DocuGov.ai
DocuGov.ai
🧾 Consumo y reclamaciones regulatoriasinternational

Presentar una reclamación ante la autoridad de protección de datos (RGPD)

Las reclamaciones por protección de datos se han disparado desde la entrada en vigor del RGPD en 2018, otorgando a los ciudadanos poderosos derechos sobre sus datos personales. El RGPD concede derechos que incluyen el acceso a sus datos (Artículo 15), rectificación (Artículo 16), supresión o derecho al olvido (Artículo 17), limitación del tratamiento (Artículo 18), portabilidad de datos (Artículo 20) y el derecho de oposición (Artículo 21). Cuando las organizaciones vulneran estos derechos, puede presentar una reclamación ante su autoridad nacional de protección de datos. En España, la Agencia Española de Protección de Datos (AEPD) tramita las reclamaciones y es reconocida como una de las autoridades más activas de Europa en la imposición de sanciones. En Alemania, cada Bundesland tiene un Landesdatenschutzbeauftragter. En Francia, la CNIL es la autoridad supervisora. En Polonia, el UODO gestiona las reclamaciones. En el Reino Unido, el ICO es la autoridad competente. Las autoridades de protección de datos tienen la potestad de investigar, ordenar el cumplimiento e imponer multas significativas (hasta 20 millones de euros o el 4% de la facturación global anual). DocuGov.ai le ayuda a generar una carta de reclamación profesional.

Generar esta carta ahoraMás información

Comprender tu situación

Una organización ha vulnerado sus derechos de protección de datos y desea presentar una reclamación formal. Escenarios frecuentes de reclamación por protección de datos: - Solicitud de acceso ignorada o denegada: Presentó una solicitud de acceso a sus datos personales pero la organización no respondió dentro del plazo legal (1 mes según el RGPD) o la denegó sin motivos válidos. - Brecha de datos que afecta a sus datos personales: Una organización sufrió una brecha de seguridad que expuso su información personal (datos financieros, registros sanitarios, contraseñas, documentos de identidad). Desea asegurarse de que se realice la notificación y las medidas correctivas adecuadas. - Tratamiento ilícito de datos: Una organización está tratando sus datos personales sin una base jurídica válida (consentimiento, contrato, interés legítimo, obligación legal). Esto incluye la venta de sus datos a terceros sin consentimiento. - Derecho de supresión denegado: Solicitó la eliminación de sus datos personales (derecho al olvido) pero la organización rechazó sin motivos válidos o continuó tratando sus datos después de la solicitud. - Comunicaciones comerciales no deseadas: Recibe comunicaciones de marketing (correo electrónico, teléfono, SMS, correo postal) sin haber dado su consentimiento, tras haberlo retirado o tras registrarse en la Lista Robinson. - Consentimiento no obtenido correctamente: Una organización alega el consentimiento como base jurídica para el tratamiento, pero este no fue otorgado libremente, de forma específica, informada e inequívoca como exige el Artículo 7 del RGPD. - Datos compartidos con terceros sin autorización: Sus datos personales fueron compartidos con terceros (empleadores, aseguradoras, agencias de crédito, empresas de marketing) sin su conocimiento ni consentimiento. - Datos inexactos no corregidos: Solicitó la corrección de datos personales inexactos pero la organización no ha cumplido. - Decisiones automatizadas sin garantías: Se tomaron decisiones con efectos significativos sobre usted exclusivamente mediante tratamiento automatizado (incluida la elaboración de perfiles) sin la revisión humana o las garantías requeridas por el Artículo 22.

