La resolución PS-00380/2025, dictada por la Agencia Española de Protección de Datos (en adelante, AEPD), constituye un claro ejemplo del funcionamiento del mecanismo de cooperación transfronteriza establecido por el artículo 50 del Reglamento General de Protección de Datos (RGPD).
En este caso, la reclamación tiene su origen en una ciudadana italiana que recibe una llamada en la que se menciona su nombre y sus propiedades inmobiliarias. La reclamante señala que su número de teléfono no se encuentra publicado en ningún directorio y, por ello, decide investigar la forma en que sus datos habían sido obtenidos. Posteriormente, envía correos electrónicos a la empresa que había tratado sus datos, con el fin de ejercitar sus derechos de acceso y supresión, sin recibir respuesta alguna.
Al acudir a la autoridad competente en Italia para iniciar el procedimiento pertinente, se determinó que la empresa responsable del tratamiento tenía su establecimiento en España. Esto llevó a que la AEPD actuará como autoridad de control principal, mientras que otras autoridades interesadas, como las de Italia y Francia, país en el que la empresa también desarrollaba actividad, participaron igualmente en el proceso.
Este procedimiento ilustra cómo se articula la coordinación institucional entre los Estados miembros cuando los tratamientos de datos tienen un carácter europeo, garantizando una protección eficaz de los datos del interesado.
COMPETENCIA Y PROCEDIMIENTO
Conforme con el artículo 56 del RGPD, la reclamación presentada por la interesada ante la autoridad italiana fue remitida a la AEPD mediante el Sistema de Información del Mercado Interior (IMI). De este modo, la AEPD actuó como autoridad de control principal, dado que el responsable del tratamiento tiene su establecimiento principal en España, como se indicó anteriormente.
Asimismo, conforme al artículo 60 del RGPD, actuaron como autoridades de control interesadas las de los Estados de Italia y Francia, lo que permitió el intercambio de información a través del sistema IMI.
OBJECIONES
La AEPD emitió inicialmente un proyecto de archivo del caso a través del IMI. Sin embargo, la autoridad italiana formuló objeciones, aportando nuevos correos electrónicos relacionados con solicitudes de supresión presentadas por la ciudadana afectada, los cuales no habían recibido respuesta por parte del responsable del tratamiento. Estos documentos fueron incorporados como pruebas adicionales.
Gracias a estas objeciones, la AEPD retiró su primer proyecto de archivo y elaboró un nuevo proyecto de inicio de procedimiento sancionador, solicitando nuevamente a las autoridades interesadas que formularán las objeciones que estimen oportunas. Finalmente, al no recibirse objeción alguna, se procedió a iniciar el trámite correspondiente.
DERECHO DE SUPRESIÓN
Teniendo en cuenta lo dispuesto en el artículo 17 del RGPD, toda persona tiene derecho a que sus datos sean suprimidos siempre que concurran las condiciones legales, y siempre que dichos datos no deban ser objeto de un tratamiento necesario o justificado por fines legítimos.
Asimismo, la reclamante solicitó la supresión de sus datos al responsable mediante correos electrónicos enviados a la dirección designada. La AEPD valoró que dichas solicitudes cumplían los requisitos formales y que el responsable no ofreció respuesta ni acreditó haber actuado conforme a sus obligaciones.
LA SANCIÓN
La infracción fue calificada conforme al artículo 83.5.b del RGPD, por vulneración de los derechos de los interesados. Del mismo modo, atendiendo a los criterios establecidos en dicho artículo y en el artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD), la AEPD propuso una sanción de 1.000 euros.
Asimismo, la AEPD indicó que, en caso de reconocimiento de responsabilidad y pago voluntario, el responsable podría acogerse a una reducción del 40 % del importe de la sanción, quedando ésta en 600 euros.
Además, se impuso al responsable la obligación de acreditar ante la AEPD la correcta ejecución de la solicitud de supresión en un plazo de treinta días, conforme a lo dispuesto en el artículo 58.2 del RGPD.
FUNCIONAMIENTO DEL IMI
El caso demuestra con claridad la operativa del sistema IMI, que constituye el canal digital mediante el cual las autoridades de distintos Estados miembros intercambian información, documentación y propuestas de decisión en procedimientos transfronterizos. A través de este sistema, la AEPD recibió la reclamación, notificó su propuesta de decisión, recibió las objeciones y modificó su planteamiento inicial, gestionando todo el flujo exclusivamente mediante el IMI.
Este funcionamiento constituye un ejemplo práctico del cumplimiento de los artículos 56 y 60 del RGPD, que promueven la coherencia en las decisiones y la cooperación administrativa entre autoridades de protección de datos.
OBLIGACIONES DEL RESPONSABLE
La resolución pone de manifiesto la importancia de que el responsable del tratamiento establezca medios accesibles y efectivos para que los interesados puedan ejercer sus derechos. Debe existir una vía clara para recibir las solicitudes de las personas que desean que sus datos sean suprimidos de las bases de datos que gestiona el responsable, y este debe responder en el plazo de un mes, salvo excepciones, según lo dispone el RGPD. Asimismo, resulta esencial documentar las actuaciones realizadas.
En este caso, la falta de respuesta constituyó una infracción, ya que la AEPD concluyó que la empresa no demostró haber atendido diligentemente la solicitud de supresión presentada por la interesada.
AUTORIDADES INTERESADAS
El papel de la autoridad italiana en el presente caso resulta de gran relevancia y carácter decisivo, ya que fue su objeción a la decisión inicial de archivo adoptada por la AEPD lo que motivó que posteriormente se iniciara el procedimiento sancionador. Esto evidencia que las autoridades interesadas no son meros órganos consultivos, sino que pueden modificar el curso del expediente cuando consideran que los hechos no han sido valorados correctamente o cuando aportan evidencias determinantes que influyen en la dirección del procedimiento.
De este modo, la cooperación entre autoridades garantiza una visión completa del caso y evita que se obstaculice la tutela efectiva de los derechos de la persona afectada.
CONCLUSIÓN
La resolución PS-00380/2025 constituye un ejemplo paradigmático del funcionamiento del sistema IMI y del mecanismo de cooperación transfronteriza previsto en el RGPD. Gracias a este sistema, la AEPD pudo coordinarse eficazmente con las autoridades que participaron en el procedimiento, asegurando así que las reclamaciones de la interesada fueran analizadas en profundidad.
El resultado final fue la imposición de una sanción y la obligación de acreditar la correcta atención de la solicitud de supresión de datos, reafirmando la obligación del responsable del tratamiento de respetar los derechos de los interesados y de responder dentro de los plazos previstos por el RGPD. Además, el caso demuestra que la intervención de otras autoridades puede modificar el rumbo de un expediente, fortaleciendo la coherencia y la eficacia del sistema europeo de protección de datos.
En definitiva, esta resolución subraya la relevancia de una coordinación institucional sólida para garantizar los derechos de los interesados en un contexto transnacional y demuestra que el marco normativo europeo es operativo y garantista en la protección de los derechos de los ciudadanos.
Escrito por: Nicolás Rodríguez
