La Agencia Española de Protección de Datos (AEPD) es la autoridad pública independiente encargada de velar por el cumplimiento de la normativa de protección de datos personales en España. Su papel es especialmente relevante cuando una empresa, una administración o incluso un particular trata datos sin base legal, no respeta los derechos de las personas o no aplica medidas adecuadas de seguridad. Saber qué hace exactamente la AEPD y en qué situaciones tiene sentido acudir a ella te ayuda a resolver problemas reales: desde el uso indebido de una foto en internet hasta llamadas comerciales insistentes o filtraciones de datos.
Qué es la AEPD y qué normativa aplica
La AEPD supervisa la aplicación del Reglamento General de Protección de Datos (RGPD) y de la normativa española complementaria en materia de protección de datos. En la práctica, la Agencia actúa como autoridad de control: recibe reclamaciones, investiga hechos, dicta resoluciones, sanciona cuando corresponde y emite criterios y guías que orientan a organizaciones y ciudadanía.
Es importante distinguir que la AEPD no es un servicio de atención al cliente de una empresa ni un juzgado, aunque sus resoluciones pueden tener efectos jurídicos relevantes y, en determinados casos, ser revisadas por los tribunales. Su finalidad principal es garantizar que el tratamiento de datos personales se haga con garantías.
Funciones principales de la AEPD
Supervisión e inspección del cumplimiento
Una de las funciones más conocidas es la investigación de posibles infracciones. La AEPD puede iniciar actuaciones a raíz de una reclamación de una persona afectada, por denuncia de terceros, por información pública (por ejemplo, un incidente notorio) o de oficio. En una inspección puede requerir documentación, evidencias técnicas, políticas internas, contratos con proveedores y cualquier información necesaria para comprobar cómo se tratan los datos.
Esta capacidad de control se aplica a organizaciones privadas (empresas, autónomos, asociaciones) y también a organismos públicos, aunque el régimen de consecuencias puede variar según el sujeto y el tipo de infracción.
Tramitación de reclamaciones y tutela de derechos
La AEPD tutela los derechos de las personas sobre sus datos. Cuando una entidad no responde o responde de forma insuficiente a una solicitud de ejercicio de derechos, la persona puede acudir a la Agencia para que intervenga. En estos procedimientos, la AEPD analiza si el responsable del tratamiento actuó correctamente, si justificó su respuesta y si procedía atender la petición.
Esto resulta útil en situaciones habituales: no te dan acceso a tus datos, se niegan a borrar información sin motivo, o siguen enviándote comunicaciones pese a tu oposición.
Potestad sancionadora y medidas correctivas
Si la AEPD constata incumplimientos, puede imponer medidas correctivas y sanciones. Las medidas pueden incluir ordenar que se atienda un derecho, que se cese un tratamiento, que se rectifiquen prácticas, que se adopten medidas de seguridad o que se informe a las personas afectadas. En el ámbito privado, también puede imponer multas, que varían en función de la gravedad, la naturaleza de los datos, la duración de la conducta, la intencionalidad o negligencia, y si la organización coopera.
Además de sancionar, la AEPD busca que el tratamiento se ajuste a la normativa, por lo que en muchos casos el objetivo práctico es la corrección de la conducta y la reducción del riesgo para las personas.
Orientación, guías y criterios para empresas y ciudadanía
Otra función esencial es la emisión de recomendaciones, guías, herramientas y criterios interpretativos. Estos materiales sirven para que empresas y organismos públicos entiendan cómo aplicar la normativa en contextos concretos: videovigilancia, recursos humanos, comercio electrónico, gestión de brechas de seguridad, uso de cookies, canal de denuncias, o tratamiento de datos de menores.
Para trabajadores y consumidores, estos criterios ayudan a saber qué se considera un tratamiento legítimo y cuáles son las buenas prácticas esperables.
Cooperación con otras autoridades y actuación transfronteriza
En un entorno digital, muchos servicios operan en varios países. La AEPD coopera con otras autoridades de protección de datos de la Unión Europea para coordinar investigaciones y decisiones cuando un tratamiento afecta a personas en distintos Estados. En algunos casos, el asunto se gestiona con mecanismos de cooperación y coherencia, especialmente cuando hay un establecimiento principal en otro país.
Promoción de la cultura de privacidad y formación
La AEPD también desarrolla campañas de concienciación, recursos educativos y acciones de divulgación. Esta función preventiva es clave para reducir riesgos antes de que ocurran incidentes, especialmente en ámbitos sensibles como el uso de tecnología en centros educativos, redes sociales o el tratamiento de datos de salud.
