Procedimiento en materia de protección de datos

• Autor: Alberto Palomar (Magistrado de lo contencioso-administrativo) y Javier Fuertes (Magistrado)

A continuación se estudian las normas por las que se regula la tramitación de los procedimientos en materia de protección de datos.

Contenido 1 Reglamento Europeo de Protección de Datos 2 Normas comunes 3 Procedimiento por vulneración de la normativa de protección de datos 4 Procedimiento sancionador 5 Procedimiento de reclamaciones transfronterizas (arts. 56 y 60 Reglamento 2016/679/UE, de 27 de abril) 6 Ver también 7 Recursos adicionales 7.1 En formularios 7.2 En doctrina 7.3 En dosieres legislativos 8 Legislación básica 9 Legislación citada

Reglamento Europeo de Protección de Datos

El art. 84.1 del Reglamento 2016/679/UE, de 27 de abril establece:

Los Estados miembros establecerán las normas en materia de otras sanciones aplicables a las infracciones del presente Reglamento, en particular las infracciones que no se sancionen con multas administrativas de conformidad con el art. 83, y adoptarán todas las medidas necesarias para garantizar su observancia. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

Asimismo, de conformidad con el art. 84.2 del Reglamento 2016/679/UE, de 27 de abril:

Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1 a más tardar el 25 de mayo de 2018 y, sin dilación, cualquier modificación posterior que les sea aplicable.

Normas comunes

La LOPD-GDD/2018, establece una serie de normas comunes para los diferentes procedimientos que se regulan en materia de protección de datos de carácter personal.

Admisión/inadmisión:

El art. 65.2 de la LOPD-GDD/2018 establece que la Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas:

• Cuando no versen sobre cuestiones de protección de datos de carácter personal

• Carezcan manifiestamente de fundamento

• Sean abusivas

• No aporten indicios racionales de la existencia de una infracción

Asimismo se dispone (art. 65.3 de la LOPD-GDD/2018) que la Agencia Española de Protección de Datos podrá inadmitir las reclamaciones presentadas cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:

• Que no se haya causado perjuicio al afectado.

• Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.

Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo de un mes. La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes.

La decisión sobre la admisión o inadmisión a trámite deberá notificarse al reclamante en el plazo de tres meses.

Si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este capítulo a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.

Actuaciones previas de investigación:

La Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.

Las actuaciones previas (art. 67 de la LOPD-GDD/2018):

• Se realizarán antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese.

El art. 67.1 de la LOPD-GDD/2018 establece que la Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tráfico masivo de datos personales.

• Se someterán a lo previsto para la actividad de investigación de la Agencia Española de Protección de Datos (arts. 51 a 53 de la LOPD-GDD/2018).

• No podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación

Medidas provisionales:

El art. 69 de la LOPD-GDD/2018 dispone que la Agencia Española de Protección de Datos podrá acordar la adopción de medidas provisionales:

• Motivadamente (necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado).

• Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora.

En los casos...