Qué hacer si recibe una denuncia de la Agencia Española de Protección de Datos: abogados expertos en protección de datos para defender a su empresa

En este artículo explicamos qué debe hacer una empresa cuando recibe una denuncia o requerimiento de la Agencia Española de Protección de Datos. Analizamos los primeros pasos, los plazos y la importancia de responder con una estrategia jurídica adecuada para reducir riesgos y defender correctamente sus intereses.

Recibir una denuncia de la Agencia Española de Protección de Datos no significa estar sancionado

Recibir una comunicación de la Agencia Española de Protección de Datos puede generar una enorme preocupación en cualquier empresa. Muchas sociedades, autónomos, clínicas, comercios, inmobiliarias, asesorías, despachos profesionales o pymes reciben una notificación de la AEPD y piensan inmediatamente que van a ser sancionados. Sin embargo, una denuncia, reclamación o requerimiento inicial no significa necesariamente que exista ya una sanción.

La Agencia Española de Protección de Datos puede iniciar actuaciones a partir de una reclamación presentada por un cliente, trabajador, exempleado, usuario web, candidato a un puesto de trabajo, proveedor o cualquier persona que considere que sus datos personales han sido tratados de forma incorrecta. También puede actuar por una brecha de seguridad notificada, por una denuncia sobre videovigilancia, por el ejercicio de un derecho no atendido o por una comunicación comercial no deseada.

Lo importante es entender que la primera respuesta de la empresa puede condicionar todo el expediente. Una contestación incompleta, precipitada, contradictoria o sin documentación puede perjudicar la defensa. En cambio, una respuesta bien preparada por abogados expertos en protección de datos puede aclarar los hechos, justificar la actuación empresarial, acreditar medidas correctoras y reducir notablemente el riesgo de sanción.

La protección de datos se basa en la responsabilidad proactiva. El artículo 5.2 RGPD establece que el responsable del tratamiento debe ser capaz de demostrar que cumple los principios del tratamiento. Esto significa que, ante una denuncia, la empresa no solo debe explicar qué ocurrió, sino probar que actuó con diligencia, que tenía una base jurídica, que informó correctamente, que aplicó medidas de seguridad y que atendió los derechos cuando procedía.

Por eso, si su empresa recibe una denuncia de la Agencia Española de Protección de Datos, lo más importante es no improvisar. El expediente debe analizarse desde el primer momento con criterio jurídico. Los abogados expertos en protección de datos pueden valorar si existe realmente infracción, si la reclamación tiene fundamento, si la empresa dispone de documentación suficiente y qué estrategia de defensa conviene seguir.

Por qué es importante actuar rápido desde la primera comunicación de la AEPD

El tiempo es decisivo cuando una empresa recibe una comunicación de la Agencia Española de Protección de Datos. Muchas veces la AEPD concede un plazo para aportar información, formular alegaciones o acreditar determinadas actuaciones. Dejar pasar los días, responder sin revisar la documentación o enviar información incompleta puede ser un error grave.

La rapidez no significa contestar de cualquier manera. Significa activar una estrategia inmediata. Lo primero es identificar qué ha recibido la empresa: una solicitud de información, una reclamación trasladada por la AEPD, un requerimiento, una apertura de actuaciones previas, una propuesta de resolución, una notificación relacionada con una brecha de seguridad o el inicio formal de un procedimiento sancionador.

Cada fase exige una respuesta distinta. No es lo mismo contestar a una reclamación por falta de respuesta a un derecho de acceso que defender una supuesta infracción por videovigilancia, por comunicación de datos de salud, por falta de contrato de encargado del tratamiento o por una brecha de seguridad no notificada.

Los abogados expertos en protección de datos deben revisar la notificación, identificar el expediente, analizar los hechos denunciados, comprobar los plazos y solicitar a la empresa toda la documentación necesaria. En protección de datos, muchas defensas dependen de la prueba: políticas de privacidad, cláusulas informativas, contratos de encargado, registros de actividades, correos enviados, respuestas a derechos, justificantes de baja, carteles de videovigilancia, protocolos internos o medidas correctoras adoptadas.

