorización se limitará a indicar la habilitación del inspector autorizado y la identificación de la persona u órgano inspeccionado.

Las inspecciones concluirán con el levantamiento de la correspondiente acta, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de inspección.

5 En estos casos, la autorización indicará expresamente la identificación del funcionario y las

concretas actuaciones previas de inspección a realizar.

809




El acta, que se emitirá por duplicado, será firmada por los inspectores actuantes y por el inspeccionado, que podrá hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente. En caso de negativa del inspeccionado a la firma del acta, se hará constar expresamente esta circunstancia en la misma. En todo caso, la firma por el inspeccionado del acta no supondrá su conformidad, sino tan sólo la recepción de la misma.

Resultado de las actuaciones previas Finalizadas las actuaciones previas, éstas se someterán a la decisión del Director de

la AEPD. Si de las mismas no se derivasen hechos susceptibles de imputación de infracción, dictará resolución de archivo que se notificará al investigado y al denunciante, en su caso.

Por el contrario, en caso de apreciarse la existencia de indicios susceptibles de

motivar la imputación de una infracción, el Director de la AEPD dictará acuerdo de inicio de procedimiento sancionador o de infracción de las Administraciones públicas, que se tramitarán conforme a las normas que veremos en el siguiente epígrafe.

El procedimiento sancionador Los artículos 127 y 128 RLOPD son los que regulan el procedimiento sancionador. Iniciación

La iniciación del procedimiento está regulada en el artículo 127 RLOPD, que establece el contenido que deberá tener en todo caso el acuerdo de inicio del procedimiento sancionador. De acuerdo con este artículo, dicho acuerdo deberá incluir:

a. Identificación de la persona o personas presuntamente responsables. b. Descripción sucinta de los hechos imputados, su posible calificación y las

sanciones que pudieran corresponder, sin perjuicio de lo que resulte de la instrucción.

c. Indicación de que el órgano competente para resolver el procedimiento es el

Director de la AEPD. d. Indicación al presunto responsable de que puede reconocer voluntariamente su

responsabilidad, en cuyo caso se dictará directamente resolución. e. Designación de instructor y, en su caso, secretario, con expresa indicación del

régimen de recusación de los mismos.

810




f. Indicación expresa del derecho del responsable a formular alegaciones, a la audiencia en el procedimiento y a proponer las pruebas que estime procedentes.

g. Medidas de carácter provisional que pudieran acordarse, en su caso. Esta

remisión debe entenderse realizada al artículo 121 RLOPD ya comentado que prevé la posibilidad de acordar la inmovilización de ficheros en el caso de que se den algunas de las circunstancias previstas.

No obstante, como ya comentamos, la inmovilización de ficheros no es una medida provisional en sentido estricto, sino que se trata de una medida cautelar con un estatuto propio.

Esta regulación, junto a las previsiones del artículo 128 RLOPD respecto a la caducidad de las actuaciones que veremos a continuación, son las únicas remisiones del RLOPD a este procedimiento sancionador, en una regulación que, evidentemente, resulta insuficiente. Por ello, debemos acudir a lo previsto en el RPS, Reglamento al que el RLOPD hemos visto que se remite expresamente en todo aquello que no regule directamente. En lo que se refiere a la regulación del procedimiento sancionador, podemos extraer las siguientes consideraciones del contenido del RPS. Instrucción Los interesados dispondrán de un plazo de quince días para aportar cuantas alegaciones, documentos o informaciones estimen convenientes y, en su caso, proponer prueba concretando los medios de que pretendan valerse. En la notificación de la iniciación del procedimiento deberá indicarse a los interesados dicho plazo. Adicionalmente y una vez cursada dicha notificación, el Director de la AEPD realizará de oficio cuantas actuaciones resulten necesarias para el examen de los hechos, recabando los datos e informaciones que sean relevantes para determinar, en su caso, la existencia de responsabilidades susceptibles de sanción. Si como consecuencia de la instrucción del procedimiento resultase modificada la determinación inicial de los hechos, de su posible calificación, de las sanciones imponibles o de las responsabilidades susceptibles de sanción, se notificará todo ello al inculpado en la propuesta de resolución. El periodo de prueba no podrá ser inferior a 10 días ni superior a 30 y dichas pruebas se llevarán a cabo de acuerdo a lo previsto en el artículo 17 RPS. Derecho de defensa: Alegaciones

El RPS regula también la audiencia del interesado que podrá producirse en dos momentos, en el de la notificación del acuerdo de iniciación de actuaciones y con el motivo de la notificación de la propuesta de resolución, todo ello sin perjuicio del

811




derecho de los interesados a formular alegaciones y aportar documentación con anterioridad al trámite de audiencia. Resolución

En cuanto a la Resolución, el artículo 18 RPS establece: Artículo 18. Propuesta de resolución. Concluida, en su caso, la prueba, el órgano instructor del procedimiento formulará propuesta de resolución en la que se fijarán de forma motivada los hechos, especificándose los que se consideren probados y su exacta calificación jurídica, se determinará la infracción que, en su caso, aquéllos constituyan y la persona o personas que resulten responsables, especificándose la sanción que propone que se imponga y las medidas provisionales que se hubieran adoptado, en su caso, por el órgano competente para iniciar el procedimiento o por el instructor del mismo; o bien se propondrá la declaración de no existencia de infracción o responsabilidad. Por último, el artículo 128 RLOPD dispone el plazo máximo para resolver el procedimiento sancionador en los siguientes términos: “1. El plazo para dictar resolución será el que determinen las normas aplicables a cada procedimiento sancionador y se computará desde la fecha en que se dicte el acuerdo de inicio hasta que se produzca la notificación de la resolución sancionadora, o se acredite debidamente el intento de notificación. 2. El vencimiento del citado plazo máximo, sin que se haya dictado y notificado resolución expresa, producirá la caducidad del procedimiento y el archivo de las actuaciones”. Esta remisión a la normativa aplicable en cada caso, debe entenderse realizada a las tres normas que hemos visto que pueden justificar la iniciación del procedimiento sancionador (LOPD, LSSI, y LGT). No obstante, en lo que se refiere a la LOPD, ésta no prevé plazo alguno, por lo que habrá que estar a lo previsto por el RPS que establece que transcurridos 6 meses desde que se dicte el acuerdo de iniciación sin que se haya dictado y notificado resolución expresa, y teniendo en cuenta las posibles interrupciones en el cómputo por causas imputables a los interesados o por l a existencia de un procedimiento por los mismo hechos ante órganos comunitarios europeos o por el inicio de procesos penales, se producirá la caducidad del procedimiento y el archivo de las actuaciones (art. 20.6 RPS).

812




Anexo I. Principios de la Potestad Sancionadora en la LRJPAC

LEY 30/1992, DE 26 DE NOVIEMBRE DE RÉGIMEN JURÍDICO DE LAS ADMINISTRACIONES PÚBLICAS Y DEL PROCEDIMIENTO ADMINISTRATIVO COMÚN

TÍTULO IX DE LA POTESTAD SANCIONADORA. CAPÍTULO I PRINCIPIOS DE LA POTESTAD SANCIONADORA.

Artículo 127. Principio de legalidad.

1. La potestad sancionadora de las Administraciones públicas, reconocida por la Constitución, se ejercerá cuando haya sido expresamente reconocida por una norma con rango de Ley, con aplicación del procedimiento previsto para su ejercicio y de acuerdo con lo establecido en este título y, cuando se trate de entidades locales, de conformidad con lo dispuesto en el título XI de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.

2. El ejercicio de la potestad sancionadora corresponde a los órganos administrativos que la tengan expresamente atribuida, por disposición de rango legal o reglamentario.

3. Las disposiciones de este Título no son de aplicación al ejercicio por las Administraciones públicas de su potestad disciplinaria respecto del personal a su servicio y de quienes estén vinculados a ellas por una relación contractual.

Artículo 128. Irretroactividad.

1. Serán de aplicación las disposiciones sancionadoras vigentes en el momento de producirse los hechos que constituyan infracción administrativa.

2. Las disposiciones sancionadoras producirán efecto retroactivo en cuanto favorezcan al presunto infractor.

Artículo 129. Principio de tipicidad.

1. Sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley, sin perjuicio de lo dispuesto para la administración local en el título XI de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local.

ANEXO

813




2. Únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley.

3. Las disposiciones reglamentarias de desarrollo podrán introducir especificaciones o graduaciones al cuadro de las infracciones o sanciones establecidas legalmente que, sin constituir nuevas infracciones o sanciones, ni alterar la naturaleza o límites de las que la Ley contempla, contribuyan a la más correcta identificación de las conductas o a la más precisa determinación de las sanciones correspondientes.

4. Las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica.

Artículo 130. Responsabilidad.

1. Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia.

2. Las responsabilidades administrativas que se deriven del procedimiento sancionador serán compatibles con la exigencia al infractor de la reposición de la situación alterada por el mismo a su estado originario, así como con la indemnización por los daños y perjuicios causados que podrán ser determinados por el órgano competente, debiendo, en este caso, comunicarse al infractor para su satisfacción en el plazo que al efecto se determine, y quedando, de no hacerse así, expedita la vía judicial correspondiente.

