La Agencia Española de Protección de Datos (AEPD) ha acordado el archivo de la parte de la reclamación relativa al principio de exactitud de los datos (artículo 5.1.d del RGPD) en el procedimiento transfronterizo EXP202208187, seguido contra Vinted UAB. La decisión se adopta en el marco del mecanismo de cooperación y coherencia del artículo 60 del RGPD, tras la resolución de la autoridad de control de Lituania como autoridad de control principal.
Hechos y origen de la reclamación
El reclamante, residente en España, ejercitó en mayo de 2022 sus derechos de acceso y rectificación frente a Vinted UAB mediante correo electrónico dirigido al Delegado de Protección de Datos de la entidad. Vinted respondió al día siguiente denegando el derecho de supresión —que el reclamante no había solicitado— con fundamento en que su cuenta estaba bloqueada por incumplimiento de los términos y condiciones de la plataforma, lo que permitiría a la entidad conservar los datos sobre la base de su interés legítimo. El reclamante aclaró que su solicitud se refería al acceso y la rectificación, no a la supresión, y alegó que se vinculaban a su cuenta hechos contrarios que eran imputables a terceros desde otras cuentas ajenas a él.
Tramitación transfronteriza
Al tener Vinted UAB su establecimiento principal o único en Lituania, la AEPD acordó en agosto de 2022 el archivo provisional del procedimiento y la remisión de la reclamación a la autoridad lituana de protección de datos como autoridad de control principal, conforme al artículo 56.1 del RGPD, a través del Sistema de Información del Mercado Interior (IMI). La autoridad lituana aceptó actuar como autoridad de control principal.
La reclamación comprendía tres presuntas infracciones: del artículo 15 del RGPD (derecho de acceso), del artículo 16 del RGPD (derecho de rectificación) y del artículo 5.1.d) del RGPD (principio de exactitud de los datos).
Decisión de la autoridad lituana
Tras la instrucción del procedimiento, la autoridad lituana estimó la reclamación en lo relativo a las infracciones de los artículos 15 y 16 del RGPD (derechos de acceso y rectificación). Sin embargo, no pudo determinar la existencia de infracción del principio de exactitud del artículo 5.1.d) del RGPD, al constatar que Vinted UAB había suprimido el 2 de julio de 2022 la mayoría de los datos personales del reclamante, incluidos aquellos a partir de los cuales habría sido posible determinar objetivamente si la entidad aplicó correctamente dicho principio. La autoridad lituana apreció, no obstante, una vulneración del principio de rendición de cuentas del artículo 5.2 del RGPD.
La autoridad lituana fundamentó la imposibilidad de pronunciarse sobre el principio de exactitud en la legislación lituana de protección de datos (artículo 29.1.4 de la LLPPD), que prevé el archivo cuando la reclamación no pueda ser examinada por falta de información u otras circunstancias significativas, así como en el principio de objetividad de la Ley de Administración Pública lituana, conforme al cual las decisiones administrativas no pueden basarse en conjeturas sino en circunstancias de hecho debidamente acreditadas.
Decisión de la AEPD como autoridad interesada
De conformidad con el artículo 60, apartados 8 y 9 del RGPD —que atribuyen a la autoridad de control ante la que se presentó la reclamación la adopción de la decisión relativa a la parte desestimada—, la AEPD acuerda el archivo de las actuaciones en lo referente al artículo 5.1.d) del RGPD, al no haberse obtenido indicios racionales de la existencia de infracción de dicho precepto, en aplicación del principio de presunción de inocencia.
La resolución pone fin a la vía administrativa y es susceptible de recurso potestativo de reposición o de recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.