T’has preguntat alguna vegada si, des que comencés a ser obligatori el compliment del Reglament Europeu de Protecció de Dades (RGPD), s’ha imposat alguna sanció important, fins i tot milionària? És més, vols saber quins tipus d’infraccions han sigut les més sancionades?
La nostra companya Georgina Andrés, advocada, DPD certificada i responsable de l’Àrea Legal de PymeLegal va realitzar una sessió pràctica al Col·legi d’Advocats de Barcelona el passat 18 d’octubre, on analitzava les sancions que s’havien imposat des del 25 de maig de 2018 fins ara. Aquesta conferència ha tingut molt bona acollida en el sector, la qual us convidem, si voleu veure l’exposició completa, a què pugueu accedir a ella a través d’aquest enllaç: TERMÒMETRE DE SANCIONS EN MATÈRIA DE PROTECCIÓ DE DADES.
Des d’un punt de vista pràctic es van repassar les sancions més quantioses que hi ha hagut fins ara a tota Europa i a Espanya, les infraccions comeses més representatives i els sectors empresarials més infractors. També va fer unes recomanacions molt útils a tenir en compte per a tots aquells que encara dubten en l’aplicació diària de l’RGPD o que, directament, incompleixen aquesta normativa.
En les següents línies anem a fer-vos un breu resum de tot el comentat a la sessió, amb els aspectes que, a la nostra manera de veure, són interessants per a tenir en compte:
Primer de tot, el règim sancionador:
Les infraccions es poden classificar en lleus, greus o molt greus, sent la quantia de les més greus del 4 % del volum del negoci de l’any anterior o arribar fins a 20 milions d’euros. Existeixen, tanmateix, mesures addicionals a les multes, com condemnes a pagar una indemnització als afectats, o substitutives de les mateixes, com advertències o amonestacions, enteses com a comunicacions realitzades per part de l’AEPD de les conseqüències que comporta el no compliment de la normativa a les empreses infractores, amb l’ordre de complir amb alguna obligació.
En segon lloc, els subjectes responsables als quals es pot sancionar.
Segons l’art. 77 LOPDGDD són, en el sector privat:
- Responsables del tractament.
- Encarregats del tractament.
- Representants dels RT/ET no establerts a la UE.
- Entitats de certificació.
- Entitats acreditades de supervisió de conductes.
Queden expressament exclosos els Delegats de Protecció de Dades.
En el sector públic són responsables els òrgans jurisdiccionals, les corporacions de Dret Públic, les fundacions del sector públic, les universitats públiques, entre altres moltes (art. 77 LOPDGDD). En aquests casos la sanció no és econòmica, sinó que són sancionades mitjançant l’advertència i indicació de les mesures que han de prendre, així com amb l’obligació de comunicar la sanció a l’òrgan del que depenguin jeràrquicament. És possible que puguin iniciar-se, a més, mesures disciplinàries.
En tercer lloc, i entrant ja en matèria de sancions:
Quant a les sancions més elevades d’Europa, les dues més elevades mai imposades des de l’entrada en vigor del Reglament han tingut lloc aquest any, per les Autoritats de Control de Luxemburg i Irlanda. L’AC de Luxemburg va sancionar a Amazon amb una multa de 746.206.000 € per utilitzar informació personal dels seus clients amb fins comercials sense el seu consentiment explícit. I l’AC d’Irlanda, per la seva part, va multar a WhatsApp amb una sanció de 225.876.400 €, per no informar correctament als usuaris i no usuaris sobre el tractament de les seves dades. En aquest cas, l’autoritat irlandesa va requerir, a més, que la companyia nord-americana amb seu a Irlanda adeqüés els seus processos a la normativa RGPD i adoptés les mesures correctives necessàries per al seu apropiat compliment.
A Espanya, per la seva part, la sanció més elevada imposada per l’AEPD ha sigut a Vodafone España, S.A.U. (PS/00059/2020) amb una multa de 8.510.000 €, per l’enviament d’informació comercial als usuaris sense el seu consentiment previ, i de manera recurrent fins i tot després d’exercir el dret d’oposició i sent en alguns casos usuaris inscrits a la llista Robinson.
També es van analitzar els motius objecte de sanció, sent els principals:
- L’incompliment dels principis generals de tractament de dades.
- L’incompliment insuficient de les obligacions d’informació.
- Determinar les bases legals de manera insuficient per al tractament de dades.
