¿Te ha llegado una carta de la Agencia Española de Protección de Datos (AEPD) y no sabes cómo actuar? Antes de que cunda el pánico, debes estudiar el contenido, porque no siempre las comunicaciones de la AEPD contienen malas noticias. De hecho, te enviarán comunicaciones si has notificado el Delegado de Protección de Datos (DPD) recientemente con el fin de confirmarte que la inscripción se ha tramitado correctamente.

Para el caso de que la carta resulte ser una comunicación relacionada con una denuncia en contra de tu empresa, te recomendamos contactar con tu DPD si lo tienes nombrado, o en su defecto, con el responsable interno, y con tu asesor externo de protección de datos, con el fin de entender el contenido y poder contestar adecuadamente dentro del plazo establecido.

Cuando existe denuncia a tu empresa

Cuando un presunto afectado presenta una denuncia, la AEPD debe revisar el contenido y evaluar si es competente desde el punto de vista material y territorial para resolver la cuestión, y en esta valoración puede hasta 3 meses. En caso de resultar competente, la AEPD iniciará las actuaciones previas de investigación para valorar si efectivamente los hechos revisten apariencia de infracción. En esta fase de actuaciones previas es en la que habitualmente nos cae una inspección o como mínimo un requerimiento, para que aportemos en un plazo determinado la documentación pertinente para esclarecer los hechos, pudiendo alargarse esta fase hasta 12 meses para los casos más complejos.

Con la nueva regulación, es posible que se pongan en contacto directo con tu DPD si lo has designado, para que éste responda directamente a la AEPD o al afectado en relación con los hechos. Es importante destacar que la inspección de protección de datos analizará la reclamación e investigará si se trata de un error puntual de la empresa, o de errores sistemáticos en cuyo caso procederá a investigar el origen del problema, es decir, el sistema de gestión de datos del responsable o encargado del tratamiento.

Si como resultado de las investigaciones la AEPD considera que efectivamente hay indicios ciertos de infracción, procederá a abrir procedimiento sancionador. El procedimiento sancionador no necesariamente terminará con una sanción, ya que existe la posibilidad que el responsable pueda demostrar que no ha cometido infracción alguna, en cuyo caso se archivarían las actuaciones. Por otra parte, si el responsable es capaz de demostrar que mantiene un cumplimento elevado y estricto de la normativa, y que la infracción objeto de denuncia se ha debido a un error puntual que ha burlado las políticas y controles previamente establecidos, y si además, los hechos no han impactado gravemente contra la privacidad del denunciante, es posible que el procedimiento pueda culminar con un apercibimiento, sin conllevar sanción alguna.

En cambio, si se trata de una infracción flagrante de la normativa, y la empresa no es capaz de demostrar que había implantado medidas de prevención con anterioridad, es muy probable que todo termine con una sanción. Las sanciones pueden ser muy elevadas teniendo en cuenta el máximo de 20 millones de euros establecido por el Reglamento General de Protección de Datos. Ello sin hablar de coste reputacional, que puede conllevar pérdida irreversible de la confianza de los clientes y afectar la posición de la empresa en el mercado.

Recomendaciones para una inspección de la Agencia de Protección de Datos

Te ofrecemos algunos consejos para afrontar una inspección de la Agencia de Protección de Datos:

  • Tener a mano tu Plan de protección de datos, especialmente en formato automatizado, ya que los requerimientos pueden contestarse telemáticamente, lo que te ayudará a cumplir los plazos y simplificar la contestación.
  • Realizar auditorias anuales para comprobar que tienes un alto nivel de cumplimiento del RGPD y conservar los informes de auditoria firmados por el auditor.
  • Verificar que los encargados de tratamiento te han firmado los contratos de protección de datos, y que los empleados te han firmado las cláusulas y políticas internas de la organización, y conservar todos los documentos que lo acrediten.
  • Tener documentada cada una de las medidas legales, organizativas y tecnológicas que hayas implantado para proteger la confidencialidad, porque necesitarás demostrar que has hecho las cosas bien antes de recibir la denuncia, y no dispondrás de mucho tiempo para ello.
  • Conservar los consentimientos que hayas recabado de clientes y los justificantes que acrediten que les has informado oportunamente sobre el tratamiento de sus datos.
  • Mantener un registro de la tramitación de las solicitudes de derechos que hayas recibido, especialmente del de acceso, baja de publicidad y supresión, así como de las contestaciones que se hayan realizado, ya que muchas denuncias son interpuestas porque el afectado alega no haber recibido respuesta de la empresa.
  • Conservar documentación que acredite que has formado a tus empleados, ya que esta será una buena herramienta para demostrar lo mucho (o poco) que te has preocupado por la protección de datos antes del incidente, especialmente cuando la infracción sea resultado de un error humano de tu equipo.
  • Tener un canal de comunicación rápido y fluido con tu DPD, tu Responsable interno o tu asesor externo de protección de datos, para no perder un minuto en el estudio del caso y poder contestar en plazo.
  • Tener actualizado un listado de usuarios autorizados a acceder a los sistemas de información, y un registro de los accesos realizados que permita la trazabilidad, de lo contrario no podrás identificar a la persona que ejecutó la acción que dio lugar a la infracción.
  • Tener un análisis de riesgos actualizado, para demostrar la responsabilidad proactiva, así como un registro de actividades de tratamiento.

La buena noticia es que la prevención es un arma de defensa eficaz, que aunque no reduce nunca “cero” el riesgo de que recibas una denuncia, aumenta considerablemente tus posibilidades de evitar una sanción y un daño reputacional.

 

Lilliam Valenzuela
Socia Responsable de Legal en Umbra Abogados

Pin It on Pinterest

Share This