¡Pide presupuesto en 2 min! ✓
Denuncias & Sanciones

Cómo actuar en una inspección de la AEPD

7 Mins read

¿Cómo controla la Agencia Española de Protección de Datos el cumplimiento por parte de las empresas de la normativa?

A través de la denuncia y la inspección.

¿Te ha llegado una carta anunciando que te van a sancionar? ¿No sabes que hacer?

¡No te preocupes!

A continuación te vamos a dar una serie de recomendaciones para que te sea todo más fácil.

Pasos a seguir en caso que la AEPD se ponga en contacto con nosotros

Que una administración se ponga en contacto con nuestra empresa nunca es bueno.

A través de los siguientes puntos te vamos a dar unas recomendaciones de cómo tienes que actuar para solventar todas las dificultades que puedan surgir.

cómo actuar ante una comunicación de la aepd

Analiza la comunicación que te ha llegado

En primer lugar debemos examinar la comunicación que nos han remitido.

No todos los procedimientos son iguales. Generalmente nos encontraremos con 3 casos:

Apertura de procedimiento sancionador

Esta es la situación más grave que nos podemos encontrar.

En este caso, se ha recibido una denuncia en la AEPD, en la que se acusa a nuestra entidad de haber llevado a cabo una infracción de la normativa y después de un periodo de investigación y de indagaciones han decidido abrir expediente sancionador.

¡Pero tranquilos! Que nos abran un expediente no significa que ya nos hayan sancionado.

Lo que en realidad sucede es que “pretenden sancionarnos“, pero como todo proceso administrativo, deben darnos la oportunidad de contestar y defendernos.

Notificación de apercibimiento

En el caso de que nos encontremos con una comunicación de apertura de procedimiento de apercibimiento significa que la AEPD ha observado una conducta infractora en nuestra entidad, pero que debido a una serie de circunstancias no nos quieren sancionar, sino que quieren conocer que hemos realizado para que la conducta sancionable no vuelva a ocurrir.

Estas circunstancias son las siguientes:

  • se da el caso que la situación sea de menor importancia debido a criterios como:
    • poco número de datos afectados
    • el volumen de negocio del infractor
    • la falta de beneficios económicos obtenidos
    • la intencionalidad o la reincidencia
  • la situación de incumplimiento se hubiera solucionado de forma diligente
  • cuando la conducta del afectado (titular del dato) ha podido inducir a la comisión de la infracción
  • se produzca un reconocimiento espontáneo de culpabilidad

Este concluirá con una resolución de la AEPD en que nos otorgará un plazo para que implementemos acciones correctivas en relación el citado incumplimiento.

De no cumplirse estas acciones, se podrá iniciar, en ese momento sí, un procedimiento sancionador.

Presentación de un inspector en nuestras oficinas

La otra situación que nos podemos encontrar es que un inspector de la AEPD se presente en nuestra oficinas para realizar una inspección.

En este caso deberemos tener en cuenta lo siguiente:

  • el inspector debe acreditarse como representante de la AEPD
  • debemos proveer al inspector de toda la documentación que nos solicite
  • hay que contestar todas sus preguntas
  • si la inspección viene promovida por una denuncia, nos deberá notificar la fecha y el motivo de la denuncia

Estudia la causa de que ha promovido la actuación de la AEPD

En la carta que nos envía la AEPD, debe venir la causa por la cual se produce la apertura del procedimiento contra nosotros.

Debemos estudiar la causa, observar quién y por qué nos han denunciado.

Si detectamos que la consulta infractora se sigue produciendo deberemos finalizarla inmediatamente y establecer una serie de medidas para que no vuelva a suceder, o por lo menos que se minimicen los riesgos.

Por lo tanto, y en aras del orden deberemos reunir la siguiente información:

  • que infracción se ha cometido
  • motivos por los cuales ha ocurrido
  • fecha de la acción infractora
  • persona responsable (si la hubiera)
  • medidas de seguridad que se debían haber aplicado

Consulta con un experto en LOPD

La normativa no exige asistencia por parte de un experto para estos casos.

