the art of being legal


Requeriment de l'Agència Espanyola de Protecció de Dades: Com respondre

Rebre una notificació de l'Agència Espanyola de Protecció de Dades (Agència Espanyola de Protecció de Dades (AEPD)) pot generar certa preocupació. És normal: l'Agència és l'autoritat que vetlla pel compliment de la normativa de protecció de dades a Espanya, i els seus requeriments solen implicar que hi ha una investigació en curs o que necessita aclariments sobre com estàs tractant les dades personals.

Però rebre un requeriment no significa necessàriament que et vagin a sancionar. El important és entendre què et demanen, per què, i com respondre correctament dins del termini establert. A continuació, t'expliquem tot el que has de saber per gestionar-ho de manera segura i eficaç.

Abi_2025_circleRedactat per Abigail Sked

 Especialista en protecció de dades 

Contacta'ns perquè t'ajudem

 

Contingut

 

Com respondre a un requeriment de l'Agència Espanyola de Protecció de Dades 

Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)

 

Què és l'Agència Espanyola de Protecció de Dades i quina és la seva funció?

La Agència Espanyola de Protecció de Dades (Agència Espanyola de Protecció de Dades (AEPD)) és l'autoritat administrativa independent encarregada de garantir el compliment de la normativa sobre protecció de dades personals a Espanya, principalment el Reglament General de Protecció de Dades (RGPD) i la Llei Orgànica 3/2018 (Llei Orgànica de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD)).

El seu paper no és només sancionador: també té funcions de supervisió, investigació, prevenció i assessorament. L'Agència pot actuar d'ofici (per iniciativa pròpia) o després de rebre una denúncia o reclamació d'un particular.

 

Per què puc rebre un requeriment de l'Agència Espanyola de Protecció de Dades (AEPD)?

Els requeriments són sol·licituds formals d'informació o documentació que l'Agència adreça a una empresa, professional o entitat pública.

Els motius més habituals són:

  • Una denúncia o reclamació presentada per un ciutadà (per exemple, per no atendre una sol·licitud d'exercici de drets o per rebre comunicacions comercials sense consentiment).
  • Una investigació d'ofici, iniciada per la mateixa Agència si detecta possibles incompliments.

L'objectiu és obtenir informació per determinar si el responsable o encarregat del tractament ha complert amb les seves obligacions. Per això, és possible que hagis de facilitar documents com ara:

  • Polítiques o registres de tractament.
  • Còpia de clàusules informatives o consentiments.
  • Evidències de mesures de seguretat aplicades.
  • Proves de com es va gestionar una sol·licitud o reclamació d'un interessat.

Respondre correctament i dins de termini és una obligació legal.

 

Quan s'admet a tràmit una reclamació davant l'Agència Espanyola de Protecció de Dades (AEPD)?

Abans d'iniciar un procediment formal, l'Agència Espanyola de Protecció de Dades (Agència Espanyola de Protecció de Dades (AEPD)) avalua si la reclamació presentada reuneix els requisits per ser admesa a tràmit. Pot inadmetre-la si no tracta qüestions de protecció de dades, manca de fonament, és abusiva o no hi ha indicis raonables d'infracció.

En alguns casos, abans de resoldre, l'Agència pot remetre la reclamació al delegat de protecció de dades o al mateix responsable del tractament perquè li faciliti la informació necessària en el termini d'un mes.

Així mateix, si el responsable del tractament o l'encarregat del tractament corregeix de manera voluntària les deficiències detectades arran d'un advertiment de l'Agència, per exemple adoptant mesures que garanteixin plenament els drets de l'afectat, l'Agència Espanyola de Protecció de Dades (AEPD) pot decidir no continuar amb la reclamació. La decisió sobre l'admissió o la inadmissió es notificarà al reclamant en un màxim de tres mesos; si no es comunica en aquest termini, s'entén que la reclamació continua la seva tramitació.

 

Quant dura el procediment de l'Agència Espanyola de Protecció de Dades (AEPD)?

Quan l'Agència Espanyola de Protecció de Dades (AEPD) inicia un procediment, la manera i els terminis depenen del tipus de reclamació.

Si es tracta únicament de la manca de resposta a una sol·licitud d'exercici de drets (accés, rectificació, supressió, etc.), el procediment s'ha de resoldre en un màxim de sis mesos.

Si el procediment té per objecte determinar l'existència d'una possible infracció de la normativa de protecció de dades, el procediment té un termini màxim de dotze mesos des del seu inici; si se supera, s'arxiva per caducitat. A més, l'Agència Espanyola de Protecció de Dades (AEPD) pot optar per emetre un advertiment o requerir mesures correctives, la qual cosa comporta un procediment de fins a sis mesos a comptar des de la data de l'acord d'inici.

Aquests terminis poden suspendre's si cal recaptar informació o assistència d'altres autoritats nacionals o europees.

 

Com es compten els terminis de la Agència Espanyola de Protecció de Dades (AEPD)?

El requeriment especificarà el termini exacte per respondre, per la qual cosa, a l'hora de respondre a un requeriment o realitzar qualsevol tràmit davant l'Agència Espanyola de Protecció de Dades, és fonamental entendre com es calculen els terminis i quan es considera presentada una resposta.