Qué necesitas preparar

  • Datos de la organización que vulneró sus derechos (nombre, dirección, contacto del delegado de protección de datos)
  • Descripción de los datos personales afectados y de la vulneración
  • Copias de su solicitud original a la organización (solicitud de acceso, supresión, etc.) con prueba de envío
  • Respuesta de la organización (o evidencia de no respuesta tras el plazo legal)
  • Pruebas de la vulneración (correos de marketing, notificación de brecha, capturas de pantalla)
  • Cronología de los hechos (cuándo presentó solicitudes, cuándo vencieron los plazos, cuándo ocurrieron las vulneraciones)
  • Números de referencia o expediente de la correspondencia con la organización
  • Pruebas del daño o perjuicio causado por la vulneración
  • Registros de reclamaciones previas al delegado de protección de datos de la organización

Plazo

RGPD: Las organizaciones deben responder a las solicitudes de acceso en 1 mes. Reclamaciones ante la autoridad: sin plazo estricto pero actúe con prontitud. Presente su reclamación tras dar a la organización una oportunidad razonable de responder (normalmente 1 mes).

🏛️ Autoridad

AEPD (ES), ICO (UK), CNIL (FR), Landesdatenschutzbeauftragter (DE), UODO (PL), autoridad nacional de protección de datos del país donde la organización tiene su sede o donde usted reside

⚖️ Base legal

UE: RGPD (Reglamento 2016/679), particularmente Artículos 12-22 (derechos del interesado), Artículo 77 (derecho a presentar reclamación). España: Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD). Alemania: BDSG. Francia: Loi Informatique et Libertés. Polonia: Ustawa o ochronie danych osobowych. UK: UK GDPR, Data Protection Act 2018.

Consejos de expertos

  1. 1Reclame siempre primero a la organización y concédale el plazo legal (1 mes) para responder antes de escalar a la autoridad de protección de datos. La mayoría de las autoridades exigen prueba de que intentó resolver el asunto directamente.
  2. 2Sea específico en su reclamación: identifique el derecho exacto vulnerado, la fecha de su solicitud, el plazo que venció y lo que la organización hizo o dejó de hacer.
  3. 3Para solicitudes de acceso, envíe su petición por escrito con prueba de identidad. Cite expresamente el Artículo 15 del RGPD. La organización debe responder en 1 mes.
  4. 4Para marketing no deseado, retire su consentimiento por escrito y cite el Artículo 21 del RGPD (derecho de oposición al marketing directo). La organización debe cesar el tratamiento inmediatamente, sin excepciones.
  5. 5En caso de brecha de datos, compruebe si la organización le notificó según lo requerido. Conforme al Artículo 34 del RGPD, las organizaciones deben notificar a las personas afectadas por brechas de alto riesgo sin demora indebida.
  6. 6Documente el perjuicio causado por la vulneración: pérdida económica, angustia emocional, tiempo invertido, riesgo de suplantación de identidad. Esto respalda tanto su reclamación ante la autoridad como cualquier posible demanda de indemnización.
  7. 7Puede presentar una reclamación ante la autoridad de protección de datos del país donde reside, donde trabaja o donde se produjo la presunta vulneración. Elija la más conveniente para usted.
  8. 8Considere si también tiene derecho a indemnización conforme al Artículo 82 del RGPD. Las reclamaciones de indemnización pueden ejercitarse ante los tribunales con independencia de la reclamación ante la autoridad.
  9. 9Para organizaciones con sede fuera de la UE/UK, compruebe si han designado un representante en la UE conforme al Artículo 27 del RGPD. De no ser así, constituye una vulneración adicional.
  10. 10Utilice el formulario de reclamación en línea de la autoridad si está disponible. La AEPD, la CNIL y el UODO tienen portales en línea que aseguran que su reclamación quede debidamente registrada y se le dé seguimiento.

¿Listo para crear tu documento?

Genera una carta profesional en minutos

Generar esta carta ahora

Casos relacionados

Seguimiento o recurso tras falta de respuesta o denegación de información pública (FOI)

international

Reclamación por cargos o comisiones no autorizados

international

Solicitar acceso a su historial clínico

international

Amparo o tutela por vulneración de derechos fundamentales

international