Suecia: ¿Los usuarios no son parte de sus propios derechos de privacidad?
La Autoridad de Protección de Datos sueca (IMY) se niega a tomar una decisión sobre una reclamación relativa al RGPD, alegando que el usuario no es parte de sus propios derechos. En esencia, el IMY parece considerar que el "derecho a reclamar" según el artículo 77 del RGPD, que debería dar a todo el mundo libre acceso a la aplicación, es solo un derecho de "petición" a la autoridad. noyb presenta hoy un recurso ante el tribunal administrativo de Estocolmo.
Un mes bajo el GDPR se convierte en tres años en la realidad. Según el RGPD, todo el mundo tiene derecho a acceder a sus datos, incluyendo una copia de todos los datos y una explicación del uso de los mismos. El plazo legal para responder a una solicitud de acceso es de un mes. En 2019, como parte de un proyecto sobre empresas de streaming, noyb también presentó una denuncia contra Spotify por una respuesta incompleta a una solicitud de acceso. La denuncia, presentada en Austria, fue remitida al IMY sueco, responsable de Spotify. Desde entonces, el caso no se ha resuelto. En su lugar, la DPA sueca afirma tener una investigación más amplia sobre Spotify, desde hace más de tres años. Sin embargo, el usuario en cuestión sigue esperando para obtener toda la información pertinente
Solicitud de decisión rechazada. Según la legislación sueca, una parte puede solicitar una decisión en un plazo de cuatro semanas, si una autoridad no ha decidido en seis meses. En junio de 2022, noyb envió una solicitud de este tipo al IMY sueco. Sorprendentemente, el IMY sueco rechazó la solicitud alegando que el interesado no era parte en el procedimiento sobre su derecho de acceso.
"Imagina que no eres parte en un caso sobre tu permiso de construcción o tu derecho a la libertad de expresión. La noción de que tenemos un derecho fundamental a la protección de datos en la UE, pero en Suecia no puedes hacer que se cumpla es simplemente alucinante. El RGPD deja claro que tienes derecho a presentar una reclamación y a recurrir si no hay decisión." - Max Schrems, presidente de noyb.eu
Lainactividad administrativa se vuelve arbitraria. La situación con la que se encuentra el interesado es, por tanto, paradójica. Tanto el GDPR como la legislación austriaca asignan al denunciante el papel de parte en el procedimiento contencioso. Sin embargo, cuando el procedimiento se envía a otra autoridad principal en virtud del RGPD, estas garantías parecen desvanecerse en la realidad. Según la interpretación que hace IMY de la ley sueca, el denunciante no tiene ninguna posibilidad de participar en el procedimiento ni de hacer valer sus derechos. Por lo tanto, sería una decisión absolutamente arbitraria de los burócratas si la gente puede hacer valer sus derechos o no, sin ningún recurso si el IMY no tiene ganas de hacer su trabajo.
"En resumen, el IMY dice que puede simplemente ignorar los derechos de los europeos bajo el GDPR. Esto no es ni lo que dice el GDPR, ni lo que requiere el estado de derecho." - Max Schrems, Presidente de noyb.eu
Recurso contra la inacción de la DPA. Por estas razones, noyb decidió presentar un recurso contra la decisión del IMY. En resumen, el recurso rechaza la idea de que el interesado no sea parte de un procedimiento sobre sus propios derechos. Si el caso prospera, el IMY tendrá que hacer valer los derechos de los usuarios tal y como prevé el RGPD.