Cómo prepararse ante un procedimiento sancionador de protección de datos

El procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) sigue una estructura clara, establecida en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), el Reglamento General de Protección de Datos (RGPD), y los artículos 63 y 64 de la Ley 39/2015, de Procedimiento Administrativo Común.

Ante de proporcionar consejos sobre cómo prepararse y actuar ante un procedimiento sancionador de protección de datos, es importante conocer cada fase, desde las actuaciones previas hasta los posibles recursos.

1. Inicio del procedimiento sancionador de protección de datos

El procedimiento sancionador en materia de protección de datos puede iniciarse de tres maneras:

  1. Denuncia de un interesado: La vía más común de inicio del procedimiento. Cualquier persona física que considere vulnerados sus derechos de protección de datos puede presentar una denuncia ante la AEPD. Esto puede incluir, por ejemplo, la falta de transparencia en el uso de sus datos o el incumplimiento de su derecho de acceso o eliminación.
  2. Petición razonada de otro órgano administrativo: Las instituciones públicas también pueden solicitar que la AEPD investigue una posible infracción de la normativa de protección de datos si consideran que el tratamiento de datos por parte de otra entidad vulnera la normativa.
  3. De oficio: La AEPD puede iniciar un procedimiento por iniciativa propia si detecta indicios de incumplimiento, ya sea a través de sus investigaciones previas o en respuesta a informes o alertas públicas sobre infracciones de gran relevancia.

Una vez recibida la denuncia o iniciada la investigación, la AEPD evalúa si existen suficientes elementos para admitir la denuncia a trámite. De no hallarlos, se acuerda el archivo inmediato.

2. Admisión a trámite

Para admitir a trámite una denuncia, la AEPD evalúa ciertos criterios que establece la LOPDGDD en el artículo 65.2. La AEPD inadmitirá las reclamaciones que:

  • No traten sobre cuestiones de protección de datos personales.
  • Carezcan de fundamento o pruebas suficientes.
  • Resulten abusivas.
  • No presenten indicios racionales de infracción.

Asimismo, según el artículo 65.3, la AEPD puede inadmitir la reclamación cuando, previa advertencia, el responsable del tratamiento haya implementado medidas correctivas eficaces y se cumplan alguna de las siguientes circunstancias:

  • No se ha causado un perjuicio al afectado.
  • El derecho del afectado queda plenamente garantizado mediante las medidas implementadas.

Antes de decidir sobre la admisión, la AEPD puede remitir la reclamación al Delegado de Protección de Datos (DPD) de la entidad o al organismo de supervisión encargado de los códigos de conducta de protección de datos. Si no hay DPD designado, la AEPD remite la reclamación al responsable del tratamiento para que responda.

3. Determinación de competencia y ámbito territorial

Una vez admitida a trámite, la AEPD debe evaluar su competencia y el alcance territorial del caso, tal como establece el artículo 66.1 de la LOPDGDD. Esto implica que la AEPD debe determinar si la infracción es de carácter nacional o transfronterizo:

  • Si el caso tiene carácter transfronterizo, la AEPD debe evaluar si actúa como autoridad principal para coordinarse con otras autoridades europeas.
  • Si considera que no tiene competencia como autoridad principal, la AEPD remitirá el caso a la autoridad correspondiente, notificando esta decisión al reclamante y archivando el procedimiento de forma provisional.

4. Actuaciones previas de investigación

En esta fase, la AEPD puede realizar investigaciones preliminares antes de emitir un acuerdo de inicio. Estas actuaciones buscan clarificar los hechos, reunir información suficiente y evitar procesos arbitrarios, de forma que solo se inicien procedimientos sancionadores en casos debidamente justificados.

La AEPD puede realizar diversas acciones en esta fase, tales como:

  • Recabar documentos y datos sobre el tratamiento de datos personales de la entidad investigada.
  • Inspeccionar los sistemas y locales de la entidad para verificar el cumplimiento normativo.
  • Solicitar informes periciales o testimonios que refuercen la evidencia recopilada.
  • Requerir auditorías o pruebas técnicas sobre los sistemas de protección de datos.

Al concluir, la AEPD elabora un informe que define si existen indicios suficientes para continuar con un procedimiento sancionador formal. En caso contrario, se archiva la denuncia y se notifica esta decisión a las partes implicadas.

5. Acuerdo de inicio formal del procedimiento

Si se constatan indicios de infracción, la AEPD emite un acuerdo formal de inicio. Este acuerdo contiene:

  • Una descripción detallada de los hechos.
  • Identificación de la entidad o persona investigada.
  • La infracción presuntamente cometida y su posible sanción.

