Recibir una notificación de la Agencia Española de Protección de Datos (AEPD) puede generar cierta preocupación. Es normal: la Agencia es la autoridad que vela por el cumplimiento de la normativa de protección de datos en España, y sus requerimientos suelen implicar que existe una investigación en curso o que necesita aclaraciones sobre cómo estás tratando los datos personales.
Pero recibir un requerimiento no significa necesariamente que vayas a ser sancionado. Lo importante es entender qué te están pidiendo, por qué, y cómo responder correctamente dentro del plazo establecido. A continuación, te explicamos todo lo que debes saber para gestionarlo de forma segura y eficaz.
Redactado por Abigail Sked
Especialista en protección de datos
Cómo responder a un requerimiento de la Agencia Española de Protección de Datos
Abigail Sked, Especialista en protección de datos (Subtítulos disponibles en castellano e inglés)
¿Qué es la Agencia española de protección de datos y cuál es su función?
La Agencia Española de Protección de Datos (AEPD) es la autoridad administrativa independiente encargada de garantizar que se cumpla la normativa sobre protección de datos personales en España, principalmente el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
Su papel no es solo sancionador: también tiene funciones de supervisión, investigación, prevención y asesoramiento. La Agencia puede actuar de oficio (por iniciativa propia) o tras recibir una denuncia o reclamación de un particular.
¿Por qué puedo recibir un requerimiento de la AEPD?
Los requerimientos son solicitudes formales de información o documentación que la Agencia dirige a una empresa, profesional o entidad pública.
Los motivos más habituales son:
- Una denuncia o reclamación presentada por un ciudadano (por ejemplo, por no atender una solicitud de ejercicio de derechos o por recibir comunicaciones comerciales sin consentimiento).
- Una investigación de oficio, iniciada por la propia Agencia si detecta posibles incumplimientos.
El objetivo es obtener información para determinar si el responsable o encargado del tratamiento ha cumplido con sus obligaciones. Por eso, podrías tener que facilitar documentos como:
- Políticas o registros de tratamiento.
- Copia de cláusulas informativas o consentimientos.
- Evidencias de medidas de seguridad aplicadas.
- Pruebas de cómo se gestionó una solicitud o reclamación de un interesado.
Responder correctamente y dentro de plazo es una obligación legal.
¿Cuándo se admite a trámite una reclamación ante la AEPD?
Antes de iniciar un procedimiento formal, la Agencia Española de Protección de Datos (AEPD) evalúa si la reclamación presentada reúne los requisitos para ser admitida a trámite. Puede inadmitirla si no trata sobre cuestiones de protección de datos, carece de fundamento, es abusiva o no existen indicios razonables de infracción.
En algunos casos, antes de resolver, la Agencia puede remitir la reclamación al delegado de protección de datos o al propio responsable para que le facilite la información necesaria en el plazo de un mes.
Asimismo, si el responsable o encargado del tratamiento corrige de forma voluntaria las deficiencias detectadas tras una advertencia de la Agencia, por ejemplo, adoptando medidas que garanticen plenamente los derechos del afectado, la AEPD puede decidir no continuar con la reclamación. La decisión sobre la admisión o inadmisión se notificará al reclamante en un máximo de tres meses; si no se comunica en ese plazo, se entiende que la reclamación continúa su tramitación.
¿Cuánto dura el procedimiento de la AEPD?
Cuando la AEPD inicia un procedimiento, el modo y los plazos dependen del tipo de reclamación.
Si se trata únicamente de la falta de respuesta a una solicitud de ejercicio de derechos (acceso, rectificación, supresión, etc.), el procedimiento debe resolverse en un máximo de seis meses.
Si el procedimiento busca determinar la existencia de una posible infracción de la normativa de protección de datos, el procedimiento tiene un plazo máximo de doce meses desde su inicio; si se supera, se archiva por caducidad. Además, la AEPD puede optar por emitir un apercibimiento o requerir medidas correctivas, lo que conlleva un procedimiento de hasta seis meses a contar desde la fecha del acuerdo de inicio.
Estos plazos pueden suspenderse si es necesario recabar información o asistencia de otras autoridades nacionales o europeas.
¿Cómo se cuentan los plazos de la aepd?
El requerimiento especificará el plazo exacto para responder, por lo que, a la hora de responder a un requerimiento o realizar cualquier trámite ante la Agencia Española de Protección de Datos, es fundamental entender cómo se calculan los plazos y cuándo se considera presentada una respuesta.
- Cuando el plazo se indica en días, se entiende que son días hábiles, es decir, no se cuentan los sábados, los domingos ni los festivos.
