El procedimiento administrativo sancionador ante una posible vulneración del Reglamento General de Protección de Datos.

El Congreso de los Diputados, en fecha 20 de septiembre de este año, ha acordado convalidar el Real Decreto 5/2018 de 27 de Jul (Medidas urgentes para adaptación del Derecho español a la normativa de la U.E. en materia de protección de datos), publicado en el «Boletín Oficial del Estado» número 183, de 30 de julio de 2018.

El citado Real Decreto ley 5/2018, regula en su Capitulo III  el régimen procedimental que resultará de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos – en adelante AEPD- en los siguientes supuestos :

• En aquellos casos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del RGPD

• En los supuestos en que la AEPD investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.

En este sentido, resulta necesario señalar que -atendiendo a lo expresamente dispuesto en el apartado 2º del artículo 7 del Real Decreto- los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el RGPD, en la normativa española de protección de datos y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.


Iniciación del procedimiento

La forma en la que podrá iniciarse el procedimiento dependerá del tipo de procedimiento que analicemos:

→ Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD -es decir los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos, oposición, y el derecho a no a no ser objeto de una decisión basada únicamente en el tratamiento automatizado - por acuerdo de admisión a trámite, previa solicitud del interesado.

En este caso, cuando se presentase ante la AEPD una reclamación, ésta deberá evaluar su admisibilidad a trámite.  Por tanto, debe tenerse en cuenta que no toda reclamación determina “per se” el inicio automático del procedimiento.  Así, el aparatado 2º del articulo 9 expresamente determina que “ la Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción.”

→ Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y la normativa española de protección de datos, se iniciará mediante acuerdo de inicio adoptado de oficio por la AEPD o como consecuencia de reclamación interpuesta por el interesado. En este último supuesto,  y con carácter previo, la Agencia deberá de pronunciarse sobre su admisión a trámite conforme se ha señalado anteriormente.

En los casos en los que resultasen de aplicación las normas establecidas en el artículo 60 del RGPD -por haberse interesado la necesaria cooperación entre la AEPD y otras autoridades de control que pudieran resultar interesadas- el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado a los efectos previstos en el artículo 5 del Real Decreto ley 5/2018.

→ El procedimiento podrá también tramitarse como consecuencia de la comunicación a la AEPD por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento - conforme a lo dispuesto en los artículos 56 y 60 del RGPD

En todo caso, la decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la Autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses.  Conforme se señala en el Real Decreto Ley , si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.

Plazos de resolución del procedimiento

Los plazos en los que la AEPD deberá de dictar resolución vendrán determinados por el supuesto de hecho que haya motivado la incoación del procedimiento. Por ello, siguiendo la exposición sistemática realizada anteriormente, cabe diferenciar :

→ En los supuestos en que el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite.

→ Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el RGPD y la normativa española de protección de datos o cuando fuesen de aplicación las normas establecidas en el artículo 60 del RGPD en los supuestos de cooperación entre la AEPD y otras autoridades de control, el procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio.

→ En el caso de que la AEPD recibiese comunicación por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española tuviese la condición de autoridad de control principal, resultará de aplicación el plazo que corresponda en función de si la reclamación se circunscribe a los supuestos señalados en el primer párrafo o de si la AEPD ha procedido a tramitar el procedimiento conforme lo señalado en el artículo 60 del Reglamento 2016/679 en cuyo caso el plazo será de nueve meses.

→ En relación con el plazo de resolución del procedimiento, resulta necesario tener en cuenta que tanto estos  quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el RGPD por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

Efectos de la ausencia de resolución en el plazo legamente establecido.

Al igual que sucede en otros ámbitos del derecho administrativo, la falta de resolución expresa dentro del plazo establecido a tal fin por la norma reguladora del procedimiento, conlleva diferentes consecuencias en función de si el procedimiento ha sido iniciado de oficio o a consecuencia de la solicitud presentada por el interesado.  

→ Así, conforme determina el artículo 8 del Real Decreto ley 5/2018 en los casos en que el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos  y se refieran exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, transcurrido seis meses desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite, el interesado podrá considerar estimada su reclamación.

→ Con respecto a los procedimientos en los que la AEPD actué a iniciativa propia, transcurridos nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio, se producirá su caducidad, y en consecuencia, el archivo de actuaciones.