Carta de la Agencia Española de Protección de Datos (AEPD) qué hacer en 48 horas y qué documentos aportar
Recibir una carta de la Agencia Española de Protección de Datos (AEPD) suele provocar un escalofrío inmediato en cualquier empresario o profesional. Lo entiendo perfectamente. La incertidumbre sobre la cuantía de las posibles sanciones y el lenguaje administrativo, a menudo farragoso, generan una tensión innecesaria si se sabe cómo actuar. Como experto en cumplimiento normativo, he gestionado decenas de estas situaciones y te aseguro que el pánico es el peor aliado. La clave no está en evitar la carta (que ya ha llegado), sino en la precisión, rapidez y profesionalidad de la respuesta.
Cuando hablo de actuar en 48 horas, no lo digo por capricho ni para generar urgencia. Lo digo porque el tiempo en derecho administrativo vuela. Aunque el plazo legal que te otorgue la Agencia pueda ser de 10 días hábiles, las primeras 48 horas son críticas para auditar qué ha fallado, localizar la documentación y, si es necesario, contactar con los responsables técnicos o proveedores de servicios involucrados. Si esperas al noveno día, tu capacidad de reacción será nula y el riesgo de sanción por falta de diligencia aumentará exponencialmente.
El primer impacto: Identificar qué tipo de carta tienes sobre la mesa
No todas las comunicaciones de la AEPD son iguales y saber distinguirlas es el primer paso de nuestra estrategia de defensa. Por lo general, te encontrarás ante uno de estos tres escenarios. El primero es una solicitud de información o requerimiento previo. Aquí la Agencia te dice que ha recibido una reclamación o que ha detectado algo y te pide explicaciones. Es el momento de oro para cerrar el expediente sin sanción. El segundo es el acuerdo de inicio de un procedimiento sancionador. Esto es más serio, ya hay indicios de infracción y se abre el periodo de alegaciones. El tercero es un apercibimiento, que es básicamente un «tirón de orejas» formal donde se te insta a corregir algo sin multa económica inmediata, siempre que cumplas.
Si lo que tienes es un requerimiento de información, el enfoque debe ser de máxima transparencia y colaboración. La AEPD valora positivamente que el responsable del tratamiento muestre una actitud proactiva. Si intentas ocultar información o respondes con evasivas, solo conseguirás que el inspector ponga el foco con más intensidad sobre tu actividad. En mi experiencia, una respuesta técnica impecable y bien documentada en esta fase puede desactivar el 90% de los problemas antes de que se conviertan en multas económicas.
Las primeras 48 horas: El protocolo de actuación urgente
Nada más abrir el sobre o descargar la notificación de la sede electrónica, debes activar el reloj. Lo primero que hago cuando un cliente me llama con esta situación es verificar la fecha de notificación. Recuerda que los plazos empiezan a contar desde el día siguiente a la recepción. Si la notificación ha sido electrónica, el plazo cuenta desde el acceso al contenido o desde que transcurren diez días naturales sin que accedas a ella.
En estas primeras horas, tu misión es identificar el origen del requerimiento. ¿Es una denuncia de un cliente insatisfecho? ¿Es un exempleado? ¿Es una inspección de oficio motivada por una brecha de seguridad que no notificaste? Localizar el foco te permitirá saber qué archivos buscar. Si el requerimiento se debe a una denuncia por el envío de correos comerciales sin consentimiento, lo primero que necesitamos es el log de registro de ese usuario, el pantallazo del formulario donde marcó la casilla de aceptación y la política de privacidad que estaba vigente en ese momento.
A continuación, debes reunir a tu equipo o a tus asesores externos. Si tienes un Delegado de Protección de Datos (DPD), es el momento de que tome el mando. Si no lo tienes, deberías considerar contar con uno externo de forma inmediata para que valide la respuesta. El error más común que veo es que el gerente de la empresa intenta responder por su cuenta con un tono defensivo o emocional. Error grave. La respuesta debe ser técnica, jurídica y aséptica.
Documentos imprescindibles: El kit de defensa ante la AEPD
Independientemente del motivo específico de la carta, hay una serie de documentos que la AEPD te va a pedir casi con total seguridad para evaluar tu grado de cumplimiento general. Si estos documentos no existen o están desactualizados, la sanción será mucho más difícil de evitar.
El Registro de Actividades de Tratamiento (RAT) es la pieza de convicción número uno. Es el documento donde explicas qué datos tratas, para qué, quiénes son los destinatarios y cuánto tiempo los guardas. Si la carta de la AEPD pregunta por un tratamiento específico que no figura en tu RAT, ya tienes un problema de base que debemos subsanar en la respuesta, explicando la omisión como un error administrativo y aportando el registro actualizado.
El segundo pilar son los contratos de encargado de tratamiento. Si la incidencia ha ocurrido en un servicio que tienes externalizado (el CRM, la agencia de marketing, el hosting), la AEPD te pedirá el contrato que vincula a tu empresa con ese proveedor bajo el artículo 28 del RGPD. Si no tienes ese contrato firmado donde se estipulen las obligaciones de seguridad del proveedor, tú eres el único responsable ante la ley. Es vital aportar este documento para demostrar que habías trasladado las obligaciones de seguridad a tu proveedor.
En tercer lugar, debemos aportar las evidencias de la base legítima. Si el tratamiento se basa en el consentimiento, necesitamos los formularios o registros que lo prueben. Si se basa en el interés legítimo, deberíamos aportar la ponderación de ese interés que hicimos en su día. La AEPD no se conforma con que digas «tengo el permiso», quiere ver el rastro digital o físico de ese permiso.