3. Cuando el cumplimiento de las obligaciones previstas en una disposición legal corresponda a varias personas conjuntamente, responderá de forma solidaria de las infracciones que, en su caso, se cometan y de las sanciones que se impongan. Serán responsables subsidiarios o solidarios por el incumplimiento de las obligaciones impuestas por la Ley que conlleven el deber de prevenir la infracción administrativa cometida por otros, las personas físicas y jurídicas sobre las que tal deber recaiga, cuando así lo determinen las Leyes reguladoras de los distintos regímenes sancionadores.

Artículo 131. Principio de proporcionalidad.

1. Las sanciones administrativas, sean o no de naturaleza pecuniaria, en ningún caso podrán implicar, directa o subsidiariamente, privación de libertad.

2. El establecimiento de sanciones pecuniarias deberá prever que la comisión de las infracciones tipificadas no resulte más beneficioso para el infractor que el cumplimiento de las normas infringidas.

3. En la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones Públicas se deberá guardar la debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada, considerándose especialmente los siguientes criterios para la graduación de la sanción a aplicar:

814




A) La existencia de intencionalidad o reiteración.

B) La naturaleza de los perjuicios causados.

C) La reincidencia, por comisión en el término de un año de más de una infracción de la misma naturaleza cuando así haya sido declarado por resolución firme.

Artículo 132. Prescripción.

1. Las infracciones y sanciones prescribirán según lo dispuesto en las leyes que las establezcan. Si éstas no fijan plazos de prescripción, las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses; las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

2. El plazo de prescripción de las infracciones comenzará a contarse desde el día en que la infracción se hubiera cometido. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reanudándose el plazo de prescripción si el expediente sancionador estuviera paralizado más de un mes por causa no imputable al presunto responsable.

3. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que adquiera firmeza la resolución por la que se impone la sanción. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si aquél está paralizado durante más de un mes por causa no imputable al infractor.

Artículo 133. Concurrencia de sanciones.

No podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente, en los casos en que se aprecie identidad del sujeto, hecho y fundamento.

CAPÍTULO II. PRINCIPIOS DEL PROCEDIMIENTO SANCIONADOR.

Artículo 134. Garantía de procedimiento.

1. El ejercicio de la potestad sancionadora requerirá procedimiento legal o reglamentariamente establecido.

2. Los procedimientos que regulen el ejercicio de la potestad sancionadora deberán establecer la debida separación entre la fase instructora y la sancionadora, encomendándolas a órganos distintos.

815




3. En ningún caso se podrá imponer una sanción sin que se haya tramitado el necesario procedimiento.

Artículo 135. Derechos del presunto responsable.

Los procedimientos sancionadores garantizarán al presunto responsable los siguientes derechos:

A ser notificado de los hechos que se le imputen, de las infracciones que tales hechos puedan constituir y de las sanciones que, en su caso, se les pudieran imponer, así como de la identidad del instructor, de la autoridad competente para imponer la sanción y de la norma que atribuya tal competencia.

A formular alegaciones y utilizar los medios de defensa admitidos por el Ordenamiento Jurídico que resulten procedentes.

Los demás derechos reconocidos por el artículo 35 de esta Ley.

Artículo 136. Medidas de carácter provisional.

Cuando así esté previsto en las normas que regulen los procedimientos sancionadores, se podrá proceder mediante acuerdo motivado a la adopción de medidas de carácter provisional que aseguren la eficacia de la resolución final que pudiera recaer.

Artículo 137. Presunción de inocencia.

1. Los procedimientos sancionadores respetarán la presunción de no existencia de responsabilidad administrativa mientras no se demuestre lo contrario.

2. Los hechos declarados probados por resoluciones judiciales penales firmes vincularán a las Administraciones Públicas respecto de los procedimientos sancionadores que substancien.

3. Los hechos constatados por funcionarios a los que se reconoce la condición de autoridad, y que se formalicen en documento público observando los requisitos legales pertinentes, tendrán valor probatorio sin perjuicio de las pruebas que en defensa de los respectivos derechos o intereses puedan señalar o aportar los propios administrados.

4. Se practicarán de oficio o se admitirán a propuesta del presunto responsable cuantas pruebas sean adecuadas para la determinación de hechos y posibles responsabilidades. Sólo podrán declararse improcedentes aquellas pruebas que por su relación con los hechos no puedan alterar la resolución final a favor del presunto responsable.

Artículo 138. Resolución.

1. La resolución que ponga fin al procedimiento habrá de ser motivada y resolverá todas las cuestiones planteadas en el expediente.

816




2. En la resolución no se podrán aceptar hechos distintos de los determinados en el curso del procedimiento, con independencia de su diferente valoración jurídica.

