Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 09/12/2024
Un particular dirigió solicitud de acceso a datos personales al delegado de protección de datos -DPD- de un ayuntamiento o al de la policía local, sin haber recibido contestación dentro de plazo, por lo que posteriormente presentó reclamación ante la AEPD contra dicho ayuntamiento por falta de atención de una solicitud de ejercicio de los derechos establecidos en los arts. 15 a 22 RGPD, regulado en el art. 64.1 LOPD 2018.
La AEPD pone de manifiesto que, si bien durante la tramitación del procedimiento la entidad reclamada ha contestado a la Agencia, no ha acreditado haber atendido lo solicitado por la parte reclamante, remitiéndole la preceptiva respuesta a su solicitud.
Y recuerda que la normativa aplicable no permite que pueda obviarse la solicitud como si no se hubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir los responsables, aún en el supuesto de que no existan datos en los ficheros o incluso en aquellos supuestos en los que no reuniera los requisitos previstos, en cuyo caso el destinatario de dicha solicitud viene igualmente obligado a requerir la subsanación de las deficiencias observadas o, en su caso, denegar la solicitud motivadamente indicando las causas por las que no procede considerar el derecho de que se trate.
Por tanto, la solicitud que se formule obliga al responsable a dar respuesta expresa en todo caso, empleando para ello cualquier medio que justifique la recepción de la contestación.
Dado que no se ha acompañado por el ayuntamiento copia de la necesaria comunicación a la parte reclamante informándole sobre la decisión que haya adoptado a propósito de la solicitud de ejercicio de derechos, la AEPD estima la reclamación e insta al ayuntamiento para que remita a la parte reclamante certificación en la que se atienda el derecho solicitado o se deniegue motivadamente indicando las causas.
Número de documento: EXP202407621
Fecha de documento: 09/12/2024
Concepto: Finalidades específicas
Sectorial: Administración Pública y defensa; Seguridad Social obligatoria
Artículo infringido: Artículo 15 del RGPD
RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOS
Vista la reclamación registrada en fecha 17 de abril de 2024 ante esta Agencia y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes
PRIMERO: A.A.A. (en adelante, la parte reclamante) ejerció el derecho de Acceso frente a AYUNTAMIENTO DE SANTANDER (en adelante, la parte reclamada) sin que su solicitud haya recibido la contestación legalmente establecida.
El 27 de febrero de 2024 la parte reclamante ejercitó el derecho de acceso, registrando su solicitud en la sede electrónica del AYUNTAMIENTO DE SANTANDER (parte reclamada).
Señala que el escrito presentado se encontraba dirigido al delegado de protección de datos (DPD) de la parte reclamada o al de la policía local, sin que haya recibido contestación dentro de plazo.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
TERCERO: El resultado del trámite de traslado indicado en el Hecho anterior no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 17 de julio de 2024, a los efectos previstos en el artículo 64.1 de la LOPDGDD, la Directora de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada.
El mencionado acuerdo concedió a la parte reclamada trámite de audiencia, para que en el plazo de diez días hábiles presentase las alegaciones que estimara convenientes, formulando, en síntesis, las siguientes alegaciones:
“Se emite el presente informe a requerimiento del Delegado del Protección de Datos de carácter personal del Ayuntamiento de Santander tras su solicitud tramitada a este Cuerpo Policial el pasado día (…).
En atención a su solicitud, a instancias de la Agencia Española de Protección de Datos (AEPD) se pone en su conocimiento de que no obra en poder de esta Policía Local ninguna foto, ni grabación de audio o vídeo más allá de la aportada por el interesado de su DNI junto con la solicitud o de haber podido ser captado por alguna de las cámaras de videovigilancia municipal, no habiéndose guardado imagen alguna sobre el interesado por lo que una vez transcurrido el plazo de un mes las imágenes en las que haya podido aparecer se borrarán automáticamente.
Que a continuación se informa que sobre la persona solicitante en esta Policía Local únicamente consta el nombre y DNI sobre las actuaciones de esta Policía Local que a continuación se relacionan:”
CUARTO: Examinado el escrito presentado por la parte reclamada, se traslada a la parte reclamante, para que, en el plazo de diez días hábiles formule las alegaciones que considere oportunas, formulando, en síntesis, las siguientes alegaciones:
“Que referente a las alegaciones señaladas de contrario, únicamente expresar el hecho de que de forma directa se me está dando la razón., por las alegaciones del contrario, demostrar que no se me ha concedido mis derechos de ACCESO, así como no se me ha comunicado, en tiempo y ha obviado dicho ejercicio hasta que se ha presentado la preceptiva denuncia y ha habido plazo de contestación por contrario.”
