Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 12/04/2022
Se interpone por un particular reclamación contra un ayuntamiento por no haber sido atendida su solicitud de acceso a los datos personales.
Durante la tramitación del procedimiento, la entidad local manifiesta que procedieron a la supresión de los datos y que, por ello, al no disponer de tales datos en sus ficheros, no es posible atender el derecho de acceso solicitado.
La AEPD señala que cuando se ejercitan el derecho de acceso y supresión, procede atender ambos derechos, y no cabe aceptar que, con la realización de la supresión de los datos personales se pretenda dejar sin respuesta a otro derecho ejercitado.
Y añade que la supresión debe llevarse a cabo mediante el bloqueo, que, con carácter general, no implicará automáticamente su borrado físico, quedando a disposición de los Tribunales, el Ministerio Fiscal u otras administraciones públicas competentes, en particular las autoridades de protección de datos, para las exigencias de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de estas.
Por ello, se debe atender la solicitud de acceso conforme a lo establecido en el art. 15 RGPD y facilitar a la parte reclamante los datos que fueron objeto del tratamiento, la finalidad de este, el origen y si se comunicaron a terceros.
En base a todo ello, la AEPD estima la reclamación e insta al ayuntamiento a remitir a la parte reclamante certificación en la que haga constar que ha atendido el derecho de acceso ejercido de conformidad con lo establecido en la resolución.
Vista la reclamación formulada el 29 de agosto de 2021 ante esta Agencia por A.A.A. (a partir de ahora la parte reclamante), contra AYUNTAMIENTO DE SANTA POLA (a partir de ahora la parte reclamada), por no haber sido debidamente atendida su solicitud de ejercicio de derechos establecidos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo sucesivo, RGPD).
Realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes:
HECHOS
PRIMERO: La parte reclamante ejerció el derecho de acceso frente al reclamado, sin que su solicitud haya recibido la contestación legalmente establecida. Aporta diversa documentación relativa a la reclamación planteada ante esta Agencia y sobre el ejercicio del derecho ejercitado.
SEGUNDO : Una vez cumplido el trámite previsto en el artículo 65.4 de la LOPDGDD, se admitió a trámite la reclamación y se concedió a la entidad reclamada trámite de audiencia, para que en el plazo de quince días hábiles presentase las alegaciones que estimara convenientes.
La entidad reclamada no ha acreditado, con ocasión de los trámites formalizados, que haya dado respuesta a la solicitud de ejercicio de derechos que le fue presentada por la parte reclamante.
Durante la tramitación del presente procedimiento, la entidad ha manifestado que, como procedieron a la supresión de los datos y que, por ello, al no disponer de tales datos en sus ficheros, no es posible atender el derecho de acceso solicitado.
A saber:
"...Conforme indica en su denuncia, lo único que podemos alegar que efectivamente no se le dio contestación correcta acerca del DERECHO DE ACCESO, recogido en el art. 15 del RGPD, si no que por un error conceptual en cuanto a los derechos, se le dio contestación a un derecho de supresión de los datos que indebidamente se habían recogido, contestación que se le dio por medio de un email, y que adjunto como documento nº 1. Donde además queda constancia de que por parte del Ayuntamiento no se tiene ningún dato, dado que han sido suprimidos..."
La parte reclamante manifiesta ante esta Agencia su indignación y, afirma de forma rotunda no haber recibido respuesta alguna de la parte reclamada, por tanto se pregunta a quien debieron mandarle dicha respuesta.
"...Como reclamante, jamás se me ha notificado y/o trasladado el escrito al que hace referencia en el punto anterior, siendo ahora, al incluirse en la documentación de este expediente, la primera vez que tengo constancia de este, quedando la duda de a quién se le ha enviado por email un informe policial que contiene mis datos personales..."
PRIMERO: Es competente para resolver la Directora de la Agencia Española de Protección de Datos, conforme a lo establecido en el apartado 2 del artículo 56 en relación con el apartado 1 f) del artículo 57, ambos del RGPD; y en el artículo 47 de la LOPDGDD.
SEGUNDO: De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratamiento acerca de las obligaciones que les incumben, así como tratar las reclamaciones presentadas por un interesado e investigar el motivo de las mismas.
Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad.
Del mismo modo, el ordenamiento jurídico interno, en el artículo 65.4 la LOPDGDD, ha previsto un mecanismo previo a la admisión a trámite de las reclamaciones que se formulen ante la Agencia Española de Protección de Datos, que consiste en dar traslado de las mismas a los delegados de protección de datos designados por los responsables o encargados del tratamiento, a los efectos previstos en el artículo 37 de la citada norma, o a éstos cuando no los hubieren designado, para que procedan al análisis de dichas reclamaciones y a darles respuesta en el plazo de un mes.