3. La resolución será ejecutiva cuando ponga fin a la vía administrativa. En la resolución se adoptarán, en su caso, las disposiciones cautelares precisas para garantizar su eficacia en tanto no sea ejecutiva.

817



Unidad 7.4. Otros procedimientos tramitados por la agencia española de protección de datos

Unidad 7.4 Otros Procedimientos tramitados por la

Agencia Española de Protección de Datos Personales

Introducción En las Unidades anteriores, hemos revisado los principales procedimientos que pueden sustanciarse ante la AEPD y que prácticamente completan los escenarios en los que el responsable del fichero puede verse en la obligación de dirigirse a la Agencia en relación con los tratamientos de datos personales que lleva a cabo. Pero estos procedimientos no agotan todas las posibilidades en este sentido. En efecto, adicionalmente a los estudiados hasta ahora, debemos hacer una referencia, siquiera general, al contenido previsto a estos otros procedimientos previstos por la Ley y de reciente desarrollo en el RLOPD. En concreto, dedicaremos esta Unidad a realizar una referencia somera a los siguientes:

• Procedimiento de inscripción y cancelación de ficheros. • Procedimientos relacionados con las transferencias internacionales de datos. • Procedimiento de inscripción de códigos tipo. • Procedimiento de exención del deber de información al interesado. • Procedimiento para la autorización de conservación de datos para fines

históricos, estadísticos o científicos.

Objetivos de aprendizaje

Conocer otros procedimientos desarrollado por la AEPD, y en concreto:

• Procedimientos relacionados con la inscripción o cancelación de ficheros • Procedimientos relacionados con las transferencias internacionales de datos. • Procedimientos de inscripción de códigos tipo • Procedimientos de exención del deber de información al interesado

Procedimientos para la autorización de conservación de datos con fines históricos, estadísticos o científicos

818




Procedimientos de inscripción, modificación o cancelación de ficheros

En las Unidades anteriores hemos revisado los principales procedimientos que pueden sustanciarse ante la AEPD y que prácticamente completan los escenarios en los que el responsable del fichero puede verse en la obligación de dirigirse a la Agencia en relación con los tratamientos de datos personales que lleva a cabo. Pero estos procedimientos no agotan todas las posibilidades en este sentido.

Regulación El procedimiento está regulado en los artículos.130 a 134 del RLOPD. Adicionalmente, deberán tenerse en cuenta los artículos 52 a 64 RLOPD.

Inicio del procedimiento

El procedimiento se iniciará como consecuencia de la notificación de la creación, modificación o supresión del fichero por el interesado o, de la comunicación efectuada por las autoridades de control de las Comunidades Autónomas.

Recordemos que, tal y como señala el artículo 58 RLOPD la inscripción del fichero deberá encontrarse actualizada en todo momento y por ello cualquier modificación que afecte al contenido de la inscripción de un fichero deberá ser previamente notificada a la AEPD o a las autoridades de control autonómicas competentes, a fin de proceder a su inscripción en el registro correspondiente, conforme a lo dispuesto en el artículo 55.

La solicitud se hará rellenando los formularios electrónicos publicados por la AEPD en su web (Sistema Nota). Para la modificación o supresión de un fichero, deberá indicarse el código de inscripción del fichero. En la notificación, el responsable del fichero deberá declarar un domicilio a efectos de notificaciones en el procedimiento.

En caso de ficheros responsabilidad de varias personas o entidades simultáneamente, cada una de ellas deberá notificar, a fin de proceder a su inscripción en el RGPD la creación del correspondiente fichero (art. 57 RLOPD).

Ficheros de titularidad pública

Tratándose de ficheros de titularidad pública, la notificación de ficheros de deberá ir acompañada de una copia de la norma o acuerdo de creación, modificación o supresión del fichero; (o bien la dirección electrónica dónde se encuentra la norma, si es accesible a través de Internet).

La disposición o acuerdo de creación de estos ficheros deberá cumplir con lo previsto en el artículo 52 RLOPD:

819




1. La creación, modificación o supresión de los ficheros de titularidad pública sólo podrá hacerse por medio de disposición general o acuerdo publicados en el Boletín Oficial del Estado o diario oficial correspondiente.

2. En todo caso, la disposición o acuerdo deberá dictarse y publicarse con carácter previo a la creación, modificación o supresión del fichero. Adicionalmente, el artículo 53 RLOPD regula la forma que deberá adoptar la disposición o el acuerdo relativo al fichero, exigiendo los siguientes requisitos:

• Cuando la disposición se refiera a los órganos de la Administración General del Estado o a las entidades u organismos vinculados o dependientes de la misma, deberá revestir la forma de orden ministerial o resolución del titular de la entidad u organismo correspondiente. En caso de órganos constitucionales del Estado, se estará a lo que establezcan sus normas reguladoras.

