Recibir una notificación de la Agencia Española de Protección de Datos (AEPD) puede generar inquietud en cualquier organización, sea una pyme, una clínica o una empresa de servicios. Sin embargo, la inspección no es el final del proceso: es, en muchos casos, el inicio de una fase de diálogo con la autoridad de control en la que la preparación, la documentación y la actitud de colaboración determinan en gran medida el resultado. Esta guía explica, con rigor normativo, en qué consiste el procedimiento inspector, qué derechos asisten al inspeccionado y qué documentación conviene tener lista desde el primer día.
¿Qué desencadena una actuación de la AEPD?
La AEPD puede iniciar una actuación de oficio (por iniciativa propia, tras detectar indicios de infracción) o como consecuencia de una reclamación o denuncia presentada por un particular, una empresa o cualquier otra entidad. En ambos casos, el primer paso formal suele ser las actuaciones previas de investigación, reguladas en el artículo 67 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Estas actuaciones previas tienen carácter inquisitivo y no sancionador: la AEPD recaba información, solicita documentación y, si lo estima necesario, puede personarse en los locales del responsable o encargado del tratamiento. El artículo 58.1 del Reglamento (UE) 2016/679 (RGPD) detalla los poderes de investigación de las autoridades de control: acceso a cualquier dato personal, acceso a los locales, acceso a los equipos de tratamiento y obtención de copias de documentos.
Una actuación previa no implica automáticamente la apertura de un procedimiento sancionador. Muchas concluyen con un archivo, con medidas de mejora voluntarias o con la resolución de la reclamación sin sanción. La clave está en responder con prontitud, rigor y documentación sólida.
Fases del procedimiento inspector de la AEPD
El procedimiento de la AEPD se articula en etapas diferenciadas. Conocerlas ayuda a priorizar acciones y a no confundir un requerimiento de información con una sanción ya impuesta.
| Fase | Base normativa | Qué ocurre | Plazo habitual de respuesta |
|---|---|---|---|
| Actuaciones previas de investigación | Art. 67 LOPDGDD · Art. 58.1 RGPD | La AEPD solicita información, documentación o acceso a instalaciones. No existe aún imputación formal. | El fijado en el requerimiento (habitualmente 10-15 días hábiles) |
| Resolución de archivo o derivación | Art. 67 LOPDGDD | Si no hay indicios de infracción, se archiva. Si los hay, se deriva a procedimiento sancionador o de apercibimiento. | No hay plazo fijo para el inspeccionado en esta fase |
| Procedimiento de apercibimiento | Art. 77 LOPDGDD | Para Administraciones públicas y ciertos organismos: la AEPD puede apercibir en lugar de sancionar económicamente. | Plazo de alegaciones: mínimo 10 días hábiles |
| Procedimiento sancionador | Arts. 70-78 LOPDGDD · Art. 83 RGPD | Se formula cargo formal. El imputado puede formular alegaciones, proponer prueba y recurrir la resolución. | Plazo de alegaciones: 10 días hábiles desde la notificación del pliego de cargos |
| Resolución definitiva | Art. 64 LOPDGDD | La AEPD dicta resolución con medidas correctivas o sanción. Recurrible ante la Audiencia Nacional. | 12 meses desde la apertura del procedimiento (prorrogable) |
Es importante subrayar que las sanciones económicas solo se imponen mediante resolución firme al término del procedimiento sancionador. Hasta ese momento, el inspeccionado conserva todos sus derechos de defensa.
Derechos del inspeccionado
Durante cualquier actuación de la AEPD, la organización inspeccionada dispone de un conjunto de derechos reconocidos tanto en la LOPDGDD como en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas:
- Derecho a ser informado de la naturaleza y objeto de la actuación desde el inicio.
- Derecho a formular alegaciones en cualquier fase del procedimiento y a que sean tenidas en cuenta antes de que se dicte resolución.
- Derecho de acceso al expediente: la organización puede consultar todas las actuaciones obrantes en el expediente administrativo, salvo las excepciones previstas por ley.
- Derecho a la asistencia jurídica: es perfectamente lícito —y aconsejable— contar con asesoramiento legal especializado desde el primer momento.
- Derecho a proponer prueba: en el procedimiento sancionador, el imputado puede proponer medios de prueba para acreditar el cumplimiento o la buena fe.
- Presunción de inocencia: la carga de la prueba recae sobre la AEPD; el inspeccionado no tiene que demostrar que no ha infringido, sino que la agencia debe acreditar que sí lo ha hecho.
- Derecho a recurrir: las resoluciones de la AEPD pueden recurrirse ante la Audiencia Nacional (Sala de lo Contencioso-Administrativo) en el plazo de dos meses.
Conocer estos derechos y ejercerlos en el momento oportuno es tan importante como tener la documentación en orden. En Summum Consultoría acompañamos a las organizaciones desde que reciben la primera comunicación de la AEPD, ayudándoles a estructurar su respuesta y a ejercer sus derechos con eficacia.
