La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha resuelto un procedimiento sancionador contra una empresa financiera, imponiéndole una sanción de 225.000 euros (reducida finalmente a 180.000 euros por pago voluntario), por incumplir una resolución firme dictada en el marco del ejercicio del derecho de acceso regulado en el artículo 15 del Reglamento General de Protección de Datos (en delante, “RGPD”).
El procedimiento sancionador se inició tras constatar que la entidad no había cumplido el requerimiento emitido por la AEPD para dar respuesta efectiva a una solicitud de acceso presentada por un interesado.
En particular, la AEPD destaca los siguientes puntos:
- Incumplimiento de resolución firme y ejecutiva: La empresa no acreditó haber atendido ni denegado motivadamente el derecho de acceso del reclamante, a pesar de que la resolución previa era firme y le instaba a hacerlo en un plazo determinado. Este incumplimiento vulnera el artículo 58.2.c) del RGPD.
- Infracción calificada como muy grave: La falta de cumplimiento de resoluciones dictadas por la autoridad de control está tipificada como infracción muy grave conforme al artículo 72.1.m) de la LOPDygdd, y puede sancionarse con multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual.
- Relevancia de la culpabilidad: Aunque la empresa alegó que la falta de cumplimiento derivó de una confusión entre dos procedimientos similares, la AEPD descartó esa alegación, recordando que el cumplimiento de resoluciones firmes es exigible con independencia de eventuales errores internos.
- Principio de responsabilidad proactiva: La AEPD recuerda que el responsable del tratamiento debe garantizar, y poder demostrar, el cumplimiento efectivo del RGPD durante todo el ciclo de vida del tratamiento, conforme al principio de responsabilidad proactiva (art. 5.2 RGPD).
- Graduación de la sanción: Para fijar el importe, la AEPD tuvo en cuenta factores como la duración prolongada del incumplimiento (más de un año desde la firmeza de la resolución), el hecho de que se trataba de un único afectado, y la ausencia de respuesta pese a reiterados requerimientos. No obstante, ajustó el importe en atención a la facturación y resultado económico del ejercicio 2023 de la empresa.
- Terminación del procedimiento por pago voluntario: La empresa abonó el importe reducido de 180.000 euros conforme al artículo 85.2 de la Ley 39/2015, lo que dio lugar a la terminación anticipada del procedimiento sancionador.
Esta resolución refuerza el deber de las organizaciones de cumplir escrupulosamente con los requerimientos de la autoridad de control, especialmente en relación con los derechos de los interesados, subrayando la relevancia del principio de rendición de cuentas como pilar del marco normativo europeo de protección de datos.