• Para los ficheros responsabilidad de las CCAA, entidades locales y las entidades

u organismos vinculados o dependientes de las mismas, las universidades públicas, así como los órganos de las CCAA con funciones análogas a los órganos constitucionales del Estado, se estará a su legislación específica.

• La creación, modificación o supresión de los ficheros de los que sean

responsables las corporaciones de derecho público deberá efectuarse a través de acuerdo de sus órganos de gobierno, en los términos que establezcan sus respectivos Estatutos, debiendo ser igualmente objeto de publicación en el Boletín Oficial del Estado o diario oficial correspondiente.

Por último, el artículo 54 RLOPD exige que la disposición o acuerdo de creación del fichero cumpla con los siguientes requisitos:

• Identificación del fichero, indicando su denominación, así como la descripción de su finalidad y usos previstos.

• El origen de los datos, indicando el colectivo de personas sobre los que se

pretende obtener datos de carácter personal o que resulten obligados a suministrarlos, el procedimiento de recogida de los datos y su procedencia.

• La estructura básica del fichero mediante la descripción detallada de los datos

identificativos, y en su caso, de los datos especialmente protegidos, así como de las restantes categorías de datos de carácter personal incluidas en el mismo y el sistema de tratamiento utilizado en su organización.

• Las comunicaciones de datos previstas, indicando en su caso, los destinatarios o

categorías de destinatarios.

• Las transferencias internacionales de datos previstas a terceros países, con indicación, en su caso, de los países de destino de los datos.

820




• Los órganos responsables del fichero. • Los servicios o unidades ante los que pudiesen ejercitarse los derechos de

acceso, rectificación, cancelación y oposición.

• El nivel básico, medio o alto de seguridad que resulte exigible, de acuerdo con lo establecido en el título VIII del presente reglamento.

El plazo para la subsanación o mejora de la solicitud en el caso de ficheros de titularidad pública, si necesario, será de tres meses1. Excepcionalmente, el RLOPD (art. 63) prevé que la notificación al RGPD pueda realizarse de oficio en estos casos de ficheros de titularidad pública. El Director de la AEPD podrá instar la inscripción de los ficheros con el único fin de garantizar el derecho de protección de datos de los titulares de los datos, y sin perjuicio de la obligación de notificación. Será requisito indispensable. Acuerdo de inscripción o cancelación Si la notificación, modificación o supresión del fichero cumple las exigencias legales, el Director de la AEPD, a propuesta del RGPD, acordará la inscripción del fichero, asignándole un código de inscripción, la modificación o cancelación del fichero. Por el contrario, el Director de la AEPD, a propuesta del RGPD, dictará resolución denegando la inscripción, modificación o cancelación cuando la notificación no resulte conforme a lo dispuesto en la LOPD, y siempre motivando las causas de la misma. La resolución se dictará en máximo un mes. Si en dicho plazo no se hubiese dictado y notificado resolución expresa, se entenderá inscrito, modificado o cancelado el fichero a todos los efectos. Cancelación de oficio de ficheros inscritos Adicionalmente, hay que tener en cuenta lo previsto en los artículos 135 y 136 del RLOPD para la cancelación de oficio de los ficheros inscritos. “Artículo 135. Iniciación del procedimiento. El procedimiento de cancelación de oficio de los ficheros inscritos en el Registro General de Protección de Datos se iniciará siempre de oficio, bien por propia iniciativa o en virtud de denuncia, por acuerdo del Director de la Agencia Española de Protección de Datos.

1 No obstante, pese a que el RLOPD no indique nada al respecto y de acuerdo con el art. 71

LRJPAC, debe entenderse que procederá igualmente la subsanación en el plazo de 10 días cuando se trate una notificación relativa a un fichero de titularidad privada.

821




Artículo 136. Terminación del expediente. La resolución, previa audiencia del interesado, acordará haber lugar o no a la cancelación del fichero. Si la resolución acordase la cancelación del fichero, se dará traslado de la misma al Registro General de Protección de Datos, para que proceda a la cancelación”.

Procedimientos relacionados con las transferencias internacionales de datos

Autorización de transferencias internacionales de datos Este procedimiento está regulado en los arts. 137 a 140 del RLOPD. El procedimiento se iniciará a solicitud del exportador de datos. Deberá ir acompañada de los siguientes documentos:

a) Identificación del fichero objeto de la transferencia internacional, indicando su denominación y código de inscripción en el RGPD.

b) La transferencia respecto de la que se solicita la autorización y su finalidad. c) Las garantías exigibles para la obtención de la autorización. d) El cumplimiento de los requisitos legales para la realización de la transferencia.

