Recibir una notificación de la Agencia Española de Protección de Datos es una situación que genera alarma comprensible en cualquier empresa. Sin embargo, como en todo procedimiento administrativo sancionador, la respuesta correcta en las primeras fases determina en gran medida el desenlace: una gestión adecuada puede reducir la sanción, demostrar la buena fe de la empresa y, en algunos casos, lograr el archivo del procedimiento.
Los tipos de actuaciones de la AEPD
No todos los contactos de la AEPD con una empresa tienen el mismo alcance. Es fundamental identificar desde el primer momento ante qué tipo de actuación se encuentra:
Requerimiento de información previo: La AEPD solicita información sobre los tratamientos de datos, las bases legales aplicadas, las medidas de seguridad o la respuesta a una solicitud de derechos. No implica que haya un procedimiento sancionador abierto, pero puede ser el precursor.
Actuaciones previas de investigación: La AEPD investiga la existencia de posibles infracciones antes de decidir si abre un procedimiento sancionador formal. En esta fase la empresa puede aportar voluntariamente información que mejore su posición.
Acuerdo de inicio del procedimiento sancionador: Es la notificación formal de que la AEPD ha decidido abrir un expediente sancionador. A partir de este momento, la empresa tiene derechos y plazos específicos.
Propuesta de resolución: El instructor del expediente formula su propuesta de resolución, con la infracción concreta y la sanción propuesta. La empresa tiene un plazo de alegaciones.
Resolución definitiva: La AEPD resuelve con la sanción definitiva, que es recurrible.
Qué hacer en las primeras 48 horas
Al recibir cualquier notificación de la AEPD:
-
Identifique el tipo de actuación y el plazo de respuesta. Los plazos en el procedimiento administrativo sancionador son estrictos. No identificar correctamente el plazo desde el inicio puede generar la pérdida de derechos de defensa.
-
No responda directamente sin asesoramiento profesional. La respuesta incorrecta en los primeros pasos puede consolidar posiciones que luego son difíciles de revertir.
-
Designe representación. Si no tiene un DPO externo o un despacho de referencia en protección de datos, este es el momento de contratarlo. La AEPD acepta y valora la colaboración de la empresa en la resolución del problema.
-
Recopile la documentación interna. Reúna toda la información sobre el tratamiento de datos afectado: bases legales aplicadas, registros de actividades de tratamiento, política de privacidad, contratos con encargados del tratamiento, medidas de seguridad implementadas.
-
Evalúe las medidas correctoras disponibles. Adoptar medidas que corrijan el problema identificado antes de la resolución es uno de los factores que la AEPD tiene en cuenta para reducir la sanción.
Las principales causas de sanción de la AEPD
El análisis de las resoluciones sancionadoras publicadas por la AEPD permite identificar los problemas más frecuentes:
- Falta de base legal para el tratamiento de datos de clientes o empleados
- Incumplimiento del deber de información (falta de política de privacidad o cláusulas de información incompletas)
- Tratamiento de datos sin medidas de seguridad adecuadas y brechas de seguridad no notificadas
- Cesión de datos a terceros sin contrato de encargo del tratamiento (cuando un proveedor accede a datos de los clientes de la empresa)
- Respuesta inadecuada a solicitudes de ejercicio de derechos (acceso, rectificación, supresión, oposición)
- Transferencias internacionales de datos sin garantías adecuadas (uso de servicios en la nube americanos sin cláusulas contractuales tipo)
Cómo minimizar la sanción
La AEPD tiene en cuenta varios factores que pueden reducir significativamente la cuantía de la sanción:
- Colaboración activa y transparente durante la investigación
- Adopción de medidas correctoras antes de la resolución
- Acreditación de que la empresa tenía un sistema de protección de datos previo (aunque fuera incompleto)
- Daño limitado a los afectados
- Ausencia de antecedentes sancionadores
- Notificación voluntaria de la brecha de seguridad a la AEPD
Cómo le ayudamos en BMC
Nuestro equipo de protección de datos gestiona la representación de empresas en procedimientos sancionadores de la AEPD, desde el análisis inicial de la notificación hasta la presentación de alegaciones y, si es necesario, el recurso ante la Audiencia Nacional.
Si acaba de recibir una notificación de la AEPD o quiere revisar preventivamente el cumplimiento del RGPD en su empresa antes de que se produzca una inspección, contacte con nuestro equipo. Nuestro servicio de DPO externo incluye la supervisión continua del cumplimiento y la respuesta ágil ante cualquier actuación de la AEPD.
Marco regulador específico
El procedimiento sancionador de la AEPD está regulado por varias normas que el investigado debe conocer para ejercer sus derechos:
- Reglamento (UE) 2016/679, de 27 de abril (RGPD), arts. 58 y 83: Poderes de investigación de la autoridad de control (art. 58.1) y criterios para la imposición de multas administrativas (art. 83). El artículo 83.2 enumera los factores que determinan el importe: naturaleza, gravedad y duración de la infracción, intencionalidad, medidas adoptadas para paliar el daño, grado de responsabilidad, cooperación con la autoridad.
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), arts. 64-72: Regula el procedimiento de actuaciones y sanciones de la AEPD. El artículo 64 establece la presunción de inocencia; el artículo 71 fija el plazo máximo del procedimiento en 12 meses. El artículo 72 enumera las infracciones muy graves (hasta 20M EUR o 4% VN global); el 73, las graves (hasta 10M EUR o 2% VN); el 74, las leves (hasta 40.000 EUR).
- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común (LPAC), arts. 63-95: Marco procesal del procedimiento sancionador: instrucción, propuesta de resolución, alegaciones, resolución y recursos. El artículo 89 regula el plazo de prescripción de las infracciones (1 año para leves, 2 para graves, 3 para muy graves).
- RGPD, art. 77 y LOPDGDD, art. 51: Derecho a presentar reclamación ante la AEPD como interesado. Ambas normas son relevantes para entender cómo y por qué la AEPD recibe la denuncia que da origen al procedimiento.
- Recurso contencioso-administrativo: La Audiencia Nacional conoce en primera instancia de los recursos contra las resoluciones de la AEPD (artículo 26.2 Ley 29/1998 de la Jurisdicción Contencioso-Administrativa). El plazo es de 2 meses desde la notificación de la resolución.
Sanciones más frecuentes en pymes (datos AEPD 2024-2025)
| Infracción | Tipo | Rango de sanción habitual en pymes |
|---|---|---|
| Falta de base legal para tratamiento | Muy grave (art. 72 LOPDGDD) | 10.000 – 150.000 EUR |
| Sin información a interesados | Grave (art. 73) | 5.000 – 60.000 EUR |
| Brecha de seguridad no notificada | Muy grave | 20.000 – 300.000 EUR |
| Cesión a encargado sin contrato | Grave | 8.000 – 80.000 EUR |
| No atención de derechos ARCO | Grave | 5.000 – 40.000 EUR |
Ejemplo práctico: procedimiento sancionador en clínica dental (36 trabajadores)
Supuesto: La AEPD recibe denuncia de un paciente porque la clínica compartió su historial dental con otro profesional externo sin su consentimiento. La clínica no tiene DPO ni registro de actividades de tratamiento (RAT).
| Fase | Actuación de la clínica | Resultado |
|---|---|---|
| Requerimiento previo de información | Sin asesoramiento: respuesta confusa, sin mencionar las medidas de seguridad existentes | La AEPD considera la respuesta insuficiente y abre procedimiento |
| Acuerdo de inicio (con asesoramiento BMC) | Designación DPO externo, elaboración del RAT, actualización de la política de privacidad, formación documentada al personal | Medidas correctoras acreditadas antes de la propuesta de resolución |
| Propuesta de resolución | Infracción muy grave (art. 9 RGPD, datos de salud): sanción propuesta 80.000 EUR | Alegaciones: colaboración, ausencia de antecedentes, medidas correctoras adoptadas, daño limitado |
| Resolución definitiva | Reducción del 50% por circunstancias atenuantes | Sanción: 40.000 EUR vs. 80.000 EUR inicial |
| Recurso (no interpuesto) | — | Sanción firme |
La diferencia entre actuar sin asesoramiento y actuar con representación especializada fue una reducción de 40.000 EUR, además de la corrección del sistema para evitar sanciones futuras.
Errores comunes que BMC corrige
- Responder directamente al requerimiento previo sin asesoramiento. El requerimiento previo no es un procedimiento sancionador, pero lo que se declara en él se incorpora al expediente y puede usarse como prueba. Una respuesta que reconoce el problema sin contexto puede agravar la posición de la empresa.
- No adoptar medidas correctoras antes de la propuesta de resolución. El RGPD (art. 83.2.c) y la LOPDGDD valoran especialmente las medidas adoptadas para paliar el daño con carácter previo a la resolución. Esperar a la sanción para corregir el sistema elimina uno de los principales factores de reducción.
- Confundir el plazo del recurso de reposición con el del contencioso-administrativo. El recurso de reposición ante la AEPD es potestativo y tiene 1 mes de plazo. Si se interpone, el plazo de 2 meses para el recurso contencioso se computa desde la resolución de la reposición. Confundir los plazos puede hacer prescribir la acción.
- No notificar voluntariamente la brecha de seguridad en plazo. El RGPD exige notificar las brechas de seguridad a la AEPD en un plazo de 72 horas desde su conocimiento (art. 33). La notificación voluntaria es un factor atenuante; la omisión, un factor agravante.
- No acreditar el sistema de cumplimiento previo. La existencia de un sistema de protección de datos —aunque incompleto— antes de la infracción es un factor de reducción de la sanción. Sin evidencia documentada (política de privacidad, registros, formación), la empresa no puede acreditar este punto.
Próximos pasos
- Identificar el tipo exacto de actuación de la AEPD (requerimiento informativo, actuaciones previas o procedimiento sancionador formal) y el plazo de respuesta
- Designar representante profesional ante la AEPD antes de emitir cualquier respuesta o declaración
- Recopilar toda la documentación sobre el tratamiento afectado: bases legales, RAT, política de privacidad, contratos con encargados, medidas de seguridad
- Identificar y adoptar las medidas correctoras disponibles para acreditar la subsanación antes de la propuesta de resolución
- Revisar el registro de actividades de tratamiento (RAT) y actualizarlo conforme al artículo 30 del RGPD
- Evaluar si la situación que originó la actuación de la AEPD constituye también una brecha de seguridad que debe notificarse en 72 horas