El plazo empieza al día siguiente de la notificación correspondiente. - Si el plazo se indica en meses, también se cuenta a partir del día siguiente al de la notificación. En estos casos, el plazo termina el mismo día del mes siguiente en el que se te notificó.
Si ese mes no tiene el mismo número de día (por ejemplo, si empezó el 31 de enero), el plazo finaliza el último día de ese mes.
Es importante saber que, para todos los efectos legales, la fecha y hora oficiales de la Sede Electrónica son las que cuentan, no las del reloj de tu ordenador o dispositivo. El momento decisivo es cuando finalizas el trámite y firmas electrónicamente la solicitud o el documento, ya que en ese instante se genera el resguardo del Registro Electrónico que acredita la presentación.
Por ejemplo:
si el plazo termina el 10 de octubre y comienzas a rellenar la solicitud a las 23:45, pero la firmas y registras a las 00:05 del día 11, el trámite se considerará presentado fuera de plazo.
Por tanto, es esencial comprobar la fecha de notificación y actuar con rapidez.
¿Cómo se debe responder a un requerimiento de la AEPD?
Las comunicaciones con la AEPD se realizan a través de su sede electrónica (https://sedeaepd.gob.es).
Deberás acceder con certificado digital o sistema Cl@ve y presentar un escrito de contestación acompañado de la documentación que justifique tu respuesta.
Algunos consejos prácticos:
- Responde siempre de manera concreta y documentada. No basta con afirmaciones genéricas.
- Asegúrate de identificar claramente el expediente y la referencia del requerimiento.
- Conserva el justificante de presentación y toda la documentación enviada.
¿Es seguro utilizar los servicios de la sede electrónica?
Sí, la AEPD afirma que el uso de la sede electrónica es completamente seguro. La comunicación entre el usuario y la sede se realiza a través de canales cifrados, lo que garantiza que los datos viajen protegidos en todo momento.
Además, los certificados digitales aseguran la identidad tanto del usuario como de la propia Administración, evitando cualquier suplantación.
¿Qué obligaciones tengo como responsable del tratamiento?
El artículo 31 del RGPD es claro: los responsables y encargados del tratamiento deben cooperar con la autoridad de control cuando se les requiera información.
Esto significa que estás obligado a:
- Contestar dentro del plazo establecido.
- Aportar información veraz y completa.
- Facilitar el acceso a los datos y documentos solicitados.
- Permitir, si fuera necesario, la inspección de tus sistemas o registros.
Negarse a colaborar o hacerlo de manera insuficiente puede considerarse una infracción muy grave. Las infracciones muy graves se sancionarán con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
¿Qué ocurre si no contesto o no coopero con la AEPD?
Ignorar un requerimiento no hace que el problema desaparezca; al contrario, puede agravar las consecuencias.
Si no respondes dentro del plazo o no colaboras adecuadamente, la Agencia puede:
- Iniciar un procedimiento sancionador.
- Imponerte una multa por obstrucción (incluso aunque no se acredite todavía un incumplimiento de fondo) de hasta 20.000.000 € o 4 % del volumen de negocio total anual.
- Considerar la falta de cooperación como un agravante en la sanción principal.
Recuerda que los inspectores de la AEPD tienen amplios poderes. Pueden, por ejemplo, pedir toda la información que necesiten para comprobar los hechos, realizar inspecciones in situ, examinar la documentación en el propio lugar donde se guardan o se tratan los datos personales, revisar los equipos físicos y lógicos, etc.
Por otro lado, si la empresa actúa con rapidez y demuestra buena fe al corregir el incumplimiento, la AEPD puede cerrar el expediente sin continuar con el proceso sancionador. Si la empresa o entidad afectada demuestra que ha adoptado las medidas necesarias para cumplir la normativa de protección de datos la AEPD puede decidir archivar la reclamación, siempre que el caso no haya pasado todavía a una fase formal de investigación o sanción.
Por eso, la mejor estrategia siempre es responder en tiempo y forma, mostrando disposición y transparencia.
Conclusión: no ignores el requerimiento, responde con asesoramiento experto
En muchos casos, si actúas con rapidez y criterio, puedes evitar que un requerimiento de la AEPD se convierta en un problema a largo plazo. Entender qué te piden, preparar una respuesta completa y ajustarte al procedimiento es clave para evitar sanciones y demostrar tu cumplimiento normativo.
Si has recibido un requerimiento de la Agencia Española de Protección de Datos, no lo afrontes solo. En Conesa Legal, nuestros especialistas en protección de datos pueden ayudarte a analizar la situación, redactar la respuesta y gestionar la comunicación con la Agencia.
Contáctanos hoy mismo para recibir asesoramiento personalizado y asegurar una respuesta eficaz y ajustada a la normativa.