Cómo redactar la contestación al requerimiento: Estructura de éxito
La forma en que se presenta la documentación es casi tan importante como el fondo. Una respuesta desordenada da imagen de falta de control. Yo siempre estructuro las respuestas siguiendo un orden lógico que facilite el trabajo al instructor de la Agencia. Empezamos con los datos identificativos del expediente y del interesado. Después, realizamos un resumen sucinto de los hechos que motivan la respuesta.
En el cuerpo principal de la contestación, debemos abordar punto por punto cada una de las cuestiones solicitadas por la AEPD. No dejes ninguna pregunta sin responder. Si hay algo que no puedes aportar en ese momento, explica por qué y solicita una ampliación de plazo si es estrictamente necesario, aunque es mejor entregar todo de una vez.
Usa un lenguaje jurídico preciso. No hables de «permisos», habla de «consentimiento expreso e informado bajo el artículo 6.1.a del RGPD». No hables de «seguridad del ordenador», habla de «medidas técnicas y organizativas adecuadas al riesgo detectado tras la correspondiente evaluación de impacto o análisis de riesgos». Este lenguaje le indica a la Agencia que hablas su mismo idioma y que te tomas en serio la normativa.
El análisis de riesgos y las medidas de seguridad
Un punto donde muchas empresas flaquean es en demostrar que han evaluado los riesgos. La AEPD te preguntará qué medidas de seguridad tenías implementadas para evitar el incidente que ha motivado la carta. Aquí es donde debes aportar tu Documento de Seguridad o el informe de Análisis de Riesgos.
Si el problema ha sido una brecha de seguridad (un hackeo o una pérdida de información), debes aportar el informe técnico de lo sucedido. ¿Qué medidas se tomaron para mitigar el daño? ¿Se notificó a los afectados? ¿Se cambió el protocolo de contraseñas tras el incidente? Demostrar que reaccionaste correctamente tras un error puede reducir la sanción a cero o convertirla en un simple apercibimiento. La proactividad se demuestra con hechos y documentos fechados antes del incidente.
El papel del Delegado de Protección de Datos (DPD) en la respuesta
Si tu organización está obligada por el artículo 34 de la LOPDGDD a tener un DPD (como centros médicos, grandes empresas o centros de enseñanza), su firma en la contestación es fundamental. El DPD actúa como interlocutor con la Agencia y su mera existencia ya supone un punto a tu favor en la evaluación del cumplimiento.
Incluso si no estás obligado, si cuentas con un DPD voluntario, su intervención en la crisis demuestra un compromiso superior con la privacidad. En la respuesta al requerimiento, el DPD debe certificar que los procesos de la empresa están bajo supervisión y que se han tomado medidas correctivas para que el hecho denunciado no vuelva a producirse. Esta garantía de «no repetición» es uno de los factores que más influyen en la decisión final de la AEPD.
Errores fatales al responder a la AEPD
He visto empresas cometer errores que han transformado una posible advertencia en una multa de miles de euros. El primero es el silencio. No responder a la AEPD es una infracción grave por obstrucción a la labor inspectora. Incluso si no tienes nada que decir a tu favor, debes responder identificándote y pidiendo plazo.
Otro error es mentir o aportar documentos falsificados o «creados a posteriori» de forma evidente. Los inspectores de la AEPD son expertos en detectar metadatos en archivos digitales y fechas de creación de documentos. Si aportas un contrato de encargado de tratamiento que dices que firmaste hace dos años, pero el PDF dice que se creó ayer tarde, habrás perdido toda la credibilidad y la sanción será máxima por mala fe. Es mejor admitir una carencia y proponer un plan de subsanación inmediato que intentar engañar a la autoridad.
Finalmente, no ignores los aspectos formales. Asegúrate de que quien firma la respuesta tiene poderes suficientes en la empresa y que el certificado digital utilizado para la entrega es válido. Un error de forma puede hacer que tu respuesta se dé por no presentada, con las consecuencias legales que ello conlleva.
Gestión de la prueba: Pantallazos, logs y evidencias digitales
En la era digital, la prueba reina es el log. Si te acusan de no haber atendido un derecho de acceso o de supresión, debes demostrar que el correo de respuesta salió de tus servidores hacia la dirección del reclamante. Aporta el log del servidor de correo, no solo un pantallazo de tu bandeja de salida.
Si el conflicto nace de tu página web, aporta actas de navegación o certificados de terceros que den fe de cómo estaba configurado tu banner de cookies en la fecha de la denuncia. La AEPD es muy estricta con las cookies y los formularios de contacto. Asegúrate de que las evidencias que aportas coinciden exactamente con lo que el usuario vio en su momento. Si has modificado la web tras recibir la carta (lo cual es recomendable si tenías errores), especifícalo claramente: «Se aporta evidencia de la configuración actual, implementada el día X tras detectar una posible discrepancia con la normativa».
Conclusión: La importancia de una defensa profesional
En definitiva, enfrentarse a la AEPD no es una batalla perdida, pero es un proceso que requiere un rigor absoluto. Las primeras 48 horas marcan el destino del expediente. Identificar la causa, localizar el RAT, los contratos de encargado y las evidencias de consentimiento son los pasos que separan una resolución de archivo de una sanción económica cuantiosa.
Como abogado experto en esta materia, mi recomendación es siempre la misma: no te defiendas solo. El coste de un asesoramiento especializado en estas críticas semanas es ínfimo comparado con las multas que el RGPD contempla. La AEPD busca responsables que se tomen en serio la privacidad de los ciudadanos; si tu respuesta demuestra ese compromiso, estarás en el camino correcto para resolver la situación con éxito.
