Termómetro de sanciones en materia de protección de datos y la seguridad de la información


¿Te has preguntado alguna vez si, desde que empezara a ser obligatorio el cumplimiento del Reglamento Europeo de Protección de Datos (RGPD), se ha impuesto alguna sanción importante, incluso millonaria? Es más, ¿quieres saber qué tipo de infracciones han sido las más sancionadas?

Nuestra compañera Georgina Andrés, abogada, DPD certificada y responsable del Área Legal de PymeLegal realizó una sesión práctica en el Colegio de Abogados de Barcelona el pasado 18 de octubre, donde analizaba las sanciones que se habían impuesto desde el 25 de mayo de 2018 hasta ahora. Dicha conferencia ha tenido muy buena acogida en el sector, la cual os invitamos, si queréis ver la exposición completa, a que podáis acceder a ella a través de este enlace: TERMÓMETRO DE SANCIONES EN MATERIA DE PROTECCIÓN DE DATOS.

Desde un punto de vista práctico se repasaron las sanciones más cuantiosas que ha habido hasta ahora en toda Europa y en España, las infracciones cometidas más representativas y los sectores empresariales más infractores. También hizo unas recomendaciones muy útiles a tener en cuenta para todos aquellos que aún dudan en la aplicación diaria del RGPD o que, directamente, incumplen esta normativa.

En las siguientes líneas, vamos a haceros un breve resumen de todo lo comentado en la sesión, con los aspectos que, a nuestro modo de ver, son interesantes para tener en cuenta:

Régimen sancionador:

Las infracciones se pueden clasificar en leves, graves o muy graves, siendo la cuantía de las más graves del 4 % del volumen del negocio del año anterior o llegar hasta 20 millones de euros. Existen, sin embargo, medidas adicionales a las multas, como condenas a pagar una indemnización a los afectados, o sustitutivas de las mismas, como advertencias o apercibimientos, entendidos como comunicaciones realizadas por parte de la AEPD de las consecuencias que conlleva el no cumplimiento de la normativa a las empresas infractoras, con la orden de cumplir con alguna obligación.

En segundo lugar, los sujetos responsables a quienes se puede sancionar.

Según el art. 77 LOPDGDD son, en el sector privado:

  • Responsables del tratamiento.
  • Encargados del tratamiento.
  • Representantes de los RT/ET no establecidos en la UE.
  • Entidades de certificación.
  • Entidades acreditadas de supervisión de conductas.

Quedan expresamente excluidos los Delegados de Protección de Datos.

En el sector público son responsables los órganos jurisdiccionales, las corporaciones de Derecho Público, las fundaciones del sector público, las universidades públicas, entre otras muchas (art. 77 LOPDGDD). En estos casos la sanción no es económica, sino que son sancionadas mediante el apercibimiento e indicación de las medidas que deben tomar, así como con la obligación de comunicar la sanción al órgano del que dependan jerárquicamente. Es posible que puedan iniciarse, además, medidas disciplinarias.

En tercer lugar, y entrando ya en materia de sanciones:

En cuanto a las sanciones más elevadas de Europa, las dos más elevadas jamás impuestas desde la entrada en vigor del Reglamento han tenido lugar este año, por las Autoridades de Control de Luxemburgo e Irlanda. La AC de Luxemburgo sancionó a Amazon con una multa de 746.206.000 € por utilizar información personal de sus clientes con fines comerciales sin su consentimiento explícito. Y la AC de Irlanda, por su parte, multó a WhatsApp con una sanción de 225.876.400 €, por no informar correctamente a los usuarios y no usuarios sobre el tratamiento de sus datos. En este caso, la autoridad irlandesa requirió, además, que la compañía estadounidense con sede en Irlanda adecuara sus procesos a la normativa RGPD y adoptase las medidas correctivas necesarias para su apropiado cumplimiento.

En España, por su parte, la sanción más elevada impuesta por la AEPD ha sido a Vodafone España, S.A.U. (PS/00059/2020) con una multa de 8.510.000 €, por el envío de información comercial a los usuarios sin su consentimiento previo, y de forma recurrente aun después de ejercer el derecho de oposición y siendo en algunos casos usuarios inscritos en la lista Robinson.

También se analizaron los motivos objeto de sanción, siendo los principales:

  • El incumplimiento de los principios generales de tratamiento de datos.
  • El cumplimiento insuficiente de las obligaciones de información.
  • Determinar las bases legales de forma insuficiente para el tratamiento de datos.
  • La adopción de medidas técnicas y organizativas escasas para garantizar la seguridad de la información.
  • La falta de cumplimiento de los derechos de los interesados.

