Resolución de la Agencia Española de Protección de Datos TD-01333-2018 de 04 de marzo de 2019

Cuestión

1 / 8

Expediente Nº: TD/01333/2018

RESOLUCIÓN Nº: R/00077/2019

Vista la reclamación formulada el 16 de agosto de 2018, ante esta Agencia por

A.A.A. , contra COLEGIO MAGDA, S.L. , por no haber sido debidamente atendido su

derecho de acceso.

Realizadas las actuaciones procedimentales...

Contestacion

1/8

Expediente Nº: TD/01333/2018

RESOLUCIÓN Nº: R/00077/2019

Vista la reclamación formulada el 16 de agosto de 2018, ante esta Agencia por

A.A.A., contra COLEGIO MAGDA, S.L., por no haber sido debidamente atendido su

derecho de acceso.

Realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes

HECHOS

PRIMERO: A.A.A. (en adelante, la parte reclamante) ejerció derecho de acceso frente

a COLEGIO MAGDA, S.L., sin que su solicitud haya recibido la contestación

legalmente establecida.

La parte reclamante aporta diversa documentación relativa a la reclamación

planteada ante esta Agencia y sobre el ejercicio del derecho ejercitado, solicitando:

?Copia de mis datos personales que son objeto de tratamiento por ese responsable,

entre otros:

1.1. Nóminas de los años 2016, 2017 y 2018.

1.2. Recibos de entrega en mano de salarios de 2016, 2017 y 2018.

1.3. Contratos de trabajo de 2016 y 2017, sellados y firmados por la empresa y la

trabajadora, que fueron registrados en el SEFCARM, así como todos los anexos de

dichos contratos.

1.4. Certificados de empresa, con sus bases de cotización a la Seguridad Social por

contingencias comunes durante los años 2016, 2017 y 2018.

1.5. Horarios con las horas lectivas y no lectivas realizadas en los cursos escolares

2016/2017 y 2017/2018.

1.6. Datos de los horarios de clases de esta trabajadora que aparecen en la aplicación

web Esemtia (https://edu.esemtia.com/) del curso 2017/2018.

1.7. Control del estado de salud realizado a esta trabajadora, previsto en el artículo 22

de esta Ley de Prevención de Riesgos Laborales y conclusiones obtenidas de los

mismos en los términos recogidos en el último párrafo del apartado 4 del citado

artículo.

1.8. Certificado de realización de la formación en prevención de riesgos laborales.

2. Los fines del tratamiento así como las categorías de datos personales que se traten.

3. Los destinatarios o categorías de destinarios a los que se han comunicado los datos

personales, o serán comunicados, incluyendo, en su caso, destinatarios en terceros u

organizaciones internacionales.

4. El plazo previsto de conservación, o de no ser posible, los criterios para determinar

este plazo.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

2/8

5. La existencia del derecho a solicitar la rectificación, supresión o limitación del

tratamiento de mis datos personales, o a oponerme a dicho tratamiento.

6. El derecho a presentar una reclamación ante una autoridad de control.

SEGUNDO: Con fecha 14 de agosto de 2018, por medio de un burofax el Colegio

envía respuesta al reclamante. Esta documentación contenía lo siguiente:

El Colegio dice actuar como responsable del fichero y que la finalidad de recogida de

datos es la gestión docente, así como de nóminas, salarios y contratos.

Según el Colegio el tipo de datos que tratan son identificativos, de la Seguridad Social,

de firma y firma electrónica, de imagen y voz, de condenas penales e infracciones

administrativas, características personales, datos académicos, datos profesionales o

de empleo, datos económicos y de seguros.

Según el burofax enviado, estos datos han sido comunicados a aseguradoras y a la

Administración Pública con la finalidad de cumplir con las obligaciones de la Seguridad

Social, tributarias y de organismos educativos.

Añade, que estos datos serán conservados según la obligación legal y que adjuntan

copia de datos personales objeto de tratamiento.

Además, aportan unas fotografías de la fachada del colegio enfocando las cámaras de

videovigilancia.

Por último, aportan un certificado de la empresa con los datos de la parte reclamante.

TERCERO: De conformidad con las funciones previstas en el Reglamento (UE)

2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD),

particularmente las que responden a los principios de transparencia y responsabilidad

proactiva por parte del responsable del tratamiento, se le ha requerido que informe a

esta Agencia de las acciones que se han llevado a cabo para atender la reclamación

planteada. En síntesis, se realizaron en síntesis las siguientes alegaciones:

- El representante/Delegado de Protección de datos de COLEGIO MAGDA,

S.L. manifiesta en las alegaciones formuladas durante la tramitación del

presente procedimiento que:

Que en el burofax enviado a la reclamante estaba toda la documentación

que reclamaba y que con posterioridad no ha solicitado ampliación de

documentación ni han indicado que le faltara algo.

Que esta entidad no se ha negado en ningún momento a facilitar lo

solicitado.

Según el Colegio, las causas que han motivado la reclamación se

desconocen ya que el centro actuó con la máxima diligencia trasladando

toda la documentación que obraba en su poder a la reclamante.

