Derechos del GDPR en Suecia: El Tribunal confirma que la autoridad debe investigar las denuncias.
Hasta ahora, el IMY sueco ha considerado que los usuarios no tienen derechos de parte en los procedimientos del RGPD.
El tribunal administrativo de Estocolmo sostuvo que un denunciante en virtud del artículo 77 del RGPD tiene derecho a solicitar una decisión a la Autoridad Sueca de Protección de Datos (IMY) después de seis meses. Hasta ahora, el IMY consideraba que los usuarios no son parte en los procedimientos relativos a sus propios derechos en virtud del RGPD. El derecho a obtener una decisión en el plazo de seis meses también se aplica si la IMY abre una investigación de oficio paralela a la misma empresa.
Un mes según el GDPR se convierte en tres años en la realidad En enero de 2019, un usuario presentó una reclamación ante el OSD austriaco en respuesta a la decisión de Spotify enrespuesta suficiente a su solicitud de acceso. La queja se remitió al IMY sueco, que es el responsableble de Spotify. Desde entonces, el caso no se ha resuelto. En cambio, la DPA sueca reclamó a tener una investigación más amplia sobre Spotify, desde hace más de tres años. Según el RGPD, todo el mundo tendría derecho a acceder a sus datos. El plazo para responder a una solicitud de acceso según el GDPR es de un mes.
Solicitud de decisión rechazada. Con arreglo a la legislación sueca, una parte puede solicitar una decde decisión en un plazo de cuatro semanas, si una autoridad no ha decidido en un plazo de seis meses. Tras tres años de inactividad, el denunciante solicitó una decisión formal en virtud del artículo 12 de la ley administrativa sueca, que fue rechazada por el IMY sueco, argumentando que está llevando a cabo una investigación paralela de oficio sobre Spotify y que el denunciante no es parte en el procedimiento.
El IMY violó el GDPR y la ley suecaTras un recurso de noyb contra la inacción de la DPA, el tribunal administrativo de Estocolmo de Estocolmo sostuvo que Sueco la ley sueca no niega a los denunciantes la condición de parte, como ha argumentado recientemente el IMY sueco. En consecuencia, la decisión del regulador sueco de excluir a un usuario de la investigación de una denuncia que presentó fue incompatible con el GDPR.
Stefano Rossetti, abogado de protección de datos de noyb: "Dice mucho sobre la aplicación del GDPR, si los reguladores no incluso quieren conceder a los usuarios el derecho a luchar por sus derechos. Negar a los usuarios la condición de parte significa que no pueden hacer valer sus derechos. Por lo tanto, celebramos la decisión de Suecia, pero todavía hay autoridades en otros Estados miembros de la UE que no conceden derechos de parte."
El IMY sueco revisará el modelo de aplicación. El Tribunal sueco ordenó al IMY que procesar e investigar la denuncia. La decisión tiene un efecto más amplio para todos los usuarios de Suecia, ya que pueden basarse en la sentencia judicial para hacer valer sus derechos a través del IMY
Stefano Rossetti: "Estamos contentos de haber abierto la opción de que cualquier persona en Suecia pueda hacer valer sus derechos ante el IMY. Estamos revisando la situación en otros Estados miembros también"