Una empresa que actúa rápido puede corregir deficiencias, aportar documentación, acreditar buena fe y demostrar diligencia. Esta actuación puede ser relevante para conseguir el archivo, evitar sanciones económicas, reducir la cuantía de la multa o sustituir una posible sanción por medidas correctivas o apercibimientos.

La AEPD explica en materia de brechas que el responsable debe valorar el riesgo y, cuando proceda, notificar a la autoridad de control en el plazo de 72 horas desde que tenga constancia de la brecha. Esta lógica demuestra que el cumplimiento en protección de datos exige reacción rápida, documentación y criterio técnico-jurídico.

Qué puede investigar la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos puede investigar una amplia variedad de incumplimientos. No solo interviene en grandes filtraciones de datos o en empresas tecnológicas. También actúa ante errores muy cotidianos de pymes, autónomos y negocios ordinarios.

Puede investigar si una empresa trató datos sin base jurídica conforme al artículo 6 RGPD. También puede analizar si se trataron categorías especiales de datos, como datos de salud o afiliación sindical, sin cumplir las exigencias reforzadas del artículo 9 RGPD. Puede revisar si se informó correctamente al interesado conforme a los artículos 12, 13 y 14 RGPD, o si la política de privacidad era genérica, incompleta o no se ajustaba a la realidad del tratamiento.

También puede investigar si la empresa atendió correctamente los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. La propia AEPD informa de estos derechos y de su ejercicio, que forman parte esencial del sistema de protección de datos.

Otro bloque frecuente es la videovigilancia. La AEPD puede revisar si las cámaras captan vía pública de forma indebida, si existe cartel informativo, si se identifica al responsable, si las imágenes se conservan durante el plazo adecuado y si el sistema respeta los principios de proporcionalidad y minimización.

También puede investigar la falta de contratos con encargados del tratamiento. Si una asesoría laboral, una gestoría fiscal, un informático, una empresa de hosting, una plataforma cloud o un proveedor externo accede a datos personales por cuenta de la empresa, debe existir contrato conforme al artículo 28 RGPD.

La seguridad del tratamiento es otro punto esencial. El artículo 32 RGPD exige aplicar medidas técnicas y organizativas apropiadas al riesgo. La AEPD puede valorar si existían controles de acceso, contraseñas adecuadas, copias de seguridad, medidas de confidencialidad, formación interna, protocolos de incidentes o control de proveedores.

Por tanto, una denuncia ante la AEPD puede afectar a muchos aspectos de la empresa. Por eso es tan importante que la defensa la lleven abogados expertos en protección de datos, capaces de analizar el expediente de forma global y no solo desde el hecho concreto denunciado.

Documentación que debe revisar la empresa tras recibir una denuncia

Cuando una empresa recibe una denuncia o comunicación de la Agencia Española de Protección de Datos, debe revisar inmediatamente su documentación. En protección de datos, la defensa no puede apoyarse solo en explicaciones verbales. Es necesario aportar pruebas.

La primera documentación que debe revisarse es la política de privacidad, las cláusulas informativas y los textos legales utilizados en contratos, formularios, correos electrónicos, web, procesos de selección, documentación laboral o videovigilancia. Debe comprobarse si la empresa informó correctamente al interesado y si esa información coincide con el tratamiento real.

También debe revisarse la base jurídica del tratamiento. Si la denuncia se refiere a comunicaciones comerciales, habrá que analizar si existía consentimiento, relación contractual previa o interés legítimo. Si afecta a trabajadores, habrá que valorar si el tratamiento se basaba en obligación legal, ejecución del contrato laboral o interés legítimo. Si afecta a datos de salud, habrá que analizar además el artículo 9 RGPD.

