El papel de la AEPD
La Agencia Española de Protección de Datos (AEPD) es la autoridad independiente encargada de velar por el cumplimiento de la normativa de protección de datos en España. Tiene potestad para:
- Investigar de oficio o por denuncia
- Requerir información a empresas
- Imponer sanciones de hasta 20 millones de euros
En los últimos años, la AEPD ha intensificado sus actuaciones, especialmente en áreas como las cookies, el marketing digital y la videovigilancia.
Infracciones más sancionadas
Analizando las resoluciones públicas de la AEPD, estas son las infracciones que más sanciones generan:
1. Cookies y tecnologías de seguimiento
La normativa de cookies (artículo 22 LSSI y RGPD) exige:
- Informar claramente sobre las cookies utilizadas
- Obtener consentimiento previo para cookies no esenciales
- Permitir rechazar cookies con la misma facilidad que aceptarlas
Errores típicos sancionados:
- Banner de cookies que solo permite "aceptar"
- Cookies instaladas antes del consentimiento
- Política de cookies incompleta o desactualizada
- No ofrecer opción de rechazar
Sanciones habituales: De 2.000 € a 30.000 €, aunque pueden ser muy superiores para grandes empresas.
2. Envío de comunicaciones comerciales sin consentimiento
El spam sigue siendo una de las principales causas de sanción. La normativa exige:
- Consentimiento previo y verificable para enviar emails o SMS comerciales
- Facilitar la baja en cada comunicación
- Respetar la Lista Robinson
Errores típicos sancionados:
- Comprar bases de datos de contactos
- No comprobar la Lista Robinson antes de campañas
- Seguir enviando emails tras solicitar la baja
- Usar datos de clientes para finalidades no consentidas
Sanciones habituales: De 3.000 € a 50.000 €.
3. Videovigilancia irregular
Las cámaras de seguridad son un foco constante de sanciones:
- Deben estar señalizadas con carteles informativos
- No pueden grabar espacios públicos (salvo excepciones)
- Las grabaciones tienen un plazo máximo de conservación (30 días general)
- No pueden usarse para control laboral encubierto
Errores típicos sancionados:
- Cámaras sin cartel informativo
- Cámaras enfocando la calle o propiedades vecinas
- Usar grabaciones para fines no informados
- No tener registro de actividades de tratamiento
Sanciones habituales: De 1.000 € a 20.000 €.
4. Brechas de seguridad no notificadas
El RGPD obliga a notificar las brechas de seguridad que afecten a datos personales:
- A la AEPD, en un plazo de 72 horas desde que se tiene conocimiento
- A los afectados, si hay alto riesgo para sus derechos
Errores típicos sancionados:
- No notificar la brecha
- Notificar fuera de plazo sin justificación
- No documentar internamente el incidente
- No tener medidas de seguridad básicas
Sanciones habituales: De 10.000 € a 100.000 €, dependiendo de la gravedad.
5. Falta de legitimación para el tratamiento
Tratar datos sin base legal es una infracción grave:
- Consentimiento inválido (casillas premarcadas, información insuficiente)
- Usar datos para finalidades distintas a las informadas
- No respetar la solicitud de supresión o oposición
Sanciones habituales: De 10.000 € a 300.000 €.
6. Incumplimiento de derechos de los interesados
Los ciudadanos tienen derecho a acceder, rectificar, suprimir o portar sus datos. No atender estas solicitudes correctamente es sancionable:
- Plazo de respuesta: 1 mes (ampliable a 3 en casos complejos)
- La respuesta debe ser completa y comprensible
- No se puede cobrar por ejercer estos derechos (salvo solicitudes abusivas)
Sanciones habituales: De 5.000 € a 50.000 €.
Clasificación de las infracciones
La LOPDGDD clasifica las infracciones en tres niveles:
Infracciones leves
- Prescripción: 1 año
- Sanción: Hasta 40.000 €
- Ejemplos: No informar adecuadamente, incumplimientos formales
Infracciones graves
- Prescripción: 2 años
- Sanción: De 40.001 € a 300.000 €
- Ejemplos: Cookies sin consentimiento, spam, videovigilancia irregular
Infracciones muy graves
- Prescripción: 3 años
- Sanción: De 300.001 € a 20.000.000 € (o 4% del volumen de negocio)
- Ejemplos: Tratamientos masivos sin legitimación, cesión ilícita de datos
Cómo evitar sanciones: checklist práctico
Documentación básica
- ☐ Registro de actividades de tratamiento actualizado
- ☐ Política de privacidad completa en la web
- ☐ Política de cookies y sistema de gestión de consentimiento
- ☐ Contratos con encargados del tratamiento firmados
Consentimientos
- ☐ Formularios con casillas no premarcadas
- ☐ Información clara sobre finalidades
- ☐ Registro de los consentimientos obtenidos
- ☐ Mecanismo fácil para retirar el consentimiento
Videovigilancia
- ☐ Carteles informativos visibles
- ☐ Cámaras solo en espacios propios
- ☐ Grabaciones eliminadas en 30 días
- ☐ Acceso restringido a las grabaciones
Comunicaciones comerciales
- ☐ Lista Robinson consultada antes de campañas
- ☐ Opción de baja en cada email
- ☐ Base de datos propia (no comprada)
- ☐ Consentimiento específico para marketing
Seguridad
- ☐ Contraseñas robustas y renovadas
- ☐ Copias de seguridad periódicas
- ☐ Protocolo de respuesta ante brechas
- ☐ Formación del personal
Qué hacer si recibes una inspección o sanción
- Mantén la calma: No todas las inspecciones acaban en sanción
- Colabora: Obstruir la investigación agrava la situación
- Documenta: Prepara toda la documentación de cumplimiento
- Presenta alegaciones: Tienes derecho a defenderte antes de la resolución
- Consulta con un experto: Un abogado especializado puede reducir significativamente la sanción
Conclusión práctica
Las sanciones de la AEPD son reales y afectan a empresas de todos los tamaños. La buena noticia es que la mayoría de infracciones son evitables con una gestión adecuada.
Dedica tiempo a revisar tu cumplimiento, actualiza tus documentos legales y forma a tu equipo. Prevenir es mucho más económico que pagar sanciones y gestionar crisis de reputación.