- L’adopció de mesures tècniques i organitzatives escasses per a garantir la seguretat de la informació.
- La manca de compliment dels drets dels interessats.
I, quant a la imposició de multes, cal destacar que l’Autoritat de Control espanyola és la més prolífica, doncs en el que va d’any ha imposat, de moment, més de 300 sancions, superant de lluny a les 94 multes de l’autoritat italiana (que és la que està actualment en segona posició en el rànquing d’autoritats més sancionadores) o les 62 de Romania (en tercera posició).
I, per últim, algunes recomanacions proposades arran de l’anàlisi de les sancions:
Pel que respecta a l’enviament de comunicacions comercials, regulades a l’LSSI, ha de tenir-se en compte que tan sols l’enviament d’un únic missatge a través de mail, RRSS, WhatsApp (entre altres mitjans electrònics) ja suposa la vulneració dels principis de la normativa si no s’ha obtingut el consentiment de l’usuari o existeixi una relació comercial prèvia (i sempre amb base a informació referida a un producte/servei similar al contractat). En aquests casos, la infracció és considerada lleu quan ens trobem amb missatges aïllats i pot suposar una multa de fins a 30.000 €; però quan l’enviament és massiu, insistent o sistemàtic la infracció es considera greu, i aquí pot arribar fins als 150.000 €.
Pel que fa a l’ús de les xarxes socials, aquestes s’inclouen en el concepte de “mitjà de comunicació electrònica equivalent” de l’LSSI, per això l’enviament de missatges per aquestes plataformes ha de respectar la normativa, doncs s’aplica el règim indicat al paràgraf anterior. La causa de denúncies més habitual és la falta de consentiment per al tractament de dades.
- Sancions en àmbit laboral
S’ha de buscar un equilibri entre l’interès legítim de l’empresari i l’expectativa del dret de privacitat dels treballadors, prestant també atenció als processos de selecció i comunicació de CV entre entitats. L’empresari ha d’informar als treballadors dels controls dels mitjans informàtics posats a disposició dels treballadors i sol·licitar el consentiment per a tenir el seu mail/telèfon/WhatsApp propis, donat que, no són necessaris per al manteniment o compliment del seu contracte de treball.
Els empleats, per la seva part, hauran de garantir la confidencialitat i el deure de secret, tot i que hagin finalitzat la relació.
- Mesures de seguretat
No existeix un llistat predeterminat de mesures de seguretat, però en les resolucions de les autoritats de control, aquestes indiquen diverses mesures per a una major protecció i compliment de l’RGPD. Un exemple molt clar de mesura de seguretat, així com de responsabilitat proactiva, és el fet de tenir un DPD quan no és obligatori o estar certificat des de la perspectiva de la seguretat de la informació, doncs pot ajudar a graduar, reduir o atenuar les sancions.
És imprescindible avaluar, determinar i categoritzar les galetes (cookies) de la nostra pàgina web, per a poder informar correctament de les finalitats, termini de vigència, responsable de les mateixes i sistema de rebuig. També s’ha d’implantar un sistema granular de petició de consentiment acord a les finalitats i amb l’excepció de les galetes (cookies) tècniques, evitant així la descàrrega prèvia al consentiment.
En conclusió, és molt important tenir en compte que les sancions estan afectant tant a grans corporacions com a pymes, i que la majoria tenen el seu origen en una denúncia per part del propi interessat (un client descontent, un usuari del web, un ex treballador, entre altres); tanmateix, les autoritats de control també tenen la potestat d’actuar d’ofici.
Cal dir també, que en les darreres actuacions que hem gestionat, l’Agència ha tingut molt en compte la pro activitat, la col·laboració amb aquest organisme i la implicació per part de l’empresa en mitigar els riscos i danys que hagi pogut originar la denúncia. Per tot això, és de vital importància que tots els nostres empleats coneguin la normativa i els riscos que implica en el seu dia a dia el tractament de dades i informació personal.
Si esteu interessats en una formació a mida per a la vostra empresa o en un curs per als vostres empleats, no dubteu en posar-vos en contacte amb nosaltres o registrar-vos directament a la nostra acadèmia; de manera senzilla, fàcil i intuïtiva podreu aprendre (o els vostres treballadors) tot el que heu de saber en matèria de protecció de dades. No espereu més i aprofiteu les nostres condicions especials.
I recordeu, per a qualsevol dubte o consulta que us hagi sorgit al respecte d’aquest tema, estem a la vostra disposició.
L’equip de PymeLegal.