Es fundamental revisar los contratos con encargados del tratamiento. Muchas denuncias o incidentes tienen relación con proveedores externos. Si la empresa trabaja con asesorías, informáticos, hosting, plataformas de email marketing, software de gestión, prevención de riesgos laborales o servicios cloud, debe comprobarse si existen contratos del artículo 28 RGPD.

También debe revisarse el registro de actividades del tratamiento, si la empresa lo tiene o debía tenerlo conforme al artículo 30 RGPD. Este registro puede ser una prueba importante para demostrar que la empresa conocía sus tratamientos, finalidades, categorías de datos, destinatarios, plazos de conservación y medidas de seguridad.

En caso de derechos de los interesados, deben localizarse la solicitud recibida, la fecha de entrada, la respuesta remitida, los justificantes de envío y cualquier comunicación posterior. Muchas reclamaciones ante la AEPD se estiman no porque la empresa no tuviera razón de fondo, sino porque no respondió dentro del plazo legal o no pudo acreditar adecuadamente su respuesta.

Si la denuncia se refiere a cámaras, deben revisarse carteles informativos, ubicación de cámaras, campo de captación, plazo de conservación, acceso a grabaciones y finalidad del sistema. Si se refiere a una brecha de seguridad, deben revisarse informes técnicos, registros internos, comunicaciones con proveedores, valoración de riesgo, notificación a la AEPD y medidas adoptadas.

Los abogados expertos en protección de datos deben ordenar toda esta documentación y decidir qué conviene aportar, cómo explicarlo y qué medidas correctoras deben implementarse de forma inmediata.

Principales causas de denuncia ante la AEPD en empresas y pymes

Las denuncias ante la Agencia Española de Protección de Datos pueden nacer de situaciones muy distintas, pero existen causas especialmente frecuentes en empresas y pymes.

Una de las más habituales es la falta de respuesta a derechos. Un cliente, trabajador, exempleado o usuario solicita acceso, supresión, oposición o rectificación y la empresa no responde, responde tarde o contesta de forma incompleta. El artículo 12 RGPD exige responder sin dilación indebida y, en todo caso, dentro del plazo legal. Una mala gestión de derechos puede convertirse rápidamente en una reclamación.

Otra causa frecuente es la videovigilancia. Muchas empresas instalan cámaras sin cartel informativo, con carteles incompletos, captando zonas no permitidas o conservando imágenes sin control. La videovigilancia afecta a clientes, trabajadores, visitantes y terceros, por lo que suele generar conflictos.

También son frecuentes las denuncias por comunicaciones comerciales. Envíos de emails sin consentimiento válido, falta de mecanismo de baja, inclusión en listas de difusión, uso de bases de datos antiguas o correos enviados sin copia oculta pueden provocar reclamaciones.

El tratamiento de datos laborales también genera conflictos. Datos de salud, bajas médicas, comunicaciones internas, sanciones disciplinarias, control horario, geolocalización, uso de dispositivos digitales o videovigilancia laboral deben gestionarse con especial cuidado.

Otra causa relevante es la publicación de datos o imágenes en webs, redes sociales o plataformas digitales. Una empresa puede publicar fotografías, nombres, datos de contacto o información relativa a clientes o trabajadores sin valorar correctamente la base jurídica.

Las brechas de seguridad también son una fuente creciente de expedientes. Pérdida de dispositivos, accesos no autorizados, ransomware, errores de envío, carpetas compartidas indebidamente o proveedores afectados por incidentes pueden activar obligaciones de documentación, notificación y comunicación a afectados.

En todas estas situaciones, la defensa exige analizar hechos, normativa y prueba. Los abogados expertos en protección de datos pueden identificar si la denuncia está fundada, si existen argumentos de defensa, si procede subsanar y cómo debe responder la empresa.

Normativa aplicable: RGPD, LOPDGDD y procedimiento sancionador

La defensa ante una denuncia de la Agencia Española de Protección de Datos debe apoyarse en la normativa aplicable. El marco principal está formado por el Reglamento UE 2016/679, conocido como RGPD, y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, conocida como LOPDGDD. La LOPDGDD desarrolla en España el derecho fundamental a la protección de datos y completa el régimen del RGPD en aspectos como derechos digitales, tratamientos específicos, autoridades de control, régimen sancionador y prescripción.

El artículo 5 RGPD recoge los principios del tratamiento: licitud, lealtad, transparencia, limitación de finalidad, minimización, exactitud, conservación limitada, integridad, confidencialidad y responsabilidad proactiva. El artículo 6 regula las bases jurídicas del tratamiento. El artículo 9 regula categorías especiales de datos. Los artículos 12 a 14 regulan transparencia e información. Los artículos 15 a 22 regulan derechos. El artículo 24 regula la responsabilidad del responsable. El artículo 28 regula encargados del tratamiento. El artículo 30 regula el registro de actividades. El artículo 32 regula seguridad. Los artículos 33 y 34 regulan brechas de seguridad. El artículo 35 regula evaluaciones de impacto. El artículo 83 regula multas administrativas.

La LOPDGDD completa el régimen interno. Sus artículos 63 y siguientes regulan procedimientos tramitados por la AEPD. Sus artículos 70 y siguientes identifican sujetos responsables, infracciones, criterios de graduación y prescripción. Los artículos 72, 73 y 74 clasifican infracciones en muy graves, graves y leves. El artículo 76 recoge criterios de graduación. El artículo 78 regula prescripción de sanciones.

Además, el artículo 58 RGPD reconoce a las autoridades de control poderes correctivos. Estos poderes incluyen advertencias, apercibimientos, órdenes de atender derechos, órdenes de rectificación o supresión, limitaciones del tratamiento, suspensión de flujos de datos y multas administrativas.

Por eso, una buena defensa no debe limitarse a negar la denuncia. Debe encajar jurídicamente los hechos, discutir la base de la infracción, acreditar cumplimiento o subsanación, invocar proporcionalidad y aportar documentación. Esta es una labor propia de abogados expertos en protección de datos.

Resoluciones de la AEPD que demuestran la importancia de una buena defensa

Las resoluciones de la Agencia Española de Protección de Datos demuestran que una buena defensa puede ser decisiva. Existen supuestos en los que la AEPD archiva actuaciones, modula la respuesta o valora las medidas correctoras adoptadas por la empresa.

La Resolución E/08897/2019, relativa al envío de un correo electrónico sin copia oculta, es especialmente útil. En ese caso, una empresa envió un correo a varios destinatarios dejando visibles sus direcciones. La AEPD apreció que podía existir afectación al deber de confidencialidad, pero archivó las actuaciones al valorar que se trataba de un error humano puntual, concreto y no reiterado. Este tipo de resolución demuestra que no todo error debe terminar automáticamente en sanción si se acredita falta de gravedad, ausencia de reiteración y diligencia posterior.

La Resolución AI/00366/2024 es también relevante porque la AEPD acordó el archivo tras valorar que se habían adoptado medidas correctoras suficientes. Este enfoque se conecta con la STJUE de 26 de septiembre de 2024, asunto C-768/21, en la que el Tribunal de Justicia de la Unión Europea señaló que la autoridad de control no está obligada a ejercer un poder correctivo, en particular imponer una multa, en todos los casos, si esa actuación no resulta adecuada, necesaria o proporcionada para subsanar la deficiencia y garantizar la aplicación del RGPD.

Las resoluciones sobre derechos, como PD/00355/2025, muestran en cambio que responder tarde puede ser suficiente para que se estime una reclamación, aunque la empresa atienda finalmente la solicitud. Esto demuestra la importancia de los plazos y de conservar prueba.

Las resoluciones sobre videovigilancia, como PS/00061/2023 y PA/00024/2024, enseñan que pequeños negocios también pueden ser objeto de actuaciones cuando instalan cámaras sin información suficiente o con captación inadecuada.

Estas resoluciones permiten construir estrategias de defensa. No se trata solo de citar normas, sino de explicar por qué el caso concreto no debe sancionarse, por qué procede el archivo, por qué la infracción no existe, por qué la empresa actuó diligentemente o por qué una medida correctora resulta suficiente.

Cómo trabajan los abogados expertos en protección de datos de Català Reinón Abogados

En Català Reinón Abogados, la defensa ante la Agencia Española de Protección de Datos se trabaja desde una perspectiva jurídica, estratégica y preventiva. Una denuncia de la AEPD no debe contestarse con prisas ni con respuestas estándar. Cada expediente exige estudiar los hechos, la normativa aplicable, la documentación disponible y los criterios de la Agencia.

El primer paso es analizar la notificación recibida. Hay que identificar el origen de la reclamación, la fase del procedimiento, los hechos denunciados, los plazos concedidos y la documentación que solicita la AEPD.

El segundo paso es reconstruir lo sucedido. Para ello, nuestros abogados expertos en protección de datos revisan correos, contratos, cláusulas, políticas, registros, capturas, solicitudes, respuestas, informes técnicos, documentación de proveedores y cualquier prueba útil.

El tercer paso es valorar la posición jurídica de la empresa. Puede que la denuncia carezca de fundamento. Puede que exista un error subsanable. Puede que la empresa tenga razón de fondo pero haya fallado en la documentación. Puede que proceda reconocer una incidencia puntual y centrar la defensa en la proporcionalidad, la ausencia de reiteración y las medidas correctoras.

El cuarto paso es preparar una respuesta sólida. Las alegaciones deben ser ordenadas, claras y apoyadas en prueba. Deben citar normativa aplicable, explicar los hechos y aportar documentos. Una defensa eficaz no debe ser agresiva sin fundamento ni excesivamente pasiva. Debe ser técnica, proporcionada y estratégica.

El quinto paso es corregir lo que deba corregirse. Incluso cuando la empresa tenga argumentos de defensa, puede ser recomendable actualizar cláusulas, mejorar protocolos, revisar proveedores, modificar carteles de videovigilancia, reforzar medidas de seguridad o implantar un procedimiento de derechos.

Català Reinón Abogados ofrece asesoramiento a empresas, pymes, autónomos y profesionales que necesitan abogados expertos en protección de datos para defenderse ante la AEPD y, al mismo tiempo, ordenar su cumplimiento RGPD y LOPDGDD.

Conclusión: una denuncia ante la AEPD exige estrategia jurídica, no improvisación

Recibir una denuncia de la Agencia Española de Protección de Datos no significa necesariamente que la empresa vaya a ser sancionada. Pero sí significa que debe actuar con rapidez, rigor y estrategia.

La empresa debe revisar qué ha ocurrido, qué documentación tiene, qué base jurídica aplicó, si informó correctamente, si atendió derechos, si reguló a sus proveedores, si protegió los datos y si adoptó medidas correctoras.

Los procedimientos ante la AEPD pueden terminar en archivo, apercibimiento, medida correctiva o sanción económica. La diferencia muchas veces está en la prueba, la diligencia y la calidad de la defensa.

Por eso, si su empresa ha recibido una denuncia, reclamación, requerimiento o comunicación de la Agencia Española de Protección de Datos, lo más prudente es acudir cuanto antes a abogados expertos en protección de datos. Una respuesta bien preparada puede evitar errores, reducir riesgos y proteger a la empresa.

En Català Reinón Abogados defendemos a empresas ante la AEPD y revisamos su cumplimiento RGPD para que puedan actuar con seguridad jurídica. La protección de datos no debe improvisarse cuando llega el problema. Debe convertirse en una estrategia de defensa, prevención y confianza empresarial.

Publicado: Abril 2026
Especialista en Derecho Laboral
Abogado/a Colegiado/a