Sanciones en materia de protección de datos

Desde la entro en vigor el 25 de mayo de 2018 el Reglamento General de Protección de Datos (RGPