A lo largo de los años, en este blog os hemos hablado de todo lo relacionado con la protección de datos, sobre los nuevos cambios normativos, os hemos aclarado como cumplir con dichos cambios, hemos hablado acerca de las sanciones que la Agencia Española de Protección de Datos (en adelante AEPD) impone en el caso de no cumplir con las estipulaciones de la Ley etcétera. Sin embargo, no habíamos abordado las consecuencias que conlleva no permitir la entrada a los inspectores de la AEPD, en el marco de las actuaciones de investigación por un posible incumplimiento de la normativa en materia de protección de datos, cuestión que hoy vamos a analizar.
Hace unos días, nuestra autoridad de control publicó una Resolución de recurso de reposición, expediente nº. EXP202305050, por la cual se sancionaba a una empresa por impedir la entrada al personal de la Agencia en su labor inspectora. Pero ¿Por qué la empresa no permitió la entrada a los inspectores de la AEPD a su negocio?
Comenzamos haciendo referencia al origen del recurso de reposición:
1.- El expediente mencionado deriva el procedimiento sancionador PS/00204/2023 como consecuencia de una reclamación presentada ante la AEPD contra la empresa reclamada como titular de un portal web, apreciándose indicios de un posible incumplimiento de lo dispuesto en el RGPD, se iniciaron actuaciones.
La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del RGPD, y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD).
2.- En el marco de las actuaciones de investigación, se comunicó por parte de la Agencia a la entidad reclamada que Inspectores de la Agencia Española de Protección de datos se personarían en su sede social con fecha 27 de marzo para realizar una visita de inspección, considerándose imprescindible la presencia de representantes de la entidad, con la finalidad de colaborar en la inspección, así como facilitar el acceso a sus ficheros.
La AEPD continúa manifestando que la comunicación de la visita de inspección, la cual se notificó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), fue recogida por la entidad con fecha 15 de marzo de 2023.
La reclamada, mediante escrito con fecha de entrada 22 de marzo de 2023, comunica a la AEPD que el Administrador de la sociedad se sujeta al derecho a no declarar y que, tanto él como el departamento jurídico de la empresa, asistirán a la convocatoria del día 27 de marzo de 2023, en su domicilio social pero que no permitirán la entrada al domicilio de los inspectores de la Agencia.
Así las cosas, la entidad reclamada vierte las siguientes alegaciones para justificar su negativa a la entrada de los inspectores de la AEPD a su domicilio fiscal:
En primer lugar, fundamenta dicha negativa en el Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos (en adelante RD 389/2021), en concreto en la Disposición adicional única por la que se suprimen los siguientes órganos directivos:
“a) El director/a de la Agencia Española de Protección de Datos.
b) El Registro General de Protección de Datos.
c) La Inspección de Datos.”
La entidad afirma que la Directora de la Agencia Española de Protección de Datos suscribe el acuerdo de inicio del presente expediente “de forma ilegal e irregular puesto que su cargo, ya caducado, desaparece de forma irreversible con el RD 389/2021 al haber sido nombrada en 2015, tener su cargo una duración de 5 años y no haber sido revocada en su cargo ni reelegida, ejerciendo su cargo en fraude de Ley”. Asimismo, concluye que la Directora no puede firmar ningún requerimiento, acuerdo ni sanción hasta el nombramiento de un sucesor/a y al no haberse rectificado el Real Decreto deja a la Agencia inhábil.
Respecto a la obstrucción de la actuación inspectora, la reclamada sostiene que dicha obstrucción no ha existido debido a que el apartado c), del mencionado Real Decreto 389/2021, suprime la Inspección de Datos. Además, asevera que la AEPD “está persiguiéndoles y se quieren preparar pruebas inexistentes a través de la ilegalidad”. Alegan que el día 27 de marzo, no se presentaron los inspectores “porque sabían que serían grabados y se demostrarían sus presuntas infracciones continuadas y las tropelías cometidas hasta el momento por dicho organismo”. La entidad también expone que, pese a haber advertido con anterioridad que no estarían a disposición de la Agencia ese día, con fecha 15 de marzo de 2023 se personaron dos inspectores de la Agencia Española de Protección de Datos en su sede social al objeto de realizar una inspección.
Tras las alegaciones expuestas por la parte reclamada, la Agencia Española de Protección de Datos se defiende de las mismas. Iremos analizando una por una:
- Respecto de la caducidad del cargo de la Directora de la AEPD:
La Agencia manifiesta que la Sentencia de la Audiencia Nacional (SAN) 5570/2022, de 9 de diciembre, analiza ampliamente dicho asunto.
En dicha Sentencia se hace referencia, en primer lugar, al artículo 53.3 RGPD “los miembros de la autoridad de control darán por concluidas sus funciones en caso de terminación del mandato, dimisión o jubilación obligatoria, de conformidad con el Derecho del Estado miembro de que se trate”. Continua la Sala manifestando que tanto el artículo 36.1 de la Ley Orgánica 15/1999, normativa vigente cuando se efectúa el nombramiento de la Directora de la AEPD, establece que, transcurrido el término de 4 años, el Gobierno puede cesar al Director sin necesidad de causa, pero ello no implica que cuando se cumple ese plazo su cargo automáticamente deje de tener efectividad y de tener funciones o competencia alguna, pues eso no resulta expresamente de la citada LOPD, ni tampoco de la actual LOPDGDD en su art. 48 respecto de la Presidencia de la AEPD.
Argumentan que así se ha venido haciendo por todos los Gobiernos que proceden a cesar expresamente a los Directores de la AEPD, obedeciendo dicho acto a los principios de responsabilidad continuidad de las instituciones, para evitar que la institución quede inoperativa cuando no se ha producido el nombramiento en el cargo de una nueva persona.
La Audiencia Nacional continúa explicando que el legislador podía haber establecido expresamente la previsión automática de decaimiento del cargo, esto es, que la efectividad en el cargo cesa en el mismo momento del cumplimiento del plazo, pero no lo ha hecho ni en la LOPD ni en la vigente LOPDGDD, ni tampoco en el RD 389/2021.
Concluye la Sentencia manifestando que no habiéndose establecido limitaciones a la actuación del Director de la AEPD en funciones, la Directora de dicho organismo ostenta competencia para dictar la resolución impugnada, así como el acuerdo del inicio del procedimiento sancionador.
- Respecto a la obstrucción de la actuación inspectora por parte de la entidad reclamada:
La entidad alega que la inspección de datos es suprimida por el RD 389/2021. La Agencia responde manifestando que, aunque la Inspección de Datos como órgano directivo quede suprimida, en su lugar, es la Subdirección General de Inspección de Datos el órgano equivalente en la estructura orgánica de esta Agencia, definiéndose en el artículo 27 de dicho Real Decreto sus competencias y funciones, y por lo tanto, esta Subdirección mantiene vigentes sus competencias tal como se recoge en dicho artículo.
Nuestra autoridad de control añade, además, que, con relación a la inspección que se intentó realizar con fecha 15 de marzo de 2023, consta diligencia en la que se indica que la entidad reclamada fue notificada de la inspección en fecha 8 de marzo mediante una llamada telefónica, sin que conste llamada de vuelta ni correo alguno para cancelar la misma. Los inspectores de la AEPD se personaron en dicha fecha en la sede social de la reclamada y las personas allí presentes les informaron que en dichos locales se alquilan oficinas para eventos a diferentes empresas, entre las que se encuentra la reclamada. Así, y ante la negativa a facilitar más información los inspectores actuantes abandonan el local.
La reclamada en sus alegaciones señala que, al no presentarse los inspectores de la Agencia ni poder identificarles el día 27 de marzo se privo a la misma de poder recusarles.
El mismo día que los inspectores acuden a la sede de la entidad reclamada con desenlace infructuoso, 15 de marzo de 2023, se remite escrito a la entidad reclamada indicando que el día 27 de marzo de 2023, se personarán inspectores de la Agencia con el objeto de realizar una visita de inspección. La reclamada, mediante escrito con fecha 22 de marzo de 2023 comunica a la AEPD que no permitirán la entrada al domicilio a los inspectores ni proporcionarán ninguna información. Así las cosas, los inspectores no se desplazaron a la sede.
Por tanto, ante la negativa por parte de la entidad de recibir a los inspectores de la Agencia ni darles ningún tipo de información, la AEPD decide no acudir. Nuestra autoridad de control, además, alega que la sola identificación de los inspectores no conlleva su recusación, la cual sólo tendría lugar, en su caso, conforme a lo establecido en los artículos 23 y 24 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP).
De acuerdo con lo anteriormente expuesto, la Agencia Española de Protección de Datos considera que la reclamada ha impedido a sus inspectores el acceso a los datos personales, información, locales, equipos y medios de tratamiento que son requeridos para el ejercicio de sus poderes de investigación. Por tanto:
- La potestad de investigación que confiere el Articulo 58.1 RGPD, ha sido obstaculizada.
- La negativa a proporcionar acceso a la información requerida de conformidad con el articulo 53.1 LOPDGDD por los inspectores de la Agencia ha resultado infructuosa.
Los hechos descritos a lo largo del articulo son constitutivos de una infracción, imputable a la entidad reclamada, por vulneración del articulo 58.1. RGPD. La calificación y tipificación de esta conducta se ha estimado de acuerdo con los artículos 83.5. RGPD: “no facilitar acceso en incumplimiento del artículo 58, apartado 1”, con la calificación de muy grave tal y como se dispone en el artículo 72.1. LOPDGDD. Asimismo, se gradúa la sanción a imponer de acuerdo con los criterios que establece el artículo 83.2 RGPD, y finalmente se acuerda imponer a la empresa reclamada una sanción de 20.000 euros por obstrucción en la labor de investigación de la Agencia.
En este caso, la entidad resulta sancionada por impedir a los inspectores de la Agencia recabar información en un proceso de investigación. Por tanto, si estamos inmersos en un procedimiento sancionador y la AEPD ejerciendo sus facultades de investigación, nos notifica manifestando que van a acudir a investigar a nuestro local debemos ser diligentes y facilitar su labor de instrucción ya que, como hemos comprobado a lo largo del presente artículo, las consecuencias de impedirlo seguramente sean mucho mayores que las de asistir a la Agencia.