Deberes durante la actuación inspectora
Junto a los derechos, el inspeccionado tiene obligaciones cuyo incumplimiento puede agravar su situación:
- Deber de colaboración: el artículo 58.1.e) del RGPD obliga a facilitar el acceso a los datos, locales y equipos que la AEPD solicite en ejercicio de sus poderes de investigación. Obstaculizar la actuación inspectora puede constituir en sí misma una infracción adicional.
- Deber de responder en plazo: los requerimientos de información tienen un plazo concreto. No responder o hacerlo fuera de plazo —sin solicitar prórroga motivada— genera una presunción de pasividad que la AEPD puede valorar negativamente.
- Deber de veracidad: la información aportada a la AEPD debe ser exacta y completa. Aportar datos inexactos o incompletos de forma consciente puede agravar la situación del imputado.
La actitud de colaboración proactiva —responder con prontitud, aportar documentación bien organizada y mostrar medidas de mejora ya adoptadas o en curso— es uno de los factores que la AEPD tiene expresamente en cuenta a la hora de graduar las sanciones, conforme al artículo 83.2.f) del RGPD.
Documentación clave que debes tener lista
El principio de responsabilidad proactiva del artículo 5.2 del RGPD exige que el responsable del tratamiento sea capaz de demostrar el cumplimiento, no solo cumplir. Ante una inspección, esto se traduce en tener accesible la siguiente documentación:
1. Registro de Actividades de Tratamiento (RAT)
El Registro de Actividades de Tratamiento, regulado en el artículo 30 del RGPD, es el documento central de cualquier auditoría de protección de datos. Debe recoger, para cada actividad de tratamiento: finalidades, categorías de datos y de interesados, destinatarios (incluidas transferencias internacionales), plazos de supresión y medidas de seguridad. Un RAT desactualizado, incompleto o que no refleja la realidad de los tratamientos es uno de los hallazgos más comunes en las inspecciones de la AEPD y una señal de falta de gobernanza en materia de datos.
2. Contratos de encargo del tratamiento
El artículo 28 del RGPD obliga a formalizar por escrito —en papel o en formato electrónico— todos los contratos con encargados del tratamiento: proveedores cloud, plataformas de gestión de nóminas, gestorías, servicios de email marketing, desarrolladores de software que acceden a datos de clientes, etc. La ausencia de estos contratos o su contenido insuficiente es una infracción autónoma que la AEPD investiga sistemáticamente. El contrato debe incluir, como mínimo, el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, las obligaciones y derechos del responsable, y las instrucciones documentadas de tratamiento.
3. Base jurídica de cada tratamiento
Para cada actividad del RAT debe existir una base jurídica de las previstas en el artículo 6 del RGPD (consentimiento, contrato, obligación legal, intereses vitales, interés público o interés legítimo). Si el tratamiento se basa en consentimiento, deben conservarse los registros que acrediten cuándo, cómo y por quién se prestó ese consentimiento.
4. Política de privacidad y cláusulas informativas
Los textos informativos dirigidos a los interesados (formularios web, contratos con clientes, candidatos en procesos de selección, etc.) deben cumplir los requisitos de los artículos 13 y 14 del RGPD. La AEPD verifica que la información sea completa, transparente y esté disponible en el momento de la recogida de datos.
5. Evaluaciones de Impacto (EIPD) cuando procedan
Para tratamientos de alto riesgo —videovigilancia a gran escala, perfilado de personas, tratamiento masivo de categorías especiales de datos— el artículo 35 del RGPD exige realizar una Evaluación de Impacto en la Protección de Datos (EIPD) antes del inicio del tratamiento. Si la organización realiza alguno de estos tratamientos sin EIPD, la ausencia es un incumplimiento directo que la inspección detectará.
6. Registro de brechas de seguridad
El artículo 33.5 del RGPD obliga a documentar todas las brechas de seguridad, tanto las que se notifican a la AEPD como las que no. Este registro evidencia que la organización tiene mecanismos de detección y respuesta activos. Si quieres revisar tu protocolo de notificación, puedes consultar nuestra guía sobre cómo notificar una brecha de seguridad a la AEPD en 72 horas.
Cómo actuar en los primeros días tras recibir la comunicación
Los primeros movimientos son determinantes. Estas son las prioridades al recibir cualquier comunicación de la AEPD:
- Leer con atención la notificación: identificar si se trata de una solicitud de información en el marco de actuaciones previas, de un pliego de cargos en un procedimiento sancionador o de otra figura. El tipo de comunicación determina el plazo y la respuesta adecuada.
- Anotar el plazo de respuesta y no esperar al último momento. Si el plazo es insuficiente, es posible solicitar prórroga motivada antes de su vencimiento.
- Designar un interlocutor interno (o el DPO, si existe) que coordine la recopilación de documentación y la comunicación con la AEPD.
- Recopilar la documentación pertinente: RAT, contratos de encargo, bases jurídicas, políticas de privacidad, registros de consentimiento y cualquier otra documentación relacionada con los tratamientos investigados.
- Evaluar si es necesario apoyo externo: en procedimientos sancionadores, contar con asesoramiento especializado desde el inicio —antes de responder al pliego de cargos— puede marcar la diferencia en las alegaciones y en la propuesta de medidas de mejora.
