Recibir una notificación de la Agencia Española de Protección de Datos es una situación que genera alarma comprensible en cualquier empresa. Sin embargo, como en todo procedimiento administrativo sancionador, la respuesta correcta en las primeras fases determina en gran medida el desenlace: una gestión adecuada puede reducir la sanción, demostrar la buena fe de la empresa y, en algunos casos, lograr el archivo del procedimiento.
Los tipos de actuaciones de la AEPD
No todos los contactos de la AEPD con una empresa tienen el mismo alcance. Es fundamental identificar desde el primer momento ante qué tipo de actuación se encuentra:
Requerimiento de información previo: La AEPD solicita información sobre los tratamientos de datos, las bases legales aplicadas, las medidas de seguridad o la respuesta a una solicitud de derechos. No implica que haya un procedimiento sancionador abierto, pero puede ser el precursor.
Actuaciones previas de investigación: La AEPD investiga la existencia de posibles infracciones antes de decidir si abre un procedimiento sancionador formal. En esta fase la empresa puede aportar voluntariamente información que mejore su posición.
Acuerdo de inicio del procedimiento sancionador: Es la notificación formal de que la AEPD ha decidido abrir un expediente sancionador. A partir de este momento, la empresa tiene derechos y plazos específicos.
Propuesta de resolución: El instructor del expediente formula su propuesta de resolución, con la infracción concreta y la sanción propuesta. La empresa tiene un plazo de alegaciones.
Resolución definitiva: La AEPD resuelve con la sanción definitiva, que es recurrible.
Qué hacer en las primeras 48 horas
Al recibir cualquier notificación de la AEPD:
-
Identifique el tipo de actuación y el plazo de respuesta. Los plazos en el procedimiento administrativo sancionador son estrictos. No identificar correctamente el plazo desde el inicio puede generar la pérdida de derechos de defensa.
-
No responda directamente sin asesoramiento profesional. La respuesta incorrecta en los primeros pasos puede consolidar posiciones que luego son difíciles de revertir.
-
Designe representación. Si no tiene un DPO externo o un despacho de referencia en protección de datos, este es el momento de contratarlo. La AEPD acepta y valora la colaboración de la empresa en la resolución del problema.
-
Recopile la documentación interna. Reúna toda la información sobre el tratamiento de datos afectado: bases legales aplicadas, registros de actividades de tratamiento, política de privacidad, contratos con encargados del tratamiento, medidas de seguridad implementadas.
-
Evalúe las medidas correctoras disponibles. Adoptar medidas que corrijan el problema identificado antes de la resolución es uno de los factores que la AEPD tiene en cuenta para reducir la sanción.
Las principales causas de sanción de la AEPD
El análisis de las resoluciones sancionadoras publicadas por la AEPD permite identificar los problemas más frecuentes:
- Falta de base legal para el tratamiento de datos de clientes o empleados
- Incumplimiento del deber de información (falta de política de privacidad o cláusulas de información incompletas)
- Tratamiento de datos sin medidas de seguridad adecuadas y brechas de seguridad no notificadas
- Cesión de datos a terceros sin contrato de encargo del tratamiento (cuando un proveedor accede a datos de los clientes de la empresa)
- Respuesta inadecuada a solicitudes de ejercicio de derechos (acceso, rectificación, supresión, oposición)
- Transferencias internacionales de datos sin garantías adecuadas (uso de servicios en la nube americanos sin cláusulas contractuales tipo)
Cómo minimizar la sanción
La AEPD tiene en cuenta varios factores que pueden reducir significativamente la cuantía de la sanción:
- Colaboración activa y transparente durante la investigación
- Adopción de medidas correctoras antes de la resolución
- Acreditación de que la empresa tenía un sistema de protección de datos previo (aunque fuera incompleto)
- Daño limitado a los afectados
- Ausencia de antecedentes sancionadores
- Notificación voluntaria de la brecha de seguridad a la AEPD
Cómo le ayudamos en BMC
Nuestro equipo de protección de datos gestiona la representación de empresas en procedimientos sancionadores de la AEPD, desde el análisis inicial de la notificación hasta la presentación de alegaciones y, si es necesario, el recurso ante la Audiencia Nacional.
Si acaba de recibir una notificación de la AEPD o quiere revisar preventivamente el cumplimiento del RGPD en su empresa antes de que se produzca una inspección, contacte con nuestro equipo. Nuestro servicio de DPO externo incluye la supervisión continua del cumplimiento y la respuesta ágil ante cualquier actuación de la AEPD.