??Parece que la presente reclamación encuentra su razón de ser más en

el intento de perjudicar a nuestra entidad buscando todos los mecanismos

jurídicos posibles que de hacer efectivo sus derechos en materia de

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

3/8

protección de datos, dado que nuestra entidad entregó todo lo que en su

poder estaba??

- La parte reclamante señala que no solicitó más documentación al

considerar el acceso incompleto por:

??no siendo necesaria la reiteración de la solicitud de acceso notificada

por burofax el 15/07/2018, ya que en ella se solicitaba a la empresa copia

de los datos personales objeto de tratamiento, de forma general (?)

Respecto a los datos de base, no se remitieron en su totalidad, tal y como

consta en la reclamación presentada (dirección, teléfono, email, datos

bancarios de ingreso de nomina, etc..). Tampoco constan los tratamientos

de datos personales propios de la relación laboral que mantenía, y que por

ser obligatorios según la diversa legislación existente no fueron designadas

expresamente, pero que obran en poder de la Empresa (?) Además se

designaban expresamente, por su importancia, ENTRE OTROS, una

relación de documentos que la empresa no remitió en su totalidad, sin ni

siquiera llegar a comunicar en el plazo señalado que no disponía de los

mismos,(?) Tampoco informó la empresa sobre la finalidad de las

videograbaciones que realiza, la identificaran los destinatarios o categorías

de destinarios a los que se han comunicado los datos personales, ni el

plazo de conservación de las videograbaciones, de los datos de contacto

de la trabajadora, de los horarios, del registro de la jornada, del Certificado

del Registro Central de delincuentes sexuales, de los datos de la

Plataforma web Esemtia, etc??

- Con fecha 13 de febrero de 2019, el Colegio una vez conocidas las

alegaciones de la reclamante manifiesta haber aportado desde el principio

con el burofax toda la documentación que tenía. Y, no haberse negado en

ningún momento a enviar lo solicitado.

Por último, aporta documentación de un proceso laboral entre las partes

finalizado con un acto de conciliación.

FUNDAMENTOS DE DERECHO

PRIMERO: Es competente para resolver la Directora de la Agencia Española de

Protección de Datos, conforme a lo establecido en el apartado 2 del artículo 56 en

relación con el apartado 1 f) del artículo 57, ambos del Reglamento (UE) 2016/679 del

Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de

las personas físicas en lo que respecta al tratamiento de datos personales y a la libre

circulación de estos datos (en lo sucesivo, RGPD); y en el artículo 47 de la Ley

Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de

los derechos digitales (en lo sucesivo LOPDGDD).

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

4/8

SEGUNDO: El artículo 64.1 de la LOPDGDD, dispone lo siguiente:

?1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de

una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del

Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se

adoptará conforme a lo establecido en el artículo siguiente.

En este caso el plazo para resolver el procedimiento será de seis meses a contar

desde la fecha en que hubiera sido notificado al reclamante el acuerdo de

admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar

estimada su reclamación.?

TERCERO: El artículo 12 del Reglamento (UE) 2016/679, de 27 de abril de 2016,

General de Protección de Datos (RGPD), dispone que:

?1. El responsable del tratamiento tomará las medidas oportunas para facilitar al

interesado toda información indicada en los artículos 13 y 14, así como cualquier

comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma

concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en

particular cualquier información dirigida específicamente a un niño. La información

será facilitada por escrito o por otros medios, inclusive, si procede, por medios

electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse

verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus

derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11,

apartado 2, el responsable no se negará a actuar a petición del interesado con el fin

de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar

que no está en condiciones de identificar al interesado.

3. El responsable del tratamiento facilitará al interesado información relativa a sus

actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en

cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho

plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la

complejidad y el número de solicitudes. El responsable informará al interesado de

cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la

solicitud, indicando los motivos de la dilación. Cuando el interesado presente la

solicitud por medios electrónicos, la información se facilitará por medios electrónicos

cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le

informará sin dilación, y a más tardar transcurrido un mes de la recepción de la

solicitud, de las razones de su no actuación y de la posibilidad de presentar una

reclamación ante una autoridad de control y de ejercitar acciones judiciales.

5. La información facilitada en virtud de los artículos 13 y 14 así como toda

comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34

serán a título gratuito. Cuando las solicitudes sean manifiestamente infundadas o

excesivas, especialmente debido a su carácter repetitivo, el responsable del

tratamiento podrá:

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

5/8

a) cobrar un canon razonable en función de los costes administrativos afrontados

para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter

manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del

tratamiento tenga dudas razonables en relación con la identidad de la persona física

que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se

facilite la información adicional necesaria para confirmar la identidad del interesado.

7. La información que deberá facilitarse a los interesados en virtud de los artículos

13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan

proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada

visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato

electrónico serán legibles mecánicamente.

8. La Comisión estará facultada para adoptar actos delegados de conformidad con

el artículo 92 a fin de especificar la información que se ha de presentar a través de

iconos y los procedimientos para proporcionar iconos normalizados.?