Cuando la autorización se fundamente en un contrato entre el exportador y el importador de los datos, deberá aportarse copia del mismo, acreditando la concurrencia de poder suficiente en sus otorgantes. Si la autorización fuese para grupos multinacionales, deberán aportarse las normas del grupo relacionadas con el tratamiento de los datos, así como la documentación que acredite su carácter vinculante y su eficacia dentro del grupo. Igualmente deberá aportarse la documentación que acredite la posibilidad de que el afectado o la AEPD puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneración de las normas de protección de datos por parte de cualquier empresa importadora. Instrucción del procedimiento El Director de la AEPD podrá acordar, con arreglo a lo dispuesto en el artículo 86.1 de la LRJPAC, la apertura de un período de información pública, cuyo plazo para alegaciones será de diez días a contar desde la publicación del anuncio en el BOE.

822




Si hubiese alegaciones, se dará traslado de las mismas al solicitante para que en diez días alegue lo que estime pertinente. Actos posteriores a la resolución Tras la resolución de autorización se dará traslado de la misma al RGPD, para la inscripción de oficio de la transferencia internacional. También se informará al Ministerio de Justicia, a la Comisión Europea y a los demás Estados miembros de la Unión Europea (art. 139 RLOPD). La resolución deberá dictarse en un plazo máximo tres meses, a contar desde la fecha de entrada en la AEPD de la solicitud. Si en dicho plazo no se hubiese dictado resolución expresa, se entenderá autorizada la transferencia internacional de datos. Procedimiento de suspensión temporal de transferencias internacionales de datos Este procedimiento, que comentamos cuando nos referimos a las Transferencias Internacionales de Datos en el Módulo 2 está regulado en los artículos 141 a 144 del RLOPD. El director de la AGPD dictará, cuando considere necesario y motivado, acuerdo de inicio de suspensión temporal de la transferencia. Recordemos que esta suspensión podrá llevarse a cabo cuando concurra alguna de las siguientes circunstancias:

a) Que las autoridades de Protección de Datos del Estado importador o resuelvan que el importador ha vulnerado las normas de protección de datos establecidas en su derecho interno.

b) Que existan indicios racionales de que se estén vulnerando las normas o, en su

caso, los principios de protección de datos por la entidad importadora de la transferencia y que las autoridades competentes en el Estado en que se encuentre el importador no han adoptado o no van a adoptar en el futuro las medidas oportunas para resolver el caso en cuestión, habiendo sido advertidas de la situación por la AEPD. En este caso se podrá suspender la transferencia cuando su continuación pudiera generar un riesgo inminente de grave perjuicio a los afectados

c) En el caso de transferencias que tengan por destino un Estado en que no exista

un nivel adecuado de protección, y la autorización sea otorgada tras la aportación de un contrato escrito, celebrado entre el exportador y el importador, en el que consten las necesarias garantías, el Director de la AEPD podrá suspender temporalmente la transferencia, cuando concurra alguna de las circunstancias siguientes:

823




o Que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato.

o Que la entidad destinataria haya incumplido previamente las garantías

establecidas en cláusulas contractuales de este tipo. o Que existan indicios racionales de que las garantías ofrecidas por el contrato

no están siendo o no serán respetadas por el importador.

o Que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.

o Que la transferencia, o su continuación, en caso de haberse iniciado, pudiera

crear una situación de riesgo de daño efectivo a los afectados.

El procedimiento exige que se de traslado del acuerdo al exportador, para que en quince días formule lo que a su derecho convenga. Cumplido este plazo o recibidas las alegaciones, se dictará resolución acordando la suspensión temporal de la transferencia internacional de datos. Actos posteriores a la resolución

Como en el caso de la autorización, el Director de la AEPD dará traslado de la resolución al RGPD. Igualmente, se dará traslado de la resolución al Ministerio de Justicia, quien lo notificará a la Comisión Europea y a los demás Estados miembros de la Unión Europea. La suspensión se levantará cuando cesen las causas que lo motivaron, siendo notificada de nuevo al RGPD (serán notificados también el exportador y el Ministerio de Justicia, así como la Comisión Europea y a los demás Estados miembros de la Unión Europea). Hasta aquí el comentario a los procedimientos establecidos por el RLOPD para las transferencias internacionales de datos, haremos por último una referencia a otros procedimientos que también han sido objeto de regulación en el Reglamento. Nos referimos a los procedimientos de inscripción de códigos tipo, a los previstos para la autorización de conservación de datos para fines históricos, estadísticos o científicos y al procedimiento de exención del deber de información al interesado.

