Uno de los desafíos a las que deberá enfrentarse una empresa que trate datos personales, ya sea como responsable o como encargado del tratamiento, es la de disponer de las herramientas y medios necesarios en aras de poder responder ante un requerimiento o solicitud de información que pueda recibir de la Agencia Española de Protección de Datos (AEPD), cuya finalidad será recabar la información pertinente y verificar por parte de la AEPD si existen indicios suficientes para proceder a la apertura de un procedimiento sancionador.
Dichas solicitudes de información por parte de la AEPD pueden estar motivadas por dos razones: i) o la AEPD ha iniciado una investigación de oficio al entender que se ha infringido algunas de las disposiciones de la normativa de protección de datos; ii) o bien la AEPD ha recibido una reclamación en la que se pone de manifiesto una acción contraria a dicha normativa.
En este sentido, la reciente publicación de la Memoria anual de la AEPD correspondiente al año 2021, ha puesto de manifiesto el incremento de las, cada vez más frecuentes, reclamaciones ante la AEPD, las cuales han aumentado un 35% respecto al año anterior, pasando de 10.324 a 13.905. Asimismo, es destacable la evolución de las multas impuestas por dicho organismo, ya que mientras que en 2020 se impusieron multas por el valor de 8.018.800€, en 2021 el total ha sido de 35.074.800€, lo que supone un aumento del 337% respecto al año anterior.
Bajo este paradigma, en el que la sociedad y las empresas cada vez cuentan con una mayor cultura de la privacidad, aumenta la probabilidad de que las compañías tengan que enfrentarse a un creciente número de requerimientos por parte de la AEPD, dado que, como bien cabe afirmar, el riesgo cero no existe y la protección de datos personales no es una excepción a esta regla.
Por otra parte, conviene señalar la importancia de contestar en plazo a los requerimientos de la AEPD, ya que en caso contrario el mismo se entenderá como no contestado y, por tanto, no podremos alegar la información que pudiera ser necesaria a efectos de mitigar o aminorar la responsabilidad en la que se pudiera incurrir.
Por ello, las empresas deben contar con toda aquella documentación y evidencias necesarias para responder en tiempo y forma a estos requerimientos y demostrar ante la AEPD de una manera completa y concisa que la empresa cumple con sus obligaciones en materia de protección de datos con el objetivo de evitar la apertura de un procedimiento sancionador y, por consiguiente, una eventual multa.
Una vez presentada la respuesta al requerimiento de la AEPD, cabe diferenciar dos escenarios ante los cuales nos podremos encontrar:
- Archivo de actuaciones: llegar a este escenario será la meta de toda empresa, pues supone que la respuesta aportada al requerimiento de información ha justificado de forma razonable que la compañía no es responsable de los hechos en los que se funda la reclamación.
- Apertura de procedimiento sancionador: en caso de que la respuesta aportada al requerimiento no sea lo suficientemente declarativa de la ausencia de responsabilidad de la empresa reclamada, se acordará la apertura del citado procedimiento, el cual podrá ser la antesala o bien de una multa, de un apercibimiento o, incluso, de un ulterior archivo de las actuaciones.
A colación de lo anterior, interesa concretar que, en el año 2021, de las 584 resoluciones dictadas tras un procedimiento sancionador, 264 acabaron en multa, 222 en apercibimiento, y solo 99 en archivo, cabiendo reseñar, por otra parte, que, de las 3.679 resoluciones tras el requerimiento de información por parte de la AEPD, 2.421 fueron resueltas tras una respuesta satisfactoria del responsable o encargado del tratamiento.
Expuesto lo anterior, resulta imprescindible que las empresas cuenten con el asesoramiento de expertos en materia de protección de datos a fin de que les ayuden a dar una respuesta ágil y eficaz ante los posibles requerimientos de información de la AEPD, habida cuenta de las implicaciones que pueden conllevar ser sancionado en esta materia, no solo desde el punto de vista económico que comprende la imposición de una multa, sino por la pérdida de imagen y prestigio que supone ser responsable de una infracción de la normativa de protección de datos, tomando en consideración, además, la publicidad que tienen ciertas resoluciones dentro del ecosistema empresarial.
Para más información, o si requiere de un asesoramiento experto en esta materia, por favor póngase en contacto con los abogados expertos en Protección de Datos y Derecho Digital.
Sergio Fernández y Francisco Javier González
Abogados en el área de Protección de datos y Derecho digital
Añadir nuevo comentario