Este documento se notifica tanto a la entidad investigada como al denunciante, si lo hubiera. A partir de aquí, el investigado cuenta con un plazo para presentar alegaciones iniciales.

6. Medidas provisionales

Durante las investigaciones o una vez iniciado el procedimiento, la AEPD puede adoptar medidas provisionales para evitar daños graves o irreparables. Estas medidas están definidas en el artículo 69 de la LOPDGDD y se aplican en casos en los que el tratamiento de datos pueda perjudicar de forma significativa el derecho a la protección de datos personales.

Las medidas provisionales incluyen:

  • Bloqueo temporal de los datos afectados para evitar su uso mientras se resuelve el caso.
  • Suspensión del tratamiento en aquellos casos donde el uso de los datos compromete gravemente los derechos de los interesados.

Estas medidas se aplican únicamente cuando son estrictamente necesarias y deben ser motivadas por la AEPD.

7. Fase de instrucción y prueba

En esta fase, las partes tienen oportunidad de presentar pruebas y defender sus posiciones. Las actividades principales de esta fase incluyen:

  • Presentación de alegaciones: La entidad investigada dispone de un plazo para presentar pruebas y argumentos en su defensa.
  • Período de prueba: Si las pruebas presentadas requieren verificación, se abre un período de entre 10 y 30 días para su análisis. La AEPD tiene la facultad de rechazar pruebas irrelevantes.
  • Inspecciones y pruebas complementarias: La AEPD puede llevar a cabo inspecciones adicionales o solicitar pruebas para verificar la gravedad de la infracción.

8. Propuesta de resolución

Al finalizar la instrucción, el instructor emite una propuesta de resolución, que incluye:

  • Los hechos probados y la calificación jurídica de la infracción.
  • Identificación del responsable o responsables.
  • Propuesta de sanción y, si aplica, cualquier medida provisional adoptada.

Esta propuesta se notifica a las partes, que tienen 15 días para presentar nuevas alegaciones. Si no se presentan alegaciones, la propuesta puede considerarse definitiva.

9. Resolución final

La AEPD emite una resolución definitiva en la que se determina:

  • Los hechos probados.
  • La infracción y su calificación.
  • Identificación del responsable y la sanción impuesta.

10. Recursos y revisión de la resolución

  • Recurso de reposición: La entidad sancionada puede presentar un recurso de reposición ante la AEPD en un plazo de un mes desde la notificación de la resolución. La AEPD debe revisarlo y resolverlo.
  • Recurso contencioso-administrativo: Si el recurso de reposición es desestimado, el sancionado puede acudir a los tribunales contencioso-administrativos para que revisen la legalidad de la sanción impuesta.

Cómo prepararse ante un procedimiento sancionador de protección de datos

Un procedimiento sancionador puede tener un impacto significativo tanto económico como reputacional, por lo que una actuación estructurada y documentada marcará la diferencia de su impacto.

1. Revisión inicial del requerimiento y evaluación de riesgos

  • Identificar el tipo de requerimiento: Determinar si se trata de una solicitud de información, una inspección o una notificación de inicio de procedimiento. Este primer análisis permitirá definir el alcance de la respuesta y las áreas que deben involucrarse internamente.
  • Evaluar el riesgo potencial: Analizar el posible impacto de las sanciones según la gravedad de la infracción. Las infracciones leves pueden conllevar multas más reducidas, mientras que las graves y muy graves suponen multas elevadas y posibles medidas correctivas. La empresa debe consultar con su equipo legal para obtener una evaluación preliminar del riesgo y definir la estrategia de defensa.

2. Organización del equipo de respuesta

  • Nombrar un responsable de procedimiento: Designar a un líder del equipo de respuesta, generalmente el Delegado de Protección de Datos (DPD) o un asesor legal externo, para coordinar las acciones necesarias. Hay que tener en cuenta que, para no comprometer su independencia y evitar conflicto de intereses, el DPD no puede representar al responsable del tratamiento ante la AEPD (por ejemplo, presentar alegaciones en nombre de la empresa).
  • Involucrar a otras áreas: En función del alcance de la investigación, pueden ser necesarias las aportaciones de áreas como IT, recursos humanos, marketing o ciberseguridad, en función de los datos implicados, la categoría del interesado denunciante, las infracciones supuestamente cometidas o las medidas correctivas que deban implementarse.