Pero debido a la importancia a la que nos arriesgamos, que no es otra cosa que una cuantiosa sanción económica, nuestra recomendación es que siempre se cuente con asesoramiento experto en la materia, para no dejarnos nada en el tintero.

Contesta en tiempo y forma

Como en todo proceso la AEPD, nos va a dar un plazo para que formulemos alegaciones, es decir, que podamos defendernos.

El plazo para contestar es de 15 días hábiles (de lunes a viernes excepto festivos).

Contestar es muy importante ya que:

  • Procedimiento sancionador: Si no formulamos alegaciones estamos asumiendo la conducta infractora en todo su abanico y la AEPD nos impondrá la sanción que considere oportuna sin tener en cuenta situaciones atenuantes que podíamos haber esgrimido para rebajar la cuantía de la sanción.
  • Apercibimiento: En este caso hay que contestar si o sí, ya que el no hacerlo supondrá automáticamente la apertura de un procedimiento sancionador.

Modelo de escrito de respuesta

No existe un modelo de respuesta establecido para estos procedimientos.

No obstante deberá contener al menos la siguiente información:

Nº de procedimiento (Lo encontrareis en la carta remitida por la AEPD)

El número de procedimiento es muy importante ya que identificará el caso ante la AEPD.

Se deberá situar al principio de nuestra respuesta.

Descripción de la cronología del caso

En necesario describir cronológicamente el suceso, poniendo fechas exactas, haciendo hincapié en la acción que provocó la infracción.

Si se trata de una denuncia y antes de recibir la carta de la AEPD, el afectado nos notificó que nos iba a denunciar, deberemos concretar dicha fecha.

Descripción de las medidas de seguridad existentes en el momento de la infracción

En este apartado deberéis hacer una descripción de las medidas de seguridad que se encontraban implantadas  y que fue lo que sucedió para que no se hiciera efectiva dicha medida.

Descripción de los  nuevos procedimientos implantados que evitarán que vuelva a suceder

Se deberá describir las medidas correctoras que se han tomado para paliar la conducta infractora.

Lo ideal sería que se estableciera por escrito un procedimiento y que fuera firmado por el personal encargado. (Se podrá adjuntar a la contestación).

Asimismo se deberá establecer un registro de revisiones periódicas de dichas medidas.

Reconocimiento de la infracción

No obstante, si consideramos que somos responsables y asumimos nuestra culpa podremos terminar con el procedimiento si reconocemos la infracción.

Esto lo materializaremos mediante el pago voluntario de la sanción lo cual supondrá una reducción de un 20% de su importe.

¡Atento! La reducción debe determinarse en la notificación de iniciación del procedimiento sancionador y su efectividad se condiciona al desistimiento o renuncia de cualquier acción o recurso en vía administrativa.

No esperes a que haya otra denuncia. Pon en orden la protección de datos.

Aprovecha el momento y revisa todos los procedimientos relacionados con la protección de datos.

¡Siempre se puede mejorar!

Preguntas frecuentes ante la llamada de la AEPD

A continuación hemos hecho acopio de las principales preguntas que nos suelen hacer nuestros clientes ante estas situaciones:

¿Cuáles son los principales motivos por los que me pueden denunciar?

Son muchas las consultas infractoras que podemos cometer.

No obstante, las más relevantes, en cuanto a que las pueden cometer el 99,9% de las empresas son las siguientes:

  • tratar datos personales sin el consentimiento del afectado
  • revelar datos personales como por ejemplo enviando un correo electrónico sin poner copia oculta
  • usar fotografías de clientes sin su autorización
  • enviar publicidad sin consentimiento
  • utilizar los datos personales para otra finalidad diferente para lo que fueron recogidos
  • comunicar datos personales bajo mi responsabilidad sin el conocimiento del afectado
  • no tener correctos los avisos legales y de privacidad de la página web

¿Cuál es el plazo de prescripción de las infracciones?