De conformidad con esta normativa, con carácter previo a la admisión a trámite de la reclamación da lugar al presente procedimiento, se dio traslado de la misma a la entidad responsable para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida, en el supuesto de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD.
El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 29 de noviembre de 2021, a los efectos previstos en su artículo 64.2 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada. Dicho acuerdo de admisión a trámite determina la apertura del presente procedimiento de falta de atención de una solicitud de ejercicio de derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual:
"1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo siguiente.
En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación".
No se estima oportuna la depuración de responsabilidades administrativas en el marco de un procedimiento sancionador, cuyo carácter excepcional implica que se opte, siempre que sea posible, por la prevalencia de mecanismos alternativos que tengan amparo en la normativa vigente.
Es competencia exclusiva de esta Agencia valorar si existen responsabilidades administrativas que deban ser depuradas en un procedimiento sancionador y, en consecuencia, la decisión sobre su apertura, no existiendo obligación de iniciar un procedimiento ante cualquier petición realizada por un tercero. Tal decisión ha de basarse en la existencia de elementos que justifiquen dicho inicio de la actividad sancionadora, circunstancias que no concurren en el presente caso, considerando que con el presente procedimiento quedan debidamente restauradas las garantías y derechos del reclamante.
TERCERO: Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del RGPD.
De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado.
La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
Tratándose del derecho de acceso a los datos personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que especifique los "datos o actividades de tratamiento a los que se refiere la solicitud". El derecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los extremos previstos en el artículo 15 del RGPD).
El ejercicio de este derecho se podrá considerar repetitivo en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser asumido por el afectado.
CUARTO: Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la LOPDGDD, "el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales".
Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorías de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un tercer país o a una organización internacional. La posibilidad de obtener copia de los datos personales objeto de tratamiento no afectará negativamente a los derechos y libertados de otros, es decir, el derecho de acceso se otorgará de modo que no afecte a datos de terceros.
En el supuesto aquí analizado, la parte reclamante ejercitó su derecho de acceso y, trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitud no obtuvo la respuesta legalmente exigible, dado que no se facilitó el acceso requerido.
Por otro lado, durante la tramitación del presente procedimiento, la entidad ha manifestado que, como procedieron a la supresión de los datos, no es posible atender el derecho de acceso, al no disponen de estos en el fichero.
A este respecto, cabe señalar que, cuando se ejercitan el derecho de acceso y supresión, procede atender ambos derechos, no cabe aceptar que, con la realización de la supresión de los datos personales, amparándose en la normativa, se pretenda dejar sin respuesta a otro derecho ejercitado.
Conforme a la normativa de protección de datos, la supresión debe llevarse a cabo mediante el bloqueo, por lo tanto, la supresión de los datos personales al haber dejado de ser necesarios para la finalidad que justificó su tratamiento, dicha supresión se ha de realizar mediante la modalidad de bloqueo de los datos de carácter personal sometidos a tratamiento que, salvo en las circunstancias recogidas en el citado artículo 17.3 b) y e), no implicará automáticamente su borrado físico. Esta actuación está sometida a determinadas condiciones con las que se pretende asegurar y garantizar el derecho del afectado a la protección de sus datos de carácter personal.
Los datos bloqueados quedarán a disposición de los Tribunales, el Ministerio Fiscal u otras Administraciones públicas competentes, en particular las autoridades de protección de datos, para las exigencias de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de estas.
Por ello, se debe atender la solicitud de acceso conforme a lo establecido en el artículo 15 del RGPD y facilitar a la parte reclamante los datos que fueron objeto del tratamiento, la finalidad de este, el origen y si se comunicaron a terceros.
En base a cuanto antecede, considerando que el presente procedimiento tiene como objeto que las garantías y los derechos de los afectados queden debidamente restaurados, conjugando la información obrante en el expediente con la normativa referida en los apartados precedentes, procede estimar la reclamación que originó el presente procedimiento.
Vistos los preceptos citados y demás de general aplicación, la Directora de la Agencia Española de Protección de Datos
PRIMERO: ESTIMAR la reclamación formulada por A.A.A. e instar a AYUNTAMIENTO DE SANTA POLA, con CIF P0312100A, para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación en la que haga constar que ha atendido el derecho de acceso ejercido, de conformidad con lo establecido en el cuerpo de la presente resolución. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de la infracción considerada en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdo con el art. 58.2 del RGPD.
SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a AYUNTAMIENTO DE SANTA POLA.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se podrá interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos, en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la Disposición Adicional Cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.