3. Recopilación y análisis de la documentación

  • Identificar y recopilar toda la documentación relevante: Para demostrar el cumplimiento normativo y fortalecer la defensa, es fundamental identificar y recopilar toda la documentación que permita refutar la denuncia. Esto incluye avisos de protección de datos, pruebas de obtención del consentimiento, respuestas a solicitudes de ejercicio de derechos, políticas y procedimientos en el marco de la responsabilidad proactiva de la organización, análisis de riesgos, evaluaciones de impacto sobre el tratamiento, entre otros.
  • Identificación de medidas de seguridad implementadas: Si el procedimiento se inicia como consecuencia de una brecha de seguridad, es esencial demostrar que se han aplicado medidas de seguridad adecuadas y proporcionales. Para ello, se debe detallar exhaustivamente las medidas técnicas y organizativas adoptadas para proteger los datos, incluyendo políticas de control de acceso, mecanismos de encriptación y sistemas de monitorización de incidentes.

4. Preparación de las alegaciones

  • Análisis de los hechos: Una lectura detenida de la denuncia o los hechos descritos por la AEPD permitirá a la empresa entender las supuestas infracciones y evaluar si existen fundamentos sólidos para su defensa.
  • Argumentación jurídica: Elaborar una respuesta detallada que incluya argumentos jurídicos y técnicos que demuestren el cumplimiento normativo de la empresa o, en su caso, las medidas correctivas ya adoptadas.

6. Medidas correctivas y de refuerzo del cumplimiento normativo

  • Implementación inmediata de medidas correctoras: En caso de que la AEPD indique áreas de mejora, es recomendable adoptar medidas correctivas de inmediato. Estas acciones proactivas demuestran compromiso y pueden atenuar posibles sanciones.
  • Auditoría interna y revisión de procedimientos: Realizar una auditoría interna para revisar todos los procedimientos de protección de datos en la empresa y ajustar las políticas que no cumplan plenamente con el RGPD y la LOPDGDD.
  • Documentación de mejores prácticas: Implementar y documentar medidas preventivas adicionales, como formaciones regulares para el personal sobre protección de datos, revisiones periódicas de contratos de terceros, y la actualización de políticas de privacidad.

7. Colaboración con la AEPD durante todo el proceso

  • Transparencia y comunicación abierta: Mantener una actitud colaborativa con la AEPD y responder dentro de los plazos establecidos a todos los requerimientos. Esto incluye proporcionar la documentación solicitada, responder a las solicitudes de aclaración, y cooperar en la fase de inspección si se lleva a cabo.
  • Solicitud de prórrogas si son necesarias: Si la empresa necesita más tiempo para reunir pruebas o documentar su defensa, puede solicitar una prórroga. Sin embargo, esta solicitud debe estar justificada y no debe usarse como una estrategia dilatoria, ya que puede interpretarse como una falta de compromiso.

En resumen, una respuesta efectiva ante un procedimiento sancionador en materia de protección de datos incluye:

  1. Comprensión del proceso: Conocer las fases y requisitos del procedimiento sancionador.
  2. Acción proactiva: Implementar medidas correctivas y mejoras en cumplimiento normativo.
  3. Colaboración: Mantener una comunicación abierta y transparente con la AEPD.
  4. Asesoramiento especializado: Contar con apoyo legal y técnico para garantizar una defensa sólida.

Servicios de AUFERIL en procedimientos sancionadores en materia de protección de datos

AUFERIL ofrece una gama completa de servicios para apoyar a las empresas durante el proceso de investigación o sanción. Estos incluyen:

Evaluación del supuesto incumplimiento

  • Análisis preliminar de las reclamaciones presentadas o de los puntos de investigación de la AEPD.
  • Diagnóstico de cumplimiento que permite identificar las áreas en riesgo de sanción y evaluar la posibilidad de defensa.
Asesoramiento en la respuesta a la AEPD

  • Asesoría para la elaboración de respuestas y alegaciones frente a requerimientos de la AEPD.
  • Revisión de toda la documentación requerida y apoyo en la organización y presentación de pruebas de cumplimiento.
Defensa jurídica especializada

  • Representación ante la AEPD durante todo el procedimiento sancionador, incluyendo la preparación y presentación de alegaciones en cada fase del proceso.
  • Defensa jurídica en procedimientos contencioso-administrativos para recurrir sanciones impuestas, si el resultado del procedimiento administrativo no es favorable.
Implantación de medidas correctivas

  • Propuesta de acciones correctivas y medidas de cumplimiento normativo adaptadas a la situación específica de la empresa para garantizar el cumplimiento con la normativa de protección de datos.
  • Seguimiento continuo para prevenir futuros riesgos y asegurar el cumplimiento a largo plazo.

Para obtener más información sobre cómo podemos ayudar a su organización ante procedimientos sancionadores de la Agencia Española de Protección de Datos, contáctenos a través de nuestro correo electrónico info@auferil.es o por teléfono o WhatsApp (+34 676 351 757).