Procedimientos de inscripción de códigos tipo Los artículos 145 a 152 del RLOPD regulan con detalle este procedimiento que se iniciará a solicitud de la entidad, órgano o asociación promotora. La solicitud habrá de acompañarse de los siguientes documentos:

824




• Acreditación de la persona que presente la solicitud. • Contenido del acuerdo por el que se aprueba el código tipo presentado.

• Certificación de la adopción del acuerdo y legitimación del órgano que lo adoptó

(caso de acuerdo sectorial o decisión de empresa), así como una copia de los Estatutos del marco del acuerdo.

• Documentación relativa a la representatividad sectorial (caso de asociaciones u

organizaciones).

• Descripción de los tratamientos referidos en el código tipo (decisiones de empresa).

• Código tipo sometido a la AEPD.

Durante los treinta días siguientes a la notificación o subsanación de los defectos el RGPD convocará a los solicitantes, para obtener aclaraciones y precisiones sobre el contenido sustantivo del código tipo. Tras este trámite, el RGPD elaborará un informe (propuesta de resolución) sobre las características del proyecto de código tipo, se aportará al Gabinete Jurídico que a su vez debe elaborar otro informe sobre la adecuación del Código a los requisitos establecidos en el Título VII del RGPD. Los informes a emitir en este procedimiento, si bien no son vinculantes, si son preceptivos y deben ser expresamente recabados. El RLOPD no indica nada respecto a los plazos para la emisión de los informes, por lo que habrá que estar a lo dispuesto por el artículo 83.2 LRJPAC (10 días). De no cumplirse este plazo podría solicitarse la suspensión del procedimiento de acuerdo a lo previsto en el artículo 42.5 c LRJPAC: Información pública y trámite de audiencia El director de la AEPD podrá acordar, según lo dispuesto en el artículo 86.1 LRJPAC, la apertura de un período de información pública, cuyo plazo para la formulación de alegaciones será de diez días a contar desde la publicación del anuncio en el BOE.

“5. El transcurso del plazo máximo legal para resolver un procedimiento y notificar la resolución se podrá suspender en los siguientes casos: (…)

a) Cuando deban solicitarse informes que sean preceptivos y determinantes del contenido de la resolución a órgano de la misma o distinta Administración, por el tiempo que medie entre la petición, que deberá comunicarse a los interesados, y la recepción del informe, que igualmente deberá ser comunicada a los mismos. Este plazo de suspensión no podrá exceder en

825




Si hubiera alegaciones, se dará traslado de las mismas al solicitante que en diez días alegará lo que estime pertinente. En caso de que resultase necesaria se prevé la aportación de nuevos documentos o la modificación del código tipo presentado, en un plazo de treinta días, periodo durante el cual se declarará la suspensión del procedimiento. Resolución Si se resuelve autorizar la inscripción, se dará traslado de la resolución al RGPD, a fin de proceder a su inscripción. La AEPD dará publicidad al contenido los códigos tipo inscritos en el RGPD, a través de medios electrónicos o telemáticos. La resolución se dictará en un periodo máximo en seis meses, a contar desde la fecha de entrada de la solicitud en la AEPD. Si en dicho plazo no se hubiese dictado resolución expresa, el solicitante podrá considerar estimada su reclamación.

Procedimiento de exención del deber de información al interesado

El procedimiento para obtener de la AEPD la exención del deber de información al interesado se regula en los artículos 153 a 156 del RLOPD. El procedimiento se iniciará a petición del responsable que pretenda obtener la aplicación de la exención cuando la información resulte imposible o exija esfuerzos desproporcionados según el art. 5.5 de la LOPD. Recordemos que este artículo establece, respecto a la información en el momento de la recogida de los datos: “5. No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia Española de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias”. En la solicitud, además de los requisitos recogidos en el artículo 70 LRJAPC, el responsable deberá:

a) Identificar claramente el tratamiento de datos al que pretende aplicarse la exención del deber de informar.

826




b) Motivar expresamente las causas en que fundamenta la imposibilidad o el carácter desproporcionado del esfuerzo que implicaría el cumplimiento del deber de informar.

c) Exponer detalladamente las medidas compensatorias que propone realizar en

caso de exoneración del cumplimiento del deber de informar.

d) Aportar una cláusula informativa que, mediante su difusión, en los términos que se indiquen en la solicitud, permita compensar la exención del deber de informar.