  • Quan el termini s'indica en dies, s'entén que són dies hàbils, és a dir, no es compten els dissabtes, els diumenges ni els festius.
    El termini comença l'endemà de la notificació corresponent.
  • Si el termini s'indica en mesos, també es compta a partir de l'endemà de la notificació. En aquests casos, el termini acaba el mateix dia del mes següent en què se us va notificar.
    Si aquell mes no té el mateix número de dia (per exemple, si va començar el 31 de gener), el termini finalitza l'últim dia d'aquell mes.

És important saber que, a tots els efectes legals, la data i hora oficials de la Seu Electrònica són les que compten, no les del rellotge del vostre ordinador o dispositiu. El moment decisiu és quan finalitzeu el tràmit i signeu electrònicament la sol·licitud o el document, ja que en aquell instant es genera el resguard del Registre Electrònic que acredita la presentació.

Per exemple:
si el termini acaba el 10 d'octubre i comenceu a emplenar la sol·licitud a les 23:45, però la signeu i registreu a les 00:05 de l'11, el tràmit es considerarà presentat fora de termini.

Per tant, és essencial comprovar la data de notificació i actuar amb rapidesa.

 

Com s'ha de respondre a un requeriment de la Agència Espanyola de Protecció de Dades (AEPD)?

Les comunicacions amb la Agència Espanyola de Protecció de Dades (AEPD) es realitzen a través de la seva seu electrònica (https://sedeaepd.gob.es).

Haureu d'accedir amb certificat digital o sistema Cl@ve i presentar un escrit de contestació acompanyat de la documentació que justifiqui la vostra resposta.

Alguns consells pràctics:

  • Respon sempre de manera concreta i documentada. No n'hi ha prou amb afirmacions genèriques.
  • Assegura't d'identificar clarament l'expedient i la referència del requeriment.
  • Conserva el justificant de presentació i tota la documentació enviada.

 

És segur utilitzar els serveis de la seu electrònica?

Sí, la Agència Espanyola de Protecció de Dades (AEPD) afirma que l'ús de la seu electrònica és completament segur. La comunicació entre l'usuari i la seu es realitza a través de canals xifrats, la qual cosa garanteix que les dades viatgin protegides en tot moment.

A més, els certificats digitals asseguren la identitat tant de l'usuari com de la pròpia Administració, evitant qualsevol suplantació.

 

Quines obligacions tinc com a responsable del tractament?

L'article 31 del RGPD és clar: els responsables i encarregats del tractament han de cooperar amb l'autoritat de control quan se'ls requereixi informació.

Això significa que estàs obligat a:

  • Contestar dins del termini establert.
  • Aportar informació veraç i completa.
  • Facilitar l'accés a les dades i documents sol·licitats.
  • Permetre, si fos necessari, la inspecció dels teus sistemes o registres.

Negar-se a col·laborar o fer-ho de manera insuficient pot considerar-se una infracció molt greu. Les infraccions molt greus se sancionaran amb multes administratives de 20.000.000 € com a màxim o, tractant-se d'una empresa, d'una quantia equivalent al 4 % com a màxim del volum de negoci total anual global de l'exercici financer anterior, optant-se per la de major quantia.

 

Què passa si no contesto o no coopero amb la Agència Espanyola de Protecció de Dades (AEPD)?

Ignorar un requeriment no fa que el problema desaparegui; al contrari, pot agreujar les conseqüències.

Si no respons dins del termini o no col·labores adequadament, l'Agència pot:

  • Iniciar un procediment sancionador.
  • Imposar-te una multa per obstrucció (fins i tot si encara no s'ha acreditat un incompliment de fons) de fins a 20.000.000 € o el 4 % del volum de negoci total anual.
  • Considerar la manca de cooperació com un agreujant en la sanció principal.

Recorda que els inspectors de la Agència Espanyola de Protecció de Dades (AEPD) tenen àmplies facultats. Poden, per exemple, sol·licitar tota la informació necessària per comprovar els fets, realitzar inspeccions in situ, examinar la documentació al mateix lloc on es guarden o es tracten les dades personals, revisar els equips físics i lògics, etc.

D'altra banda, si la empresa actua amb rapidesa i demostra bona fe en corregir l'incompliment, la Agència Espanyola de Protecció de Dades (AEPD) pot tancar l'expedient sense continuar amb el procés sancionador. Si la empresa o entitat afectada demostra que ha adoptat les mesures necessàries per complir la normativa de protecció de dades, la Agència Espanyola de Protecció de Dades (AEPD) pot decidir arxivar la reclamació, sempre que el cas no hagi passat encara a una fase formal d'investigació o sanció.

Per això, la millor estratègia sempre és respondre en temps i forma, mostrant disposició i transparència.

 

Conclusió: no ignoris el requeriment, respon amb assessorament expert

En molts casos, si actues amb rapidesa i criteri, pots evitar que un requeriment de la Agència Espanyola de Protecció de Dades (AEPD) es converteixi en un problema a llarg termini. Entendre què et demanen, preparar una resposta completa i ajustar-te al procediment és clau per evitar sancions i demostrar el teu compliment normatiu.

Si has rebut un requeriment de l'Agència Espanyola de Protecció de Dades, no t'hi enfrontis sol. A Conesa Legal, els nostres especialistes en protecció de dades poden ajudar-te a analitzar la situació, redactar la resposta i gestionar la comunicació amb l'Agència.

Contacta'ns avui mateix per rebre assessorament personalitzat i assegurar una resposta eficaç i ajustada a la normativa.

Abigail Sked

 

Data de publicació: 5 de juliol, 2026

Última actualització: 5 de juliol, 2026