I Competencia
De acuerdo con las funciones que el artículo 49 de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales (en lo sucesivo, LO 7/2021), atribuye a las autoridades de protección de datos, conforme a lo establecido en el artículo 48 de la citada LO 7/2021 y según lo establecido en los artículos 47, 48.1 y 64.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
Por último, el artículo 52 "Régimen aplicable a los procedimientos tramitados ante las autoridades de protección de datos" de la LO 7/2021 establece que:
"1. En el caso de que los interesados aprecien que el tratamiento de los datos personales haya infringido las disposiciones de esta Ley Orgánica o no haya sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 21, 22 y 23 tendrán derecho a presentar una reclamación ante la autoridad de protección de datos.
2. Dichas reclamaciones serán tramitadas por la autoridad de protección de datos competente con sujeción al procedimiento establecido en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, y, en su caso, a la legislación de las Comunidades Autónomas que resulte de aplicación. Tendrán carácter subsidiario las normas generales sobre los procedimientos administrativos y el régimen jurídico del sector público."
II Cuestiones previas
De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratamiento acerca de las obligaciones que les incumben, así como tratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas.
Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad.
De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a trámite de la reclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida.
El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 17 de julio de 2024, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual:
“Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.
En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación”.
El artículo 58.2 del RGPD confiere a la Agencia Española de Protección de Datos una serie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye “ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento.
III Derechos de las personas en materia de protección de datos personales
Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del RGPD.
De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado.
La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
IV Derecho de acceso
Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la LOPDGDD, "el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales".
Tratándose del derecho de acceso a los datos personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que especifique los "datos o actividades de tratamiento a los que se refiere la solicitud". El derecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los extremos previstos en el artículo 15 del RGPD).
El ejercicio de este derecho se podrá considerar repetitivo si se ejerce en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser asumido por el afectado.
Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorías de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que podrán comunicarse los datos, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un tercer país o a una organización internacional. La posibilidad de obtener copia de los datos personales objeto de tratamiento no afectará negativamente a los derechos y libertades de otros.
V Conclusión
Durante la tramitación del presente procedimiento, la entidad reclamada ha contestado a esta Agencia, pero no acredita haber atendido lo solicitado por la parte reclamante, remitiéndole la preceptiva respuesta a su solicitud.
Así, no cabe aceptar que la respuesta que corresponda dar pueda manifestarse con ocasión de un mero trámite administrativo, como es la formulación de alegaciones con motivo del presente procedimiento, iniciado precisamente por no atender debidamente la solicitud en cuestión.
Las normas antes citadas no permiten que pueda obviarse la solicitud como si no se hubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir los responsables, aún en el supuesto de que no existan datos en los ficheros o incluso en aquellos supuestos en los que no reuniera los requisitos previstos, en cuyo caso el destinatario de dicha solicitud viene igualmente obligado a requerir la subsanación de las deficiencias observadas o, en su caso, denegar la solicitud motivadamente indicando las causas por las que no procede considerar el derecho de que se trate.
Por tanto, la solicitud que se formule obliga al responsable a dar respuesta expresa en todo caso, empleando para ello cualquier medio que justifique la recepción de la contestación.
Dado que no se acompaña copia de la necesaria comunicación que debe dirigir a la parte reclamante informándole sobre la decisión que haya adoptado a propósito de la solicitud de ejercicio de derechos, procede estimar la reclamación que originó el presente procedimiento.
Vistos los preceptos citados y demás de general aplicación, la Directora de la Agencia Española de Protección de Datos:
PRIMERO: ESTIMAR la reclamación formulada por A.A.A. al considerar que se ha infringido lo dispuesto en el Artículo 15 del RGPD y Artículo 22 de la LO 7/2021 e instar a AYUNTAMIENTO DE SANTANDER con NIF P******, para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación en la que se atienda el derecho solicitado o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en el cuerpo de la presente resolución. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de una infracción del art. 83.6 del RGPD, calificada como muy grave a los efectos de prescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará de acuerdo con el art. 58.2 del RGPD.
SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a AYUNTAMIENTODE SANTANDER.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Mar España Martí
Directora de la Agencia Española de Protección de Datos