El artículo 47.1 LOPD regula la prescripción de las infracciones, y dispone que:

  • Las muy graves prescriben a los tres años
  • En el caso de las infracciones graves prescriben a los dos años
  • Las infracciones leves prescriben al año

¿Qué plazo tiene la AEPD para inspeccionar?

La normativa no establece un plazo máximo para que la agencia pueda ejercer su potestad inspectora.

No obstante no podrá sancionarnos si durante su inspección detecto una infracción y esta ya había prescrito.

Pero, ¡Atento!, el inspector de la AEPD no tiene por qué avisar, puede aparecer en cualquier momento.

¿Cómo debo entregar mi respuesta a la comunicación de la AEPD?

En este caso tenemos dos opciones:

  • Acudiendo a las oficinas de la AEPD: Llevaremos 2 copias de nuestra respuesta, la cual la entregaremos en mano en el Registro y nos las deberán sellar, una copia para nosotros y otra para ellos
  • A través de la sede electrónica: Deberemos entrar en la sede electrónica de la AEPD  y presentar electronicamente la contestación. Para ello necesitaremos firma o certificado electrónico

Si la infracción fue cometida por un empleado, ¿puedo hacer algo contra él?

Ante esta pregunta debemos separar dos opciones:

El empleado conocía sus deberes y obligaciones

En este caso está claro que el principal culpable es el empleado.

Podremos imponerle las sanciones que estuvieran previstas ante una infracción de sus deberes y obligaciones, cuyo máxima sanción, laboralmente hablando sería el despido.

El trabajador no disponía de información de cómo debía actuar

Si se da esta situación, deberemos preguntarnos por qué los trabajadores no cuentan con la formación necesaria para poder ejercer sus funciones de forma segura con respecto a la protección de datos.

En este caso no podremos actuar contra el trabajador ya que los principales responsables seríamos nosotros como entidad.

¿De cuánto plazo dispongo para pagar la sanción?

En la comunicación de la imposición definitiva de la sanción encontraremos el plazo que tenemos para pagar, el lugar y la rebaja en la cuantía por pronto pago.

Suele encontrarse en la últimas líneas ¡Atento!

¿Cuáles son las sanciones en el nuevo Reglamento Europeo de Protección de Datos?

Las sanciones en el nuevo RGPD suben considerablemente, ya que ante una infracción leve o grave podemos llegar a pagar 10.000.000 € o el 2% del volumen de negocio , y ante una infracción muy grave la multa se aumenta hasta los 20.000.000 € o el 4% de la facturación anual.

 

Esperamos que nunca te llegue una notificación de la AEPD, pero si no es así, aquí tienes una pequeñas pautas de como debes de actuar.

No obstante, como ya remarcamos anteriormente y debido a las altas sanciones a las que nos exponemos, nuestra recomendación siempre es que se consulte con expertos para que puedan ayudarnos en todo el proceso.

Desde Grupo Ático34 hemos ayudado en numerosas ocasiones en procedimientos ante la AEPD. Si tienes alguna duda, no te quedes con ella, ¡Consúltanos! Te atenderemos en Tlf 91 489 64 19 o en el correo lopd@Atico34.com

 

 

Related posts
Denuncias & Sanciones

¿Es delito falsificar la firma?

10 Mins read
Ya te respondemos de antemano. Sí, falsificar la firma es un delito. En este artículo profundizamos sobre las consecuencias que tiene la…
Denuncias & Sanciones

Denuncia de Protección de Datos a la AEPD

4 Mins read
¿Están usando tus datos de manera fraudulenta? ✅ Te explicamos cómo hacer una denuncia de protección de datos ante la AEPD ¡Entra ahora!
Denuncias & Sanciones

Prácticas agresivas en materia de protección de datos

6 Mins read
En los últimos meses, hemos oído hablar mucho sobre un tema hasta el momento desconocido, y es “ La Protección de Datos”….

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.