¿Qué hacer si tu empresa recibe un requerimiento o solicitud de información de la AEPD?
Aquellas empresas que traten datos personales, ya sea en su condición de Responsable del Tratamiento de esos datos o como Encargado del Tratamiento de los mismos, deberán estar preparadas y disponer de los medios y herramientas necesarias para responder en tiempo y forma a cualquier requerimiento o solicitud de información que pueda recibir de la Agencia Española de Protección de Datos (AEPD).
En este sentido, la finalidad del requerimiento o solicitud de información recibido por parte de la AEPD no es otra que recabar información suficiente para poder verificar si existen indicios suficientes o no para proceder con la apertura de un procedimiento sancionador.
¿Por qué ha recibido tu empresa un requerimiento o solicitud de información por parte de la AEPD?
Las solicitudes de información o requerimientos de la AEPD están motivadas por dos razones fundamentales:
- Que la AEPD haya iniciado una investigación de oficio por entender que tu empresa ha incumplido con alguna de las disposiciones de la normativa en materia de privacidad y protección de datos o;
- Que la AEPD haya recibido la reclamación por parte de algún usuario mediante la cual manifieste una acción contraria a la antedicha normativa por parte de tu empresa.
¿Una vez recibido el requerimiento por parte de la AEPD que debe hacer la empresa?
Una vez recibida la solicitud de información de que se trate, la AEPD expondrá detalladamente en dicho documento por escrito la información o cuestiones que deberás presentar ante dicha entidad con la finalidad de identificar o delimitar los hechos que motivaron la solicitud, identificar a las personas que pudieran resultar responsables y, en definitiva, comprobar las circunstancias del caso concreto para inicio o no un procedimiento sancionador.
Asimismo, la AEPD concederá un plazo específico para que la empresa proceda a responder al requerimiento, acción que se llevará a cabo también por escrito, siendo dicho plazo de diez (10) días hábiles por regla general.
De acuerdo con lo anterior, la empresa deberá formular las alegaciones que estime convenientes para demostrar que ha actuado conforme a la normativa de aplicación, aportando para ello las evidencias necesarias (formularios de registro, clausulados, políticas de privacidad, etc.) para demostrar que su actuación ha sido adecuada y que cumple con sus obligaciones en materia de protección de datos.
¿Qué sucede cuando la empresa responde al requerimiento en tiempo y forma?
Tras presentarse la respuesta antes la AEPD, pueden concurrir dos escenarios diferenciados:
- Que se produzca el archivo de las actuaciones por entender la AEPD que la información proporcionada es suficiente para justificar que la empresa no es responsable de los hechos en los que se funda la solicitud o;
- Que se proceda a la apertura de un procedimiento sancionador por parte de la AEPD en caso de determinarse por ésta que la información proporcionada por la empresa no justifica, de manera razonable, la ausencia de responsabilidad por su parte.
En el supuesto de que proceda a la apertura de un expediente sancionador, la consecuencia más común para la empresa será proceder al pago de una multa económica.
Midiala Fernández es IP/IT Lawyer
Ha desarrollado su carrera profesional en el ámbito de la Propiedad Intelectual, Industrial y Nuevas Tecnologías. Además, presta asesoramiento legal en materias específicas tales como: Comercio electrónico, Privacidad y Protección de datos, Marketing y Publicidad, Competencia desleal y Ciberseguridad.