CUARTO: El artículo 16 del RGPD dispone que:

?1. El interesado tendrá derecho a obtener del responsable del tratamiento

confirmación de si se están tratando o no datos personales que le conciernen y, en tal

caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o

serán comunicados los datos personales, en particular destinatarios en terceros u

organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de

no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión

de datos personales o la limitación del tratamiento de datos personales relativos al

interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier

información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a

que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información

significativa sobre la lógica aplicada, así como la importancia y las consecuencias

previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización

internacional, el interesado tendrá derecho a ser informado de las garantías

adecuadas en virtud del artículo 46 relativas a la transferencia.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

6/8

3. El responsable del tratamiento facilitará una copia de los datos personales

objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada

por el interesado un canon razonable basado en los costes administrativos. Cuando el

interesado presente la solicitud por medios electrónicos, y a menos que este solicite

que se facilite de otro modo, la información se facilitará en un formato electrónico de

uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará

negativamente a los derechos y libertades de otros.?

QUINTO: El artículo 13 de la LOPDGDD determina lo siguiente:

?1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido

en el artículo 15 del Reglamento (UE) 2016/679.

Cuando el responsable trate una gran cantidad de datos relativos al afectado y

este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte

de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el

afectado especifique los datos o actividades de tratamiento a los que se refiere la

solicitud.

2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento

facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos

personales que garantice, de modo permanente, el acceso a su totalidad. A tales

efectos, la comunicación por el responsable al afectado del modo en que este podrá

acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del

derecho.

No obstante, el interesado podrá solicitar del responsable la información referida a

los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se

incluyese en el sistema de acceso remoto.

3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se

podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión

durante el plazo de seis meses, a menos que exista causa legítima para ello.

4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un

coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho

afectado asumirá el exceso de costes que su elección comporte. En este caso, solo

será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin

dilaciones indebidas.?

SÉPTIMO: Antes de entrar en el fondo de las cuestiones planteadas, hay que señalar

que el presente procedimiento se instruye como consecuencia de la denegación de

alguno de los derechos regulados por la normativa de protección de datos (acceso,

rectificación, supresión, limitación, portabilidad y oposición) y tiene por objeto que se

adopten las medidas correspondientes para que las garantías y derechos del afectado

queden debidamente restauradas. Por ello, en el presente caso, sólo serán analizadas

y valoradas aquellas cuestiones planteadas por la parte reclamante que queden

incluidas dentro del objeto del citado procedimiento de reclamaciones en materia de

protección de datos.

Analizada toda la documentación presentada por ambas partes se comprueba

que hay un derecho de acceso solicitado y atendido según las normas antes

señaladas. Sin embargo, la reclamante lo considera incompleto y pone una

reclamación ante esta Agencia.

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

7/8

En ningún momento desde la entidad reclamada, el Colegio, se ha denegado

documentación, por lo que hubiera sido adecuado ante la cantidad de documentación

solicitada, señalar lo que faltaba ante la posible interpretación de una negativa.

Desde el colegio, insisten en que han dado todo lo que tenían y que no ha

habido negativa por su parte a facilitar el derecho de acceso.

Por tanto, desde esta Agencia consideramos que, puesto que la reclamante no

señalo de forma clara y concreta la documentación que le faltaba después de recibir el

burofax directamente al Colegio y, que no ha habido negativa del titular del fichero a

facilitar lo solicitado, consideramos que el derecho ha sido atendido conforme

establece la normativa.

Por un lado, cuando el derecho de acceso es atendido y se considera que es

incompleto, aportar una detallada lista clara y concreta de lo que falta ayuda a que

dicha solicitud se atienda de forma efectiva. Y, por otro, si el titular del fichero

manifiesta de forma reiterada que ha facilitado toda la documentación que tenía, en

principio, hay que plantearse que está actuando de buena fe y cumpliendo con su

obligación ante la Ley.

El resto de las cuestiones planteadas, las motivaciones más o menos lícitas

para actuar de una determinada manera, el conflicto laboral entre las partes y,

cualquier otra cuestión al margen de la Ley de Protección de Datos, deberán resolverlo

en los foros que correspondan ya que no son competencia de esta Agencia.

Por todo ello, procede desestimar la reclamación que originó el presente

procedimiento.

Vistos los preceptos citados y demás de general aplicación,

la Directora de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DESESTIMAR la reclamación formulada por A.A.A. frente a COLEGIO

MAGDA, S.L.

SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a COLEGIO MAGDA, S.L.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la

presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la

LOPD), y de conformidad con lo establecido en el artículo 123 de la Ley 39/2015, de 1

de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas,

se podrá interponer, potestativamente, recurso de reposición ante la Directora de la

Agencia Española de Protección de Datos, en el plazo de un mes a contar desde el

día siguiente a la notificación de esta resolución, o directamente recurso contencioso

administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional,

con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la Disposición

Adicional Cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción

Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es

8/8

a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto

legal.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.aepd.es

28001 ? Madrid sedeagpd.gob.es