mar
2023

¿Puede el ayuntamiento aceptar una solicitud de mediación para el ejercicio del derecho de supresión?


Planteamiento

Un ciudadano residente en Málaga ha solicitado a este ayuntamiento de la Comunidad de Madrid que actúe como mediador en relación con una petición que cursó a un vecino de este municipio para que suprimiera sus datos personales, de los que disponía en virtud de una relación comercial anterior que hubo entre ellos, y al no haber recibido respuesta alguna de este vecino.

¿Puede el ayuntamiento acceder a esta petición? ¿O debe denegarla? ¿Puede o debe derivar el asunto a la AEPD? ¿Cuáles son las disposiciones aplicables?

Respuesta

El art. 4.1 del Reglamento General de Protección de Datos -RGPD-, establece la condición de interesado a toda persona física cuya información la identifique o pueda hacerla identificable.

En su Capítulo III, el RGPD regula los derechos del interesado, donde en el art. 17.1 se determina que:

  • “El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
  • a) los datos personales ya no sean necesario en relación con los fines para los que fueron recogidos o tratados de otro modo;
  • b) el interesado retire el consentimiento;
  • c) el interesado se oponga al tratamiento “

En virtud de lo anterior, el ciudadano residente en Málaga es, a efectos de la normativa, interesado y, en consecuencia, le corresponde la facultad de exigir, al responsable del tratamiento, el cumplimiento de su derecho de supresión. Esto es, solicitarle que suprima sus datos personales.

Conforme a lo que se desprende de la consulta, el interesado mantuvo una relación contractual de carácter comercial con un tercero para la cual debió ser necesario llevar a cabo el tratamiento de datos personales. Es, por tanto, una relación entre dos sujetos intervinientes.

El RGPD, en el art. 4 apartado 2, indica que “tratamiento” es “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”

Asimismo, en el art. 4.7 RGPD, establece que es “responsable del tratamiento” la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En consecuencia, sólo puede entenderse que, en función de la relación contractual que une ambos intervinientes, es responsable del tratamiento el tercero y, por lo tanto, el interesado tendrá la facultad de exigirle el cumplimiento de sus derechos en materia de protección de datos.

No obstante, el ayuntamiento del municipio donde reside el responsable del tratamiento no es competente ni tiene atribuidas competencias para investigar, mediar o resolver las peticiones, reclamaciones o solicitudes en materia de protección de datos que dos sujetos terceros lleven a cabo.

En virtud del art. 4 apartados 21 y 22 RGPD, es “autoridad de control” la autoridad pública independiente establecida por un Estado miembro, y es “autoridad de control interesada” la autoridad de control a la que afecta el tratamiento de datos personales debido a que el responsable está establecido en el Estado miembro de esa autoridad de control. Asimismo, el art. 51.1 del RGPD indica que “cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades de control independientes supervisar la aplicación del presente Reglamento con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.”

En España, la autoridad de control competente es la Agencia Española de Protección de Datos -AEPD-, ya que le corresponde supervisar la aplicación de la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPD-, y del RGPD. En virtud del art. 57 RGPD, las funciones de la AEPD como autoridad de control son, entre otras, las siguientes:

  • - Controlar la aplicación del RGPD y del resto de la normativa de protección de datos.
  • - Facilitar, previa solicitud, información a los interesados en relación con el ejercicio de sus derechos.
  • - Tratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable.

Además de disponer de poderes de investigación, la AEPD tiene poderes correctivos (sancionadores) según lo estipulado en el art. 58.2 del RGPD:

  • “a) sancionar a todo responsable (…) con una advertencia cuando las operaciones de tratamiento puedan infringir lo dispuesto en el presente Reglamento;
  • b) sancionar a todo responsable (…) con apercibimiento cuando las operaciones del tratamiento hayan infringido lo dispuesto en el presente Reglamento;
  • c) ordenar al responsable (…) que atiendan a las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;
  • (…)
  • g) ordenar la rectificación o supresión de datos personales.
  • (…)
  • i) imponer una multa administrativa.”

Si el interesado entiende que la solicitud al responsable del tratamiento de sus datos personales sobre el ejercicio de los derechos reconocidos en los arts. 15 a 22 del RGPD no ha sido atendida, podrá reclamar ante la AEPD, ya que esta autoridad de control conocerá de dichos procedimientos, así como de aquellos en los que «investigue la existencia de una posible infracción de los dispuesto en el mencionado reglamento y en la presente ley orgánica», en virtud de lo dispuesto en el art. 63.1 LOPD.

Conclusiones

1ª. El interesado tiene la potestad de exigir del responsable del tratamiento la atención al ejercicio de los derechos que dispone en materia de protección de datos.

2ª. En el presente supuesto, el ayuntamiento del municipio donde dicho responsable reside no participa en la relación contractual ni tiene asumidas competencias en ninguna norma sobre poderes de investigación, correctivos o de autorización o consultivos en materia de protección de datos. Por lo tanto, no puede acceder a la petición de mediación del interesado ni derivarla a la AEPD.

3ª. En este caso, la AEPD es la pertinente autoridad de control con competencias para atender las posibles peticiones del interesado. El ayuntamiento, únicamente, podrá informar al interesado sobre este aspecto para que, si éste entiende vulnerados sus derechos en materia de protección de datos, valore la interposición de una reclamación ante esta autoridad.