La persona que considere que se ha vulnerado su derecho a la protección de datos podrá, en primer lugar, dirigirse al responsable del tratamiento –empresario–, a través de los canales de contacto previstos, para comunicarle su deseo de impedirle el acceso a sus datos si no se hubiera producido aún, o bien, para que rectifique o suprima alguna información en la que consten sus datos si ya hubiera accedido a ellos. El empresario estará obligado a actuar –bloquear los datos, rectificar o suprimir–, según proceda.
Si el empresario no responde en el plazo establecido (el plazo general es un mes) o el denunciante (trabajador o trabajadora) considera que la respuesta no ha sido adecuada, puede acudir al Delegado de Protección de Datos (art. 38.4 Reglamento (UE). Con él se puede alcanzar una solución amistosa porque esta figura se encarga de supervisar el cumplimiento de la normativa de protección de datos.
No obstante, en caso de desacuerdo se puede presentar reclamación ante la AEPD [art. 77 Reglamento (UE)], aunque previamente al inicio del procedimiento sancionador, deberá admitir la reclamación para que se inicie una fase previa de alegaciones con el fin de determinar los hechos y las circunstancias. Esta fase previa no podrá ser superior a doce meses desde que se acuerde su admisión a trámite.
Tras la finalización de la fase de alegaciones previas, el Director de la AEPD dictará cuando sea necesario el acuerdo de inicio del procedimiento donde se reflejaran los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la posible infracción y su posible sanción, ello sin perjuicio de las acciones ejercitables ante los Tribunales de Justicia, contempladas en el artículo 79 del Reglamento (UE).
La LOPD no determina la cuantía de las sanciones, sino que nos remite al Reglamento comunitario. El importe de las sanciones en el Reglamento (UE) es para las infracciones muy graves de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía (art. 83.4); para las infracciones graves la multa administrativa será de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Nuestra LOPD añade criterios de graduación a los ya previstos por el Reglamento comunitario, tales como:
- El carácter continuado de la infracción
- La vinculación de la actividad del infractor con la realización de tratamientos de datos personales. • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
- La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
- La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
- La afectación a los derechos de los menores.
- Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
- El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.
Junto a la sanción, la AEPD podrá acordar, de forma motivada, la adopción de medidas necesarias y proporcionadas para salvaguardar el derecho a la protección de datos con el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
Además la persona afectada podrá solicitar una indemnización por los daños y perjuicios sufridos una vez constatada por parte de la Agencia la vulneración de la normativa de protección de datos. Ello, de acuerdo con lo establecido en el art. 82.1 del Reglamento (UE) que prevé la posibilidad de que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del mismo tenga derecho a recibir del responsable o el encargado del tratamiento una indemnización por ellos.
