Responder en tiempo y forma los requerimientos o solicitudes de información de la AEPD es fundamental para cualquier responsable o encargado del tratamiento, puesto que de ello puede depender la posible apertura de un procedimiento sancionador por parte de la Agencia. Para ayudaros a estar preparados en estos casos, en este artículo vamos a explicar qué hacer si recibimos un requerimiento de la AEPD.
En este artículo hablamos de:
- ¿Qué es un requerimiento de la AEPD?
- ¿Por qué podemos recibir un requerimiento de la AEPD?
- ¿Cómo debemos actuar cuando recibamos el requerimiento de la AEPD?
- ¿Qué ocurre tras nuestra respuesta al requerimiento?
- Si no respondemos un requerimiento de la AEPD ¿nos pueden sancionar?
- Consejos para afrontar una inspección de la AEPD
¿Qué es un requerimiento de la AEPD?
Un requerimiento de la AEPD no es más que una solicitud de información por parte de la Agencia para verificar si hay indicios suficientes para abrir un procedimiento de apercibimiento o sancionador.
Dentro de las funciones de la AEPD está la de realizar procesos de investigación y, en su caso, procedimientos de apercibimiento o sancionadores, tanto de oficio como tras recibir una denuncia de los interesados afectados por una posible infracción o vulneración de la normativa de protección de datos.
Para poder llevar a cabo estas funciones, la AEPD requerirá la información que considere pertinente a las entidades investigadas o denunciadas a través de un requerimiento o solicitud de información.
¿Por qué podemos recibir un requerimiento de la AEPD?
Son dos las razones por las que, como responsables o encargados del tratamiento, podemos recibir un requerimiento de la AEPD:
- Que una persona haya presentado una denuncia ante la AEPD contra nosotros, alegando que hemos cometido una infracción de la normativa de protección de datos.
- Que la AEPD haya iniciado de oficio una investigación, si cree que nuestra empresa está cometiendo alguna infracción de la normativa.
En ambos casos, la forma de proceder de la AEPD es la misma, nos enviará un requerimiento o solicitud de información por escrito, en el que nos indicará la información o documentación que debemos presentar ante ella.
¿Cómo debemos actuar cuando recibamos el requerimiento de la AEPD?
Una vez recibido el requerimiento de la AEPD, tendremos un plazo de 10 días hábiles para responder. Es posible solicitar la prórroga de este plazo, aunque nunca será superior a 5 días hábiles más (tal y como se establece en la Ley 39/2015, del Procedimiento Administrativo Común de las AA. PP.).
Dentro de ese plazo deberemos formular las alegaciones que demuestren que hemos aplicado la normativa de protección de datos de manera adecuada y que no hemos cometido la infracción que se especifica en el requerimiento. Para ello, tendremos que reunir toda la documentación e información que lo acredite, como, por ejemplo, la política de privacidad, los registros de consentimiento, modelos de formularios, cláusulas de protección de datos, contratos de encargo del tratamiento, documentación sobre las medidas de seguridad adoptadas, etc.
En definitiva, se trata de aportar toda prueba que demuestre que hemos cumplido con nuestras obligaciones en materia de protección de datos.
Las alegaciones se enviarán de forma telemática a la AEPD. Si nuestra empresa cuenta con Delegado de Protección de Datos (DPO) o tiene contratado un servicio de protección de datos externo, deberemos ponernos en contacto con ellos de manera inmediata para que gestionen y envíen en plazo las alegaciones. Respecto al DPO, es posible que la AEPD le envíe requerimiento directamente a él, en cuyo caso, nos informará de ello.
¿Qué ocurre tras nuestra respuesta al requerimiento?
Una vez enviadas las alegaciones, la AEPD procederá a su revisión, de lo que se pueden derivar dos escenarios posibles:
- Si la Agencia determina que la información y documentación que hemos aportado es suficiente para justificar que hemos cumplido con la Ley de Protección de Datos y no hemos incurrido en ninguna infracción, dictará el archivo de las actuaciones.
- Si la Agencia determina que esa información y documentación son insuficientes o aprecia indicios de infracción, procederá a la apertura de un procedimiento sancionador o de apercibimiento, que puede acabar de tres formas:
- Recibir un apercibimiento de la AEPD, si la infracción resulta puntual, fruto de un error, y no es grave.
- Recibir una sanción de la AEPD, si la infracción es el resultado de un incumplimiento de la normativa o una infracción de la misma.
- El archivo del procedimiento, si la Agencia determina que no se ha cometido infracción alguna.
Cabe señalar que si recibimos una sanción, podremos reducir su cuantía, si reconocemos nuestra responsabilidad y procedemos al pago voluntario de la misma.
Así mismo, ante las resoluciones de la AEPD que acaban en sanción, cabe interponer recurso de reposición ante la Dirección de la AEPD, en el plazo de un mes a contar desde el día siguiente de la notificación, o recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, en el plazo de dos meses a contar desde el día en que se recibió la notificación.
Si no respondemos un requerimiento de la AEPD ¿nos pueden sancionar?
Sí, nos pueden sancionar por no responder una solicitud de información o requerimiento de la AEPD. En concreto, las sanciones de la AEPD para estos casos son:
- De 40.001 a 300.000 euros por no responder un requerimiento, ya que se considera infracción grave.
- De 300.001 euros a 20 millones de euros por obstaculizar una investigación de la AEPD cuando esta requiere información durante el desarrollo de la misma.
Consejos para afrontar una inspección de la AEPD
Como hemos visto, el plazo que tenemos para responder un requerimiento de la AEPD no es muy amplío, por lo que debemos estar preparados para poder hacerlo de forma rápida y ágil. A continuación os dejamos algunos consejos que os servirán para afrontar una inspección de la AEPD de manera satisfactoria:
- Utiliza un software de gestión de protección de datos, puesto que te facilitará tener disponible de forma rápida toda la documentación e información que te puede solicitar la AEPD. Además, también te permite determinar quién ha podido acceder a unos datos determinados que hayan podido ser el origen de la infracción.
- Documenta todas las medidas técnicas, organizativas y legales que hayas adoptado e implementado para proteger y garantizar la confidencialidad, integridad y disponibilidad de los datos.
- Guarda los registros de consentimiento expreso que te hayan dado los interesados para el tratamiento de sus datos.
- Mantén actualizado el registro de actividades de tratamiento.
- Asegúrate de que todos los contratos de encargo de tratamiento y de confidencialidad de tus empleados están formados y archivados.
- Documenta y guarda los registros e informes de análisis de riesgos y evaluaciones de impacto realizadas.
- Guarda todas las solicitudes de derechos recibidas y las respuestas que les hayas dado.
- Programa auditorías de cumplimiento de la normativa, para comprobar que mantienes un nivel adecuado y guarda los informes resultantes.
Finalmente, si queremos evitar que una persona nos llegue a denunciar en la AEPD, deberemos asegurarnos de que cumplimos adecuadamente con la protección de datos en empresas y que siempre respondemos en tiempo y forma a las solicitudes de derechos que podamos recibir.