Hacer las cosas bien en protección de datos: las últimas sanciones y cómo evitarlas
El Reglamento UE 2016/679 General de Protección de Datos (RGPD) contempla sanciones para quienes no cumplan con lo dispuesto en el mismo. Las sanciones consisten, habitualmente, en multas que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual de una compañía en los casos más graves.
El RGPD ya tiene rodaje suficiente para saber «por donde van los tiros». En particular, en lo que se refiere a nuestra autoridad de control, la Agencia Española de Protección de Datos cuyas sanciones son todavía «razonables» , está ofreciendo pistas para que las empresas y entidades que gestionan datos personales puedan adoptar medidas y subirse al carro de hacer las cosas bien.
La Agencia Española de Protección de Datos es además competente en la parte de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) que afecta a cookies y a comunicaciones comerciales por medios electrónicos. Las denuncias sobre emails, SMS y llamadas comerciales no deseadas siguen siendo muy frecuentes.
Pero también hay conductas recogidas en el RGPD y en la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD) cuyo incumplimiento puede dar lugar a sanción.
Para muestra un botón:
Las resoluciones de expedientes sancionadores más recientes son variopintas pero a continuación enumeramos algunas que pueden servir de guía y ejemplo de lo fácil que es incumplir el RGPD pero también, por qué no, lo fácil que puede ser hacerlo bien:
- Sanción por no designar Delegado de Protección de Datos cuando sea obligatorio. El RGPD da las pistas de quién debe designar DPO. La LOPDGDD establece la lista de entidades que sí o sí deben designarlo. Hay situaciones «grises». Tener un DPO siempre es positivo, puede ser externo, habrá alguien a quien acudir en cuestiones de privacidad. Además si pasa algo, será el interlocutor con la Agencia Española de Protección de Datos y en caso de un procedimiento sancionador se tendrá en cuenta como circunstancia «atenuante»… Y de paso nos da de comer a los que nos dedicamos a esto. Poner un DPO en la vida de la empresa nunca será una mala idea…
- Sanción por reutilizar papel y que ello suponga una pérdida de confidencialidad. Un caso curioso, sobre todo porque se trataba de una abogada. Al «papel sucio» lo carga el diablo. Nos sabe tan mal tirar el papel que lo reutilizamos sin pensar en que puede contener información confidencial o datos personales. Reutilizar listados SIEMPRE es una mala idea. A la destructora. Sin compasión. Y el que quiera ser ecológico o «enviroment friendly» que se lo piense dos veces antes de imprimir. El papel es peligroso incluso cuando se reutiliza para que los niños hagan dibujitos…
- Sanción por no haber notificado una brecha de seguridad. Sobre todo porque la brecha tuvo consecuencias. La tesitura de notificar o no notificar sólo puede depender de que se hayan puesto en riesgo los datos de las personas. La propia Agencia Española de Protección de Datos en su Guía de gestión de brechas de seguridad facilita algunos consejillos que son muy útiles a la hora de tomar la decisión y analizar el riesgo. Ni se trata de notificar todo ni se trata de ser demasiado tolerante porque el hecho de no notificar ya es, en si mismo, un incumplimiento. Ojo con esto.
- Sanción por no facilitar un medio sencillo para rechazar cookies y ese medio no es poner únicamente los enlaces a los navegadores más habituales. A pesar de la sanción a IKEA por el mismo tema, todavía se ven muchas webs que ni lo uno ni lo otro. Es decir, que igual de fácil tiene que ser aceptar las cookies como rechazarlas. Un panelito de configuración de cookies y asunto resuelto. A los profesionales de estas cosas nos da rabia que no nos hagan caso pues cuesta poco hacerlo bien y las webs son muy visibles.
- Apercibimiento por haber enviado un email a más de 300 socios en copia abierta y por lo tanto revelando las direcciones de email al resto de los socios. El típico error humano. Pero con consecuencias. Que levante la mano quien en su vida no se le haya escapado un email con copia a otros en abierto… El problema es cuando son comunicaciones comerciales puras y duras o como en este caso, a socios de una entidad. En este caso no hubo multa sino apercibimiento pero el susto no se le quita nadie. En algunas resoluciones más antiguas la multa fue considerable. Por ello hay que ser muy cautelosos y si es posible utilizar herramientas de automatización de los emailings que evitan precisamente esto. Recuerdo un caso de una residencia de mayores que enviaron un email en abierto a todos los familiares de residentes no sólo dejando a la vista los correos sino su vínculo familiar con el residente: «Paco hijo de Pedro», «Herminia sobrina de Justo»… Sin comentarios. El dedo quieto antes de lanzar un email masivo.
- Multa por no cruzar las bases de datos con la lista Robinson. A todos nos molesta que nos envíen comunicaciones comerciales sin nuestro consentimiento. Hay matices: que seamos clientes de alguna entidad (se pueden basar en su interés legítimo), que hayamos dado el consentimiento y no nos acordemos (muy frecuente) o que a pesar de habernos apuntado a la lista Robinson, le hayamos dado el consentimiento directamente a esa entidad. En todo caso, aviso a navegantes. Todos estamos hasta el gorro de recibir cosas. Lo normal es que se ejercite el llamado derecho de supresión (o del de oposición si procede) pero hay muchas denuncias sobre este tema.
Moraleja:
Hacer las cosas bien no cuesta tanto. Los casos descritos son todos reales y recientes.
Si bien es cierto es que hay cierta tendencia a la «querulancia» en este país (corre a coger un diccionario), si existen motivos objetivos de incumplimiento, es muy posible que nos abran un procedimiento sancionador. En una decisión muy antigua de la Agencia Española de Protección de Datos y que nunca se me olvidará, el Director afirmaba que «la intencionalidad del denunciante no es óbice para apreciar la existencia del incumplimiento normativo». Es decir, que si el denunciante tiene muy mala idea y resulta que es un cliente descontento (o un trabajador despechado), la Agencia no lo tiene en cuenta (por lo menos, de primeras).
Tener política de privacidad en la web, hacer una buena gestión de la base de datos, adoptar unos mínimos de seguridad, atender las peticiones de los usuarios… No es tan complicado.
Cuestiones sencillas como consultar con un profesional de la protección de datos puede evitar más de un disgusto. Si estamos ante cuestiones más complejas, se podrá discutir incluso en los tribunales pero la mayoría de las sanciones se derivan de incumplimientos flagrantes de la normativa.
Y que no se nos olvide: gestionamos datos de personas. La privacidad es un derecho fundamental y no podemos criticar a una sociedad «que nos vigila» si cada uno, en la medida de su actividad y posibilidades, no respeta dicho derecho.
Paz Martín
Madrid, 8 de julio de 2020
#losdetallesimportan