Cuándo acudir a la AEPD: casos habituales
Cuando no te dejan ejercer tus derechos (y ya lo intentaste)
Si has solicitado a una empresa u organismo el acceso, rectificación, supresión, oposición, limitación o portabilidad y no te contestan en plazo o te deniegan sin una justificación válida, es un supuesto típico para acudir a la AEPD. En la práctica, suele ser recomendable conservar prueba de la solicitud (correo, formulario, burofax o similar) y de la respuesta recibida, si la hubo.
Spam y comunicaciones comerciales no deseadas
Recibir emails promocionales sin consentimiento, SMS reiterados, llamadas comerciales insistentes o publicidad dirigida sin base legítima son motivos frecuentes de reclamación. También lo es que una empresa continúe contactándote después de que hayas pedido que dejen de hacerlo, o que no ofrezca mecanismos claros para oponerte.
En estos casos ayuda reunir evidencias: capturas de pantalla de los mensajes, fechas, números de teléfono, encabezados de email cuando sea posible y cualquier rastro de la solicitud de baja u oposición.
Publicación no autorizada de fotos, vídeos o datos personales
Si alguien difunde imágenes tuyas, datos identificativos o información personal en redes sociales, webs o grupos de mensajería sin legitimación, puedes valorar acudir a la AEPD, especialmente cuando el responsable del sitio o quien publica se niega a retirarlo. Aquí conviene diferenciar entre conflictos puramente privados y situaciones con impacto real sobre la privacidad: suplantaciones, acoso, exposición de datos sensibles o difusión masiva.
Videovigilancia mal aplicada
La videovigilancia es legal en muchos contextos, pero debe cumplir requisitos. Puedes acudir a la AEPD si, por ejemplo, se instalan cámaras apuntando a la vía pública sin justificación, se graba audio sin base legal, no hay información visible sobre el tratamiento, o se usan las grabaciones para fines incompatibles con la seguridad (por ejemplo, control excesivo sin cumplir garantías).
Filtraciones de datos y brechas de seguridad
Si tus datos aparecen filtrados, se produce un acceso no autorizado a tu cuenta por fallos atribuibles al servicio, o una empresa reconoce una brecha que te afecta y no actúa de forma diligente, la AEPD puede investigar si se aplicaron medidas de seguridad adecuadas y si se cumplieron las obligaciones de gestión de incidentes.
En paralelo, puede ser necesario cambiar contraseñas, activar doble factor, vigilar movimientos sospechosos y recopilar pruebas de la incidencia.
Uso indebido de datos en el trabajo
En el ámbito laboral, la AEPD puede ser relevante ante controles desproporcionados, solicitudes de datos excesivos, difusión de información de empleados sin base legal, o sistemas de monitorización sin transparencia. El equilibrio entre poder de dirección empresarial y derechos de los trabajadores es delicado: la clave suele estar en la proporcionalidad, la información previa y la finalidad.
Datos de menores y entornos educativos
El tratamiento de datos de menores requiere especial cautela. Si se recopila información sin consentimiento cuando es necesario, se publican imágenes de menores sin autorización, o se usan plataformas educativas sin garantías suficientes, puede ser pertinente acudir a la AEPD. También en casos de exposición de datos en listas, tablones o comunicaciones masivas mal gestionadas.
Cesión o venta de datos a terceros sin transparencia
Otro supuesto común es descubrir que tus datos se han compartido con otras empresas y empiezas a recibir comunicaciones de entidades con las que no has tenido relación. Si no hay información clara sobre esa cesión o si no existe una base legal válida, la AEPD puede intervenir.
Antes de acudir: pasos recomendables para aumentar la eficacia
Contacta primero con el responsable del tratamiento
En muchos escenarios, el primer paso es dirigirte a la empresa u organismo que trata tus datos. Expón el problema de forma clara: qué datos, qué hecho, cuándo ocurrió, y qué solicitas (por ejemplo, supresión, rectificación, cese de comunicaciones). Este paso no solo puede resolverlo sin más, también deja constancia de que intentaste una vía directa.
Reúne y ordena pruebas
La AEPD analiza hechos, por lo que la evidencia es crucial. Guarda capturas, correos, pantallazos con URL visible cuando proceda, registros de llamadas, documentos recibidos, y cualquier interacción con la entidad. Si se trata de una web, anota fecha y hora de acceso. Si es una app, incluye versión y pantalla donde se muestra el tratamiento discutido.
