Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00Un ciudadano residente en Málaga ha solicitado a este ayuntamiento de la Comunidad de Madrid que actúe como mediador en relación con una petición que cursó a un vecino de este municipio para que suprimiera sus datos personales, de los que disponía en virtud de una relación comercial anterior que hubo entre ellos, y al no haber recibido respuesta alguna de este vecino.
¿Puede el ayuntamiento acceder a esta petición? ¿O debe denegarla? ¿Puede o debe derivar el asunto a la AEPD? ¿Cuáles son las disposiciones aplicables?
El art. 4.1 del Reglamento General de Protección de Datos -RGPD-, establece la condición de interesado a toda persona física cuya información la identifique o pueda hacerla identificable.
En su Capítulo III, el RGPD regula los derechos del interesado, donde en el art. 17.1 se determina que:
En virtud de lo anterior, el ciudadano residente en Málaga es, a efectos de la normativa, interesado y, en consecuencia, le corresponde la facultad de exigir, al responsable del tratamiento, el cumplimiento de su derecho de supresión. Esto es, solicitarle que suprima sus datos personales.
Conforme a lo que se desprende de la consulta, el interesado mantuvo una relación contractual de carácter comercial con un tercero para la cual debió ser necesario llevar a cabo el tratamiento de datos personales. Es, por tanto, una relación entre dos sujetos intervinientes.
El RGPD, en el art. 4 apartado 2, indica que “tratamiento” es “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”
Asimismo, en el art. 4.7 RGPD, establece que es “responsable del tratamiento” la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. En consecuencia, sólo puede entenderse que, en función de la relación contractual que une ambos intervinientes, es responsable del tratamiento el tercero y, por lo tanto, el interesado tendrá la facultad de exigirle el cumplimiento de sus derechos en materia de protección de datos.
No obstante, el ayuntamiento del municipio donde reside el responsable del tratamiento no es competente ni tiene atribuidas competencias para investigar, mediar o resolver las peticiones, reclamaciones o solicitudes en materia de protección de datos que dos sujetos terceros lleven a cabo.
En virtud del art. 4 apartados 21 y 22 RGPD, es “autoridad de control” la autoridad pública independiente establecida por un Estado miembro, y es “autoridad de control interesada” la autoridad de control a la que afecta el tratamiento de datos personales debido a que el responsable está establecido en el Estado miembro de esa autoridad de control. Asimismo, el art. 51.1 del RGPD indica que “cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades de control independientes supervisar la aplicación del presente Reglamento con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.”
En España, la autoridad de control competente es la Agencia Española de Protección de Datos -AEPD-, ya que le corresponde supervisar la aplicación de la LO 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales -LOPD-, y del RGPD. En virtud del art. 57 RGPD, las funciones de la AEPD como autoridad de control son, entre otras, las siguientes:
Además de disponer de poderes de investigación, la AEPD tiene poderes correctivos (sancionadores) según lo estipulado en el art. 58.2 del RGPD:
Si el interesado entiende que la solicitud al responsable del tratamiento de sus datos personales sobre el ejercicio de los derechos reconocidos en los arts. 15 a 22 del RGPD no ha sido atendida, podrá reclamar ante la AEPD, ya que esta autoridad de control conocerá de dichos procedimientos, así como de aquellos en los que «investigue la existencia de una posible infracción de los dispuesto en el mencionado reglamento y en la presente ley orgánica», en virtud de lo dispuesto en el art. 63.1 LOPD.
1ª. El interesado tiene la potestad de exigir del responsable del tratamiento la atención al ejercicio de los derechos que dispone en materia de protección de datos.
2ª. En el presente supuesto, el ayuntamiento del municipio donde dicho responsable reside no participa en la relación contractual ni tiene asumidas competencias en ninguna norma sobre poderes de investigación, correctivos o de autorización o consultivos en materia de protección de datos. Por lo tanto, no puede acceder a la petición de mediación del interesado ni derivarla a la AEPD.
3ª. En este caso, la AEPD es la pertinente autoridad de control con competencias para atender las posibles peticiones del interesado. El ayuntamiento, únicamente, podrá informar al interesado sobre este aspecto para que, si éste entiende vulnerados sus derechos en materia de protección de datos, valore la interposición de una reclamación ante esta autoridad.