Artículo publicado en El Derecho, 13 de abril de 2020.
En relación con el cumplimiento de la normativa vigente en materia de protección de datos en el momento en que nos encontramos, surgen determinadas dudas por parte de los responsables del tratamiento, sobre como actuar, si bien la propia Agencia Española de Protección de Datos en su Informe 0017/2020 parte de la base de que “la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada”, la operativa llevada a cabo por responsables y encargados del tratamiento, puede verse alterada en aspectos tales como la atención de las solicitudes de ejercicios de derechos por los interesados.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “RGPD”) establece en sus artículos 15 y siguientes, los diferentes derechos que pueden ser ejercidos por el interesado en materia de protección de datos.
En este sentido, debemos tener en cuenta, junto con el resto de derechos que reconoce la citada norma, que: (i) mediante el ejercicio del derecho de acceso el interesado tendrá derecho a obtener del responsable del tratamiento confirmación acerca de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho del acceso a los datos personales así como determinada información sobre los tratamientos llevados a cabo; (ii) mediante el ejercicio del derecho de rectificación, el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan y; que (iii) el derecho a supresión de los datos permite al interesado, obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.
Junto con las obligaciones referidas, debemos tener en consideración lo recogido en nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la “LOPDGDD”), que en su artículo 12, en relación con las disposiciones generales sobre ejercicio de los derechos, establece que “el responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio”.
A mayor abundamiento, el RGPD, en su artículo 12.3 establece que “el responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo”.
Por tanto, la mención expresa del RGPD sustentaría la contestación al interesado, en el caso de que no pueda atenderse en tiempo y forma por las circunstancias excepcionales ante las que nos encontramos, facilitándole la información requerida en virtud de los diferentes derechos, indicándole esta circunstancia y prorrogándose el plazo dos meses.
La principal problemática estriba en que se debe informar sobre este hecho al interesado en el plazo máximo de un mes desde la recepción de la solicitud, por lo que, si bien se podrá facilitar posteriormente la información relativa, por ejemplo, al ejercicio del derecho de acceso, se necesitaría conocer las solicitudes que han llegado, en los diferentes formatos, papel y electrónico.
En el segundo supuesto, a los interesados que remitieron sus solicitudes por medio telemáticos, como el correo electrónico, por ejemplo, se les podría informar sobre esta prórroga, pero las incertidumbres para el responsable del tratamiento afectan a aquellos supuestos en los que el interesado haya remitido sus solicitudes en formato papel, por ejemplo, mediante correo ordinario.
En todo caso, las restricciones de movilidad derivadas del confinamiento, en aquellos sectores en los que no se haya levantado el mismo, en los términos establecidos legalmente, impedirían conocer las solicitudes de derechos recibidas en formato papel. Todo ello conllevaría la imposibilidad de contestar dichos derechos, tanto en relación con facilitarles el contenido del mismo, o informarles sobre la prórroga de dos meses para facilitarles la información, por ejemplo.
Así, si bien los responsables del tratamiento, como recogíamos, pueden informar sobre el canal para el ejercicio de los derechos a los interesados, por ejemplo, mediante un formulario en su página web o por correo electrónico, no debemos olvidar que nuestra LOPDGDD, establece taxativamente que “el ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio”.
Todo ello derivado de la capacidad de decidir del propio interesado sobre el canal a utilizar, la imposibilidad de remitir la solicitud por medios telemáticos, o la ausencia de un certificado, válido en derecho que permita acreditar su personalidad, entre otros factores.
Ante estas cuestiones surge la problemática para los responsables del tratamiento sobre como actuar ante estos casos, toda vez que, a mayor abundamiento, la solicitud del ejercicio del derecho podría llegar, tal y como reconoce la propia norma, a través de un encargado del tratamiento, aspecto que puede complicar la contestación al interesado en los términos expuestos.
A los efectos de clarificar esta cuestión, debe hacerse hincapié en el momento en que el responsable es notificado de forma fehaciente sobre dicha solicitud, es decir, tal y como establece el RGPD, “a partir de la recepción de la solicitud”.
Por tanto, deben considerarse dos causas que podrían ralentizar el momento de notificación o recepción por el responsable del tratamiento, de una parte factores externos al propio responsable, tales como las propias restricciones o aspectos que afecten al servicio en relación con la empresa de correos o envío de mensajería, en el caso del correo ordinario o, en el caso de la remisión por correo certificado, la imposibilidad de entregar al destinatario y, por tanto, de atender por este los avisos para recoger la carta o envío certificado en la oficina de correos más cercana.
