En protección de datos si la AEPD te pide documentación debes colaborar o serás sancionado (3.000€)

La Agencia Española de Protección de datos (AEPD) sanciona con 3.000€ a una pyme por obstaculizar la investigación iniciada tras recibir reclamación al constar entregados sendos requerimientos de información y no dar respuesta, infracción art. 58.1 del RGPD

La Agencia, como autoridad de control, tiene una serie de funciones y poderes y obstaculizarlos o no dar respuesta a sus requerimientos de información le ha supuesto a la empresa reclamada la sanción publicada el 25 de noviembre de 2022 (aquí enlace para descarga) por la Agencia.

El origen de la reclamación, el requerimiento y la falta de respuesta

La resolución de la AEPD solo indica que la Agencia acordó iniciar procedimiento sancionador, pero no incorpora el origen ni el motivo, solo que tras recibir una reclamación se aprecian indicios de un posible incumplimiento del RGPD e inicia actuaciones trasladándose la reclamación al responsable o al Delegado de Protección de Datos.

La Agencia, en el marco de las actuaciones de investigación, remitió 2 requerimientos de información para que aportase la información y documentación requerida.

Dichos requerimientos fueron notificados y recogidos por el sancionado, pero la Agencia no obtuvo respuesta alguna.

La obligación incumplida calificada como muy grave

La Agencia indica en la resolución que, conforme a las evidencias disponibles al inicio del procedimiento sancionador, y sin perjuicio de lo que resulte de la instrucción, considera que la parte reclamada no le ha procurado la información requerida y dicha conducta obstaculiza su potestad de investigación que el artículo 58.1 del RGPD le otorga.

Por ello, la Agencia considera que “habiendo vulnerado su poder de investigación los hechos descritos en el apartado de “Hechos” se estiman constitutivos de infracción” (muy grave) y le sanciona con 3.000€ indicando que no resulta de aplicación ningún atenuante ni agravante.

Además, le ordena que facilite, en el plazo de 10 días hábiles, la información requerida.

La empresa decide asumir responsabilidad para reducir la sanción

La AEPD fijó la sanción en 3.000€ que la reclamada paga de manera voluntaria (1.800€) acogiéndose a la doble reducción (20%+20%), es decir, asumiendo su responsabilidad y renunciando a recurso en vía administrativa.

¿Conclusiones a extraer de la presente resolución?:

Si la Agencia, en virtud de sus poderes y funciones, ante una reclamación te pide colaboración y que le respondas, es mejor hacerle caso y no obstaculizar la misma.

No colaborar le supuso la sanción y a tenor de su capacidad económica (señalada en la resolución) se deduce que la sanción no ha sido mayor.

En todo caso, veremos si hay nuevas actuaciones ya que entendemos que el procedimiento que generó la denuncia (cuyo origen no se indica) sigue en pie.

¿Qué dice el artículo 58.1 del RGPD, qué poderes tiene la AEPD?

La AEPD se encarga de velar por el cumplimiento normativo en materia de protección de datos y de controlar su aplicación mediante los poderes que el Reglamento Europeo en su artículo 58 establece para cada autoridad de control.

Está función, entre otras, la ejerce en base a los distintos poderes que como autoridad de control tiene. Son los poderes de los que dispondrá para la investigación, sanción o corrección, amén de los poderes de autorización y consultivos de los que dispone.

Concretamente el articulo 58.1 indica: Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación (señalamos solo los apartados “a “y “e”):

a. ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;

e. obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;

Artículo publicado por:

Rafael Varela
EUROVIMA CONSULTING