Propuesta de nuevas medidas compensatorias En el caso de que la AEPD considerase insuficientes las medidas compensatorias propuestas por el solicitante, podrá acordar la adopción de medidas complementarias o sustitutivas. El solicitante podrá exponer lo que a su derecho convenga en el plazo de quince días. Resolución

Se dictará resolución, concediendo o denegando la exención del deber de informar. La resolución podrá imponer la adopción de las medidas complementarias o sustitutivas. La resolución se dictará en un periodo máximo , en seis meses, a contar desde la fecha de entrada en la AEPD de la solicitud del responsable del fichero. Si en dicho plazo no se hubiese dictado resolución expresa, el afectado podrá considerar estimada su reclamación por silencio administrativo positivo.

Procedimiento para la autorización de conservación de datos para fines históricos, estadísticos o científicos

Por último, nos referiremos al procedimiento para la autorización de conservación de los datos para fines históricos, estadísticos o científicos regulado en los artículos 157 y 158 del RLOPD. El procedimiento se iniciará siempre a petición del responsable que pretenda obtener la declaración incluyendo en el escrito de solicitud:

a) Identificar claramente el tratamiento de datos al que pretende aplicarse la excepción.

b) Motivar expresamente las causas que justificarían la declaración.

c) Exponer detalladamente las medidas que el responsable del fichero se propone

implantar para garantizar el derecho de los ciudadanos.

827




La solicitud deberá acompañarse de cuantos documentos o pruebas sean necesarios para justificar la existencia de los valores históricos, científicos o estadísticos que fundamentarían la declaración. El plazo máximo en que habrá de dictarse resolución en el procedimiento será de tres meses, a contar desde la fecha de entrada en la AEPD de la solicitud del responsable del fichero. Si en dicho plazo no se hubiese dictado resolución expresa, el afectado podrá considerar estimada su reclamación.

828


Módulo 7 / Actividades


A continuación te presentamos las actividades del módulo. Es recomendable que las vayas realizando paralelamente al estudio de las unidades. Aconsejamos que sigas la estructura propuesta y no te saltes ningún ejercicio.

¿Qué tipo de actividades nos podemos encontrar? En nuestros cursos podrás encontrar dos tipos de actividades. Cada una de ellas está representada por un icono que define cómo debemos resolverlas. Existen actividades obligatorias y optativas.

Cuestionarios de Autocorrección: Hay cuestionarios tanto de carácter obligatorio como optativo. Para realizar los test deberás acceder a la sección “Actividades” del campus virtual, y realizar los cuestionarios en pantalla.

Actividades Prácticas (Optativas): Puedes realizar el caso práctico y una vez elaborado acudir al campus. El tutor en el Foro de tutorías habrá abierto una línea de debate donde se plantearán las dudas y preguntas que os hayan surgido. Una vez finalizado el módulo, el tutor os comunicará en dicho Foro la solución al caso.

Nota: Si tienes alguna duda o pregunta puedes acudir al Foro de Tutorías del Módulo

:

ACTIVIDADES DEL MÓDULO 7

829


Módulo 7 / Actividades


Cuestionario (Obligatorio) En cada una de las preguntas siguientes correspondientes al módulo 7, debes señalar la respuesta correcta. 1. ¿Quién debe proceder a la notificación de un fichero en caso de que este sea

responsabilidad de más de una persona o entidad?

a) Cada uno de los responsables del fichero deberá proceder a la inscripción b) Aquel responsable que tenga asignadas las funciones relacionadas con el

ejercicio de derechos por parte del titular c) Las anteriores respuestas son falsas, ya que no es posible que un fichero sea

responsabilidad de varias personas o entidades

2. ¿Cuánto tiempo pueden durar como máximo las actuaciones previas?

a) Un mes b) Seis meses c) Un año

3. El procedimiento de tutela de los derechos de acceso, rectificación, cancelación y oposición podrá iniciarse:

a) A instancia del interesado b) A instancia de cualquier persona que tenga conocimiento de la vulneración de

los derechos c) De oficio

4. ¿En cual de los siguientes casos serán publicadas las Resoluciones de la AEPD?

a) Las Resoluciones dictadas en procedimientos seguidos por incumplimientos de las Administraciones Públicas desde el año 2000, en que entra en vigor la LOPD

b) Las Resoluciones referidas a procedimientos que se hubieran iniciado con posterioridad al 1 de enero de 2004

c) Todas las Resoluciones dictadas por la AEPD sin excepción deberán ser publicadas

5. ¿Cuál de las siguientes infracciones de la LSSI será sancionada por la AEPD?

a) El incumplimiento de las obligaciones de información establecidas por el

artículo 10 LSSI para los prestadores de servicios de información. b) El incumplimiento habitual de la obligación de confirmar la recepción de una

aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor

c) El incumplimiento de lo previsto por el artículo 21 LSSI respecto al envío masivo de comunicaciones comerciales por correo electrónico

:

07-la agencia espanola de proteccion de datos person ales

Documents