Identifica correctamente a quién reclamar
A veces el problema se atribuye a quien “aparece” (una marca), pero el responsable real puede ser otra entidad: una empresa del grupo, un proveedor que presta el servicio, o un tercero que actúa como encargado. Identificar el responsable ayuda a que el procedimiento sea más directo y evita requerimientos adicionales.
Cómo acudir a la AEPD: vías y qué esperar
Tipos de actuaciones más frecuentes
- Tutela de derechos: cuando buscas que se reconozca y haga efectivo un derecho (acceso, supresión, oposición, etc.).
- Reclamación por posible infracción: cuando denuncias un tratamiento que consideras ilícito (por ejemplo, spam, videovigilancia irregular, publicación de datos).
El enfoque y la documentación pueden variar según el tipo de procedimiento. En tutela de derechos, es clave aportar la solicitud previa y la respuesta. En reclamaciones por infracción, es esencial describir los hechos y aportar pruebas.
Información que conviene preparar
- Datos del reclamante: identificación y un medio de contacto.
- Identificación del responsable: nombre de la entidad, y si es posible, datos de contacto o CIF.
- Relato cronológico: qué ocurrió, cuándo, y cómo te afecta.
- Derecho o norma vulnerada: no es imprescindible ser experto, pero sí explicar por qué crees que es incorrecto.
- Pruebas: documentos y capturas, evitando compartir más datos de los necesarios.
Plazos y resultados posibles
Los tiempos pueden variar según la complejidad y la carga de trabajo. El resultado puede ser muy distinto según el caso: archivo si no hay indicios suficientes, requerimientos al responsable, estimación de una tutela de derechos, o resolución con medidas correctivas y, si procede, sanción. En cualquier caso, el proceso suele implicar que el responsable tenga oportunidad de alegar y aportar su versión.
Qué no hace la AEPD (para evitar expectativas erróneas)
- No es un servicio para reclamar devoluciones o problemas de consumo si no hay un componente claro de datos personales.
- No sustituye a los tribunales para asuntos penales, injurias, amenazas o conflictos donde la vía adecuada sea judicial, aunque pueda haber componente de datos.
- No puede garantizar un resultado concreto: decide en función de hechos probados y normativa aplicable.
- No siempre actúa contra particulares en conflictos puramente privados sin difusión o tratamiento organizado, aunque hay supuestos en los que sí puede intervenir.
Consejos prácticos para empresas y RR. HH. para evitar reclamaciones
Transparencia real: informa de forma clara
Muchas reclamaciones nacen de información confusa. Políticas de privacidad comprensibles, avisos por capas y comunicaciones que expliquen finalidad, base legal, destinatarios, plazos de conservación y derechos reducen conflictos.
Gestiona derechos con un procedimiento interno
Define un circuito: recepción, verificación de identidad, análisis, respuesta en plazo y registro. En entornos de RR. HH., esto es especialmente útil para solicitudes de acceso a expedientes, rectificación de datos, o supresión cuando ya no existe obligación legal de conservar.
Minimiza datos y limita accesos
Recoger “por si acaso” aumenta riesgo. Pide solo lo necesario y aplica controles de acceso por perfiles. Una brecha de seguridad suele ser más grave cuando hay sobreexposición de datos o demasiadas personas con acceso.
Revisa proveedores y encargados de tratamiento
Servicios de nóminas, CRM, plataformas de selección, almacenamiento en la nube o analítica web implican terceros. Asegura contratos adecuados, instrucciones claras, medidas de seguridad, y revisiones periódicas.
Plan de respuesta ante incidentes
Tener un plan reduce daños: detección, contención, análisis, comunicación interna, y evaluación de si hay que notificar a la autoridad y a las personas afectadas. La diligencia y la trazabilidad suelen ser determinantes cuando la AEPD evalúa un caso.
Señales de que merece la pena acudir
- Has pedido solución al responsable y te ignora o responde con evasivas.
- El daño es repetido o significativo: spam persistente, exposición pública, riesgo de fraude.
- Hay datos sensibles o información que puede causar discriminación o perjuicio (salud, menores, situación económica).
- Existe un patrón: la entidad actúa igual con muchas personas o mantiene prácticas sistemáticas.
Cuando la privacidad se ve afectada, acudir a la AEPD suele ser más eficaz si se plantea el caso con orden, pruebas y una petición concreta. Para la ciudadanía, es una vía de protección de derechos. Para organizaciones, es también un recordatorio de que la privacidad no es solo un requisito legal, sino un componente básico de confianza.