Y, en cuanto a la imposición de multas, cabe destacar que la Autoridad de Control española es la más prolífica, pues en lo que va de año ha impuesto, de momento, más de 300 sanciones, superando de lejos a las 94 multas de la autoridad italiana (que es quien está actualmente en segunda posición en el ranking de autoridades más sancionadoras) o las 62 de Rumania (en tercera posición).

Y, por último, algunas recomendaciones propuestas a raíz del análisis de las sanciones:

Por lo que respecta al envío de comunicaciones comerciales, reguladas en la LSSI, debe tenerse en cuenta que tan solo el envío de un único mensaje a través de email, RRSS, WhatsApp (entre otros medios electrónicos) ya supone la vulneración de los principios de la normativa si no se ha obtenido el consentimiento del usuario o exista una relación comercial previa (y siempre con base en información referida a un producto/servicio similar al contratado). En estos casos, la infracción es considerada leve cuando nos encontremos con mensajes aislados y puede suponer una multa de hasta 30.000 €; pero cuando el envío es masivo, insistente o sistemático la infracción se considera grave, y aquí puede llegar hasta los 150.000 €.

En cuanto al uso de las redes sociales, estas se incluyen en el concepto de “medio de comunicación electrónica equivalente” de la LSSI, por ello el envío de mensajes por estas plataformas debe respetar la normativa, pues se aplica el régimen indicado en el párrafo anterior. La causa de denuncias más habitual es la falta de consentimiento para el tratamiento de datos.

  • Sanciones en ámbito laboral

Se debe buscar un equilibrio entre el interés legítimo del empresario y la expectativa del derecho de privacidad de los trabajadores, prestando también atención a los procesos de selección y comunicación de CV entre entidades. El empresario debe informar a los trabajadores de los controles de los medios informáticos puestos a disposición de los trabajadores y solicitar el consentimiento para tener su email/teléfono/WhatsApp propios, dado que, no son necesarios para el mantenimiento o cumplimiento de su contrato de trabajo.

Los empleados, por su parte, deberán garantizar la confidencialidad y el deber de secreto, aun cuando hayan finalizado la relación.

  • Medidas de seguridad

No existe un listado predeterminado de medidas de seguridad, pero en las resoluciones de las autoridades de control, estas indican diversas medidas para una mayor protección y cumplimiento del RGPD. Un ejemplo muy claro de medida de seguridad, así como de responsabilidad proactiva, es el hecho de tener un DPD cuando no es obligatorio o estar certificado desde la perspectiva de la seguridad de la información, pues puede ayudar a graduar, reducir o atenuar las sanciones.

Es imprescindible evaluar, determinar y categorizar las cookies de nuestra página web, para poder informar correctamente de las finalidades, plazo de vigencia, responsable de las mismas y sistema de rechazo. También se debe implantar un sistema granular de petición de consentimiento acorde a las finalidades y con la excepción de las cookies técnicas, evitando así la descarga previa al consentimiento.

En conclusión, es muy importante tener en cuenta que las sanciones están afectando tanto a grandes corporaciones como a pymes, y que la mayoría tienen su origen en una denuncia por parte del propio interesado (un cliente descontento, un usuario de la web, un extrabajador, entre otros); sin embargo, las autoridades de control también tienen la potestad de actuar de oficio.

Cabe decir también, que en las últimas actuaciones que hemos gestionado, la Agencia ha tenido muy en cuenta la proactividad, la colaboración con dicho organismo y la implicación por parte de la empresa en mitigar los riesgos y daños que haya podido originar la denuncia. Por todo ello, es de vital importancia que todos nuestros empleados conozcan la normativa y los riesgos que implica en su día a día el tratamiento de datos e información personal.

Si estáis interesados en una formación a medida para vuestra empresa o en un curso para vuestros empleados, no dudéis en poneros en contacto con nosotros o registraros directamente en nuestra academia; de forma sencilla, fácil e intuitiva podréis aprender (o vuestros trabajadores) todo lo que debéis saber en materia de protección de datos. No esperéis más y aprovechad nuestras condiciones especiales.

Y recordad, para cualquier duda o consulta que os haya surgido al respecto de este tema, estamos a vuestra disposición.

El equipo de PymeLegal.