- No eliminar ni modificar documentación relacionada con los tratamientos investigados: cualquier alteración posterior a la notificación podría interpretarse como obstrucción.
El régimen sancionador del RGPD y la LOPDGDD
El artículo 83 del RGPD establece dos niveles de sanciones administrativas. Las infracciones más graves —entre ellas, vulnerar los principios de tratamiento del artículo 5, carecer de base jurídica (art. 6) o incumplir las condiciones del consentimiento (art. 7)— pueden sancionarse con multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial total del ejercicio financiero anterior, aplicándose la cuantía que sea mayor. Las infracciones de segundo nivel —falta de contratos de encargo, incumplimiento del deber de notificación de brechas, ausencia de EIPD— tienen un techo de 10.000.000 EUR o el 2 % del volumen de negocio anual, el importe mayor.
La LOPDGDD (Ley Orgánica 3/2018) complementa este régimen en su artículo 72 (infracciones muy graves), artículo 73 (infracciones graves) y artículo 74 (infracciones leves), alineándolo con las categorías del RGPD. Para las Administraciones públicas y ciertos organismos, el artículo 77 de la LOPDGDD prevé la figura del apercibimiento en lugar de la multa económica, aunque la resolución se hace pública.
La AEPD tiene en cuenta, al graduar la sanción, factores como la gravedad del incumplimiento, el número de afectados, las categorías de datos involucradas, la intencionalidad o negligencia, las medidas adoptadas para limitar los daños y el grado de cooperación con la autoridad de control (art. 83.2 RGPD). Demostrar que se han adoptado o se están adoptando medidas correctivas sólidas puede influir de forma significativa en la resolución final.
El papel del DPO ante una inspección
El Delegado de Protección de Datos (DPO), cuya designación es obligatoria en los supuestos del artículo 37 del RGPD, desempeña un papel central durante la inspección. Sus funciones incluyen actuar como punto de contacto con la AEPD (art. 39.1.e) RGPD), coordinar la recopilación de documentación y garantizar que la respuesta de la organización es coherente y completa. El DPO debe tener acceso directo a la dirección de la organización y no puede recibir instrucciones sobre el ejercicio de sus funciones.
Las organizaciones que no tienen DPO obligatorio pero que se enfrentan a una actuación de la AEPD pueden beneficiarse de contar con un DPO externo que actúe como interlocutor especializado durante el proceso, sin necesidad de que sea una figura permanente de la plantilla.
Si tu organización necesita preparar su documentación de cara a una posible inspección o acaba de recibir una comunicación de la AEPD, el equipo de Summum Consultoría ofrece acompañamiento en todas las fases del procedimiento desde nuestras oficinas en Castilla y León y Canarias.
Preguntas frecuentes
¿La AEPD puede personarse en mis instalaciones sin previo aviso?
El artículo 58.1.f) del RGPD faculta a las autoridades de control para acceder a los locales del responsable o encargado del tratamiento, incluido cualquier equipo de tratamiento de datos. En la práctica, la AEPD suele iniciar las actuaciones mediante requerimientos escritos de información antes de realizar visitas presenciales, pero no está obligada a notificar la visita con antelación cuando hay indicios de riesgo de ocultación de pruebas. En todo caso, la organización tiene derecho a exigir la identificación de los inspectores y la presentación de la documentación que habilita la actuación.
¿Tengo obligación de responder a todas las preguntas de la AEPD?
El deber de colaboración con la AEPD es amplio, pero no ilimitado. La organización debe facilitar la información solicitada en el marco de la actuación inspectora, pero tiene derecho a que esa información sea utilizada exclusivamente para los fines del procedimiento y a que se respeten sus derechos procesales. Si alguna de las preguntas formuladas pudiera afectar a intereses protegidos por secreto profesional u otras normas sectoriales, es aconsejable consultar con asesoramiento jurídico antes de responder.
¿Qué ocurre si corrijo el incumplimiento antes de que la AEPD dicte resolución?
Adoptar medidas correctivas durante el procedimiento —antes de la resolución definitiva— es uno de los factores de mitigación que el artículo 83.2.f) del RGPD reconoce expresamente. La AEPD puede tenerlo en cuenta para reducir la gravedad de la sanción o, en casos de menor entidad, para resolver sin sanción económica. Sin embargo, la corrección posterior no elimina automáticamente la infracción: su valor depende del tipo de incumplimiento, del momento en que se adoptan las medidas y del historial previo de la organización.
¿Puedo recurrir la resolución sancionadora de la AEPD?
Sí. Las resoluciones de la AEPD son directamente recurribles ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en el plazo de dos meses desde su notificación, conforme a lo previsto en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa. No es necesario interponer recurso de reposición previo ante la propia AEPD, aunque es posible hacerlo en el plazo de un mes si la organización lo considera oportuno. Durante el proceso de recurso, la ejecución de la resolución puede solicitarse que quede en suspenso si el recurso tiene apariencia de buen derecho.