Autoridad de Protección de Datos
Autoridad de Protección de Datos
La Autoridad de Protección de Datos de Austria (DSB) es la principal autoridad de control para la protección de datos personales en Austria. Supervisa el cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley de Protección de Datos de Austria (DSG), resuelve reclamaciones, inicia procedimientos de inspección, impone sanciones y representa a Austria en el Comité Europeo de Protección de Datos. Su tarea es garantizar los derechos fundamentales, evitar el abuso y obligar a las empresas y autoridades a cumplir con las obligaciones en materia de protección de datos.
La Autoridad de Protección de Datos es la autoridad de control estatal para la protección de datos personales en Austria.
Tareas y competencias
La Autoridad de Protección de Datos asume un amplio abanico de actividades, todas ellas destinadas a la protección de datos personales:
- Tramitación de reclamaciones de los interesados
- Realización de procedimientos de inspección de oficio
- Resolución en procedimientos sancionadores administrativos e imposición de multas
- Recepción y control de notificaciones de violaciones de la protección de datos (Data Breaches)
- Procedimientos de autorización, por ejemplo, para códigos de conducta o entidades de certificación
- Dictámenes sobre proyectos de ley
Por lo tanto, es el interlocutor central tanto para los interesados como para las empresas y los responsables de la protección de datos.
Definición de la protección de datos
La protección de datos es el derecho fundamental a decidir quién procesa qué información sobre una persona. Los datos personales son todos los datos que se refieren a una persona determinada o que hacen reconocible a una persona, como el nombre, la dirección, el número de teléfono, la dirección de correo electrónico, pero también las fotos, las direcciones IP o los datos de salud.
La protección de datos no significa que no se puedan procesar datos. Significa que el procesamiento solo está permitido bajo claros requisitos legales y que los interesados tienen amplios derechos. Estos derechos protegen contra el abuso y dan la posibilidad de ejercer el control sobre los propios datos.
Derechos de los interesados
Toda persona puede exigir a la Autoridad de Protección de Datos que se respeten sus derechos fundamentales. El RGPD prevé para ello un claro conjunto de derechos:
- Derecho a la información: Antes de cualquier procesamiento de datos, los interesados deben ser informados de forma clara y completa.
- Derecho de acceso: Todo interesado tiene derecho a saber qué datos se almacenan y con qué finalidad.
- Derecho de rectificación y supresión: Los datos incorrectos deben rectificarse, los datos no permitidos deben suprimirse.
- Derecho a la limitación del tratamiento: Bajo ciertas condiciones, el tratamiento solo puede continuarse de forma limitada.
- Derecho de oposición: Se puede oponer en cualquier momento al tratamiento de determinados datos.
- Derecho a la portabilidad de los datos: Los interesados pueden exigir que sus datos se transmitan en un formato común a ellos mismos o a otra empresa.
- Derecho a no ser objeto de decisiones automatizadas: Nadie debe ser perjudicado exclusivamente por procedimientos automatizados.
Estos derechos no son solo de naturaleza teórica, sino que pueden hacerse valer, en caso necesario, en el procedimiento de reclamación ante la Autoridad de Protección de Datos.
Obligaciones de las empresas
Las empresas y las autoridades están obligadas a implementar la protección de datos no solo sobre el papel, sino también en la práctica. Entre las obligaciones esenciales se encuentran:
- Base jurídica del tratamiento: Todo tratamiento de datos debe basarse en una base legal, como un consentimiento o un contrato.
- Obligaciones de transparencia: Los interesados deben ser informados claramente de lo que sucede con sus datos.
- Medidas técnicas y organizativas (TOM): La seguridad informática y los procesos organizativos deben diseñarse de tal manera que los datos estén protegidos contra la pérdida, el abuso o el acceso no autorizado.
- Registros de las actividades de tratamiento: Las empresas deben documentar de forma comprensible qué datos procesan.
- Notificación de violaciones de la protección de datos: Los incidentes de seguridad deben notificarse a la Autoridad de Protección de Datos en un plazo de 72 horas.
- Realización de evaluaciones de impacto relativas a la protección de datos: En el caso de tratamientos de alto riesgo, debe realizarse un análisis detallado.
Violación de la protección de datos personales
De acuerdo con el RGPD, existen violaciones de la protección de datos personales cuando, debido a una seguridad deficiente, se produce una modificación, supresión, divulgación o pérdida no autorizada de datos. Esto puede ocurrir por:
- Destrucción, pérdida o modificación de datos personales
- Acceso o divulgación no autorizados, por ejemplo, a través de ataques de hackers, envío de soportes de datos a destinatarios incorrectos o almacenamiento inseguro
- Divulgación accidental de datos, por ejemplo, a través de almacenamiento o transmisión inseguros
- Esto se aplica independientemente de si el incidente ocurrió de forma intencionada o no intencionada
Ejemplos que pueden constituir una violación de este tipo:
- Pérdida de datos por archivos o memorias USB sin cifrar
- Ataque de hackers a bases de datos de clientes
- Correos electrónicos mal dirigidos con datos personales
- Documentos personales accesibles públicamente por error
Estos hechos pueden conducir directamente a riesgos, incluyendo el robo de identidad, el daño a la reputación o los daños financieros para los interesados
Procedimiento ante la Autoridad de Protección de Datos
El procedimiento ante la Autoridad de Protección de Datos está formalizado y puede tener diferentes formas:
Procedimiento de reclamación
Los interesados pueden presentar una reclamación ante la Autoridad de Protección de Datos si consideran que alguien está tratando sus datos personales de forma ilegal. Este procedimiento es relativamente sencillo.
El desarrollo:
- El interesado presenta una reclamación por escrito, ya sea mediante un formulario, correo electrónico o correo postal.
- La Autoridad de Protección de Datos comprueba si la reclamación es formalmente admisible.
- Se solicita al demandado, generalmente una empresa o una autoridad, que presente una declaración.
- A continuación, se investigan los hechos, posiblemente con preguntas o audiencias complementarias.
- Al final, hay una resolución de la Autoridad de Protección de Datos con la que desestima la reclamación o la estima y ordena medidas correctivas.
Para los interesados, este procedimiento es la posibilidad más importante de hacer valer sus derechos derivados del RGPD.
Inspecciones de oficio
La Autoridad de Protección de Datos no solo depende de las reclamaciones, sino que también puede actuar de oficio. Esto ocurre especialmente cuando hay indicios de infracciones sistemáticas o lagunas de seguridad.
Particularidades:
- El procedimiento comienza sin la solicitud de un interesado.
- Las personas que informan no tienen la condición de parte y no son informadas sobre el resultado.
- La Autoridad de Protección de Datos comprueba de forma independiente si existen infracciones y, en caso necesario, ordena medidas.
Las inspecciones de oficio tienen un fuerte efecto preventivo, ya que aumentan la presión sobre las empresas y las autoridades para que garanticen la protección de datos no solo de forma reactiva, sino continua.
Procedimiento sancionador administrativo
Si la Autoridad de Protección de Datos constata una infracción, puede iniciar un procedimiento sancionador administrativo. El objetivo es obligar a las empresas y a los organismos públicos a subsanar las infracciones e imponer sanciones notables.
Las posibles sanciones son:
- Multas de hasta 20 millones de euros o el 4% de la facturación anual mundial,
- Órdenes de suspender o adaptar el tratamiento de datos,
- Amonestaciones y condiciones.
El importe de una multa depende de la gravedad, la duración y la intencionalidad de la infracción. También influyen las infracciones anteriores o el comportamiento cooperativo en el procedimiento.
Peter HarlanderHarlander & Partner Rechtsanwälte „Wer Verfahren vor der Datenschutzbehörde auf die leichte Schulter nimmt, riskiert nicht nur hohe Geldbußen, sondern auch den Verlust von Vertrauen und Reputation.“
Recursos legales
Las decisiones de la Autoridad de Protección de Datos se toman mediante resolución. Contra estas resoluciones, los interesados pueden recurrir al Tribunal Administrativo Federal (BVwG).
- El BVwG revisa la decisión en cuanto a su legalidad y a los hechos.
- Contra su decisión, en determinadas circunstancias, es posible presentar un recurso de casación ante el Tribunal Administrativo (VwGH) o una reclamación ante el Tribunal Constitucional (VfGH).
De este modo, se garantiza que las decisiones de la Autoridad de Protección de Datos estén sujetas a un control judicial de varios niveles.
Seleccione ahora la fecha deseada:Primera consulta gratuitaDimensión internacional
La protección de datos ya no es un tema nacional. La Autoridad de Protección de Datos colabora con otras autoridades de control europeas y forma parte del Comité Europeo de Protección de Datos (CEPD). Participa en casos transfronterizos, coordina las decisiones en el marco del procedimiento de coherencia y se pronuncia sobre las transferencias internacionales de datos, por ejemplo, a los Estados Unidos.
Libertad de información
Además de la protección de datos, la libertad de información también está ganando importancia. Con la nueva Ley de Libertad de Información (IFG), la Autoridad de Protección de Datos asumirá en el futuro el papel de interlocutor para las cuestiones de transparencia y para el acceso a la información oficial.
Estas obligaciones no son opcionales. Su incumplimiento conduce regularmente a investigaciones y, en el peor de los casos, a multas elevadas.
Sus ventajas con el apoyo de un abogado
Un procedimiento ante la Autoridad de Protección de Datos conlleva importantes desafíos tanto para los interesados como para las empresas. Los interesados corren el riesgo de no hacer valer plenamente sus derechos sin el acompañamiento profesional. Las empresas, a su vez, se enfrentan no solo a elevadas multas, sino también a daños a la imagen y a costosas adaptaciones de sus procesos. A esto se añade que los procedimientos están muy formalizados y contienen requisitos legales complejos que son difíciles de gestionar sin apoyo profesional.
El acompañamiento legal por parte de un bufete especializado proporciona seguridad y garantiza que sus intereses sean representados profesionalmente desde el principio. Se beneficia de una experiencia sólida en la legislación de protección de datos y de una representación consecuente ante la autoridad.
- comprueba si el tema legal respectivo es aplicable en su caso
- le acompaña durante todo el procedimiento o la tramitación
- garantiza un diseño y una aplicación jurídicamente seguros de todos los pasos necesarios
- le apoya en el cálculo, la aplicación o la defensa de las reclamaciones
- protege sus derechos e intereses frente a todos los implicados
Sebastian RiedlmairHarlander & Partner Rechtsanwälte „Datenschutz wird oft unterschätzt, dabei entscheidet die richtige Strategie im Umgang mit der Datenschutzbehörde über Erfolg oder Misserfolg.“