El segundo factor, sería inherente a la propia actividad del responsable del tratamiento, en aquellos casos en los que su actividad no se encuentre amparada en las excepciones al confinamiento conforme a las disposiciones del ejecutivo. Es decir, la imposibilidad de recoger la correspondencia físicamente recibida.
En ambos casos podría entenderse que la recepción efectiva y, por tanto, el inicio de los plazos legalmente establecidos, se produciría en el momento en que pudiera acceder a su correspondencia.
En todo caso, estos aspectos no impiden que, el interesado, pasado el plazo de un mes, sin recibir contestación por el responsable, pueda interponer la correspondiente reclamación de tutela de derechos ante la Agencia Española de Protección de Datos, por lo que deberá acreditarse los factores tenidos en cuenta y la incidencia que tienen en la atención de las solicitudes remitidas.
En este sentido, es importante recordar, como aspectos fundamental, que la carga de la prueba recaerá sobre el responsable del tratamiento, tal y como establece el artículo 12.4 de la LOPDGDD, “la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable”.
Dentro de la diligencia debida, los responsables del tratamiento podrían avanzar en cuestiones como la habilitación de medios alternativos, de carácter temporal y extraordinario, durante el período que duren las medidas referidas en relación con la erradicación del COVID-19, para facilitar el ejercicio derechos, siempre que aporten seguridad jurídica necesaria, que puedan ser consideradas como buenas prácticas. A modo de ejemplo, la posibilidad de establecer un canal telefónico, mediante el cual los interesados puedan ponerse en contacto con el responsable, acreditando su personalidad, habida cuenta que la normativa analizada, establece de forma taxativa que los derechos en materia de protección de datos tienen carácter personalísimo y, que el incumplimiento de esta máxima puede tener otras implicaciones mas allá de las sanciones en esta materia, tales como las vulneraciones del derecho al o a la intimidad personal y/o familiar, conforme se recoge en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
En relación con estos mecanismos extraordinarios, deben tenerse en consideración aspectos tales como la necesidad de grabar las llamadas y su legitimación, a efectos probatorios y con la finalidad de dejar constancia del momento en que se tuvo conocimiento de la solicitud y/o la verificación del usuario que esta ejercitando su derecho.
Sobre este aspecto, es donde más problemáticas debe abordar el responsable del tratamiento, toda vez que el solicitante no tiene porque ser necesariamente cliente o empleado, casos en los que se podría solicitar algún tipo de identificación o clave de acceso, debiendo, por tanto analizarse desde la privacidad desde el diseño y la evaluación del impacto de estos medios extraordinarios y las medidas definidas para poder atenderlo o, poder informar sobre el plazo extraordinario de dos meses para atender la solicitud realizada, sin que esto implique necesariamente un pronunciamiento sobre su contenido.
Estos aspectos ponen de manifiesto que la innovación técnica y organizativa debe ir de la mano, del necesario análisis jurídico, sobre la base de la normativa vigente, máxime teniendo en cuenta el escenario actual y las posibles responsabilidades posteriores, tras el fin de la pandemia y el levantamiento del confinamiento con sus implicaciones.
En todo caso, entre los aspectos que deben reforzarse en aras a poder acreditar el cumplimiento normativo y la atención de derechos de los interesados, en aquellos casos en los que intervenga un encargado del tratamiento, es importante que la gestión y colaboración con el responsable del tratamiento, se encuentren recogidos en el correspondiente contrato de acceso a datos.
En cuanto a los riesgos derivados, debe tenerse en consideración, lo establecido en los artículos 72 y siguientes de la LOPDGDD, en relación con las posibles infracciones, tales como el impedimento o la obstaculización o la no atención del ejercicio de los derechos por los interesados.
Finalmente, quedan en el tintero otros aspectos que deberán abordarse próximamente por las autoridades de control en materia de protección, como, por ejemplo, el cómo actuar en ante aquellas solicitudes que llegaron en el momento en que fue decretado el confinamiento y la paralización de determinadas actividades y, que teniendo en cuenta la duración actual, pueda implicar, de facto, la imposibilidad de atender la totalidad del derecho, incluso, en el posible plazo prorrogado de dos meses analizado.
