6.000€ de multa por no dar información a la AEPD

La multa por no dar información a la AEPD durante una investigación puede ascender hasta el 4% del volumen del negocio de una empresa

Cuando pensamos en las multas de protección de datos en España en 2025 nos imaginamos, evidentemente, sanciones millonarias a grandes multinacionales por brechas de seguridad o protocolos de tratamiento de datos personales defectuosos. Pero la realidad es más prosaica y ninguna empresa está a salvo de las sanciones de la Agencia Española de Protección de Datos (AEPD).

De hecho, hasta es posible recibir una multa por no dar información a la AEPD en el transcurso de una investigación de la agencia.

Esto es lo que le sucedió hace unos días a Tecnocrática, una pyme dedica a proveer servicios digitales a otros negocios y que comercializa herramientas como un panel de control de servicios de alojamiento y VPNs.

La AEPD le impuso una multa de 6.000€ por no haber respondido en tiempo y forma a un requerimiento de información de la agencia, que había abierto una investigación por una denuncia contra la empresa por vulnerar la normativa de protección de datos.

A continuación, vamos a desgranar las claves de esta multa por no dar información a la AEPD para poner en valor la importancia de que las empresas se tomen muy en serio los requerimientos de este organismo.

¿Por qué no dar información a la AEPD infringe el RGPD?

El artículo 58.1 del Reglamento General de Protección de Datos (RGPD) faculta a las autoridades de control de la norma en cada estado de la UE a que hagan uso de una serie de poderes de investigación. En el caso de España, esta autoridad es la AEPD. ¿De qué poderes hablamos?

1. Ordenar al responsable y al encargo del tratamiento de datos de una empresa a que facilite «cualquier información que requiera para el desempeño de sus funciones».
2. Realizar auditorías de datos.
3. Revistar las certificaciones de las empresas.
4. Notificar las infracciones en materia de protección de datos.
5. Obtener del responsable o del encargado del tratamiento los datos personales y la información que necesite para lleva a cabo una investigación.
6. Acceder a equipos y mecanismos de tratamiento de datos.

Además, el artículo 83 del RGPD establece que incumplir la obligación de dar acceso a la información a la AEPD regulada en el artículo 58.1 es objeto de sanción.

¿A cuánto puede ascender una multa por no dar información a la AEPD?

Dicho artículo 83 dicta que la multa por no dar información a la AEPD puede ascender hasta los 20 millones de euros o al 4% del volumen de negocio anual a nivel mundial de la empresa sancionada.

Como resulta evidente las sanciones máximas se pueden imponer en aquellos casos en los que el incumplimiento de suministrar información se considere extremadamente grave y las empresas incumplidoras se traten de grandes multinacionales.

En el caso de Tecnocrática la multa por no dar información a la AEPD fue de 6.000€. Una cifra que para una pequeña pyme puede suponer un golpe en sus finanzas

Además, debemos tener en cuenta el daño reputacional que le causa a una empresa recibir una sanción del organismo encargado de velar la protección de datos en nuestro país.

¿Qué pueden hacer las empresas para evitar esta clase de sanciones?

Habida cuenta de las consecuencias económicas y reputacionales que venimos de señalar, es fundamental que las empresas tomen medidas para facilitar a tiempo toda la información solicitada por la AEPD durante un proceso de investigación. ¿Qué medidas pueden resultar esenciales?

1. Disponer de un software de gestión que facilite el almacenamiento de toda la información y contribuya a proteger los datos privados de clientes, trabajadores y proveedores.
2. Tener políticas de protección de datos claras y emplear el programa de gestión para recabar la aceptación de las mismas por parte de clientes y empleados.
3. Implementar un sistema de permisos de seguridad para determinar qué usuarios pueden acceder a datos concretos en función de su rol dentro de la empresa.
4. Asegurarse de que el programa de gestión permite llevar a cabo auditorías de logs para saber con precisión qué usuario interactuó con la información en caso de que se haya producido la exfiltración de datos para reportar a la AEPD.
5. Contar con protocolos internos de gestión de la protección de datos para evitar incumplimientos y gestionar de manera eficaz cualquier incidencia. De tal forma que se pueda evitar una multa por no dar información a la AEPD reportando al organismo de manera proactiva.
6. Llevar a cabo auditorías de seguridad periódicas para prevenir ciberincidentes que se salden con la exfiltración de datos personales y que permitan a la empresa informar a la AEPD sobre las medidas de seguridad implementadas para garantizar la integridad de los datos personales.
7. Disponer de un asesoramiento integral en materia de protección de datos para responder a los requerimientos de la AEPD en tiempo y forma, defender los intereses de la empresa y evitar una multa por no dar información a la AEPD o vulnerar la protección de datos.

Las sanciones por vulnerar la protección de datos van en aumento y la IA puede impactar en su crecimiento

Basta con echar un ojo a los procedimientos sancionadores de la AEPD para comprobar que las sanciones por menoscabar la protección de datos van en aumento. La multa por no dar información a la AEPD impuesta a Tecnocrática no es más que una nueva muestra de ello.

¿Qué va a pasar en el futuro próximo? La irrupción de la Inteligencia Artificial no hace presagiar que las sanciones vayan a disminuir, sino más bien todo lo contrario.

De hecho, el nuevo presidente de la AEPD, Lorenzo Cotino, ha señalado que «la bola de nieve que supone la protección de datos en el entorno tecnológico no para de crecer». Además, el nuevo responsable de este organismo ha defendido que entre las prioridades de la AEPD se encuentran:

• El control de los tratamientos de datos con IA.
• La realización de actividades de prevención y concienciación sobre los riesgos asociados a la IA en lo que respecta a la protección de datos.
• La creación de manuales prácticos para que las pymes y las startups puedan cumplir con el RGPD en materia de IA.

En definitiva, a la AEPD llegan cada vez más reclamaciones de ciudadanos que alertan sobre infracciones de la protección de datos. Por eso, una empresa investigada por la agencia debe facilitar el acceso a todos los datos solicitados por la agencia para evitar recibir una multa por no dar información a la AEPD.

En este sentido, las pymes pueden trabajar con software de gestión seguros, llevar a cabo auditorías de seguridad y contar con asesoramiento legal para defender sus intereses en el transcurso de una investigación y evitar recibir una multa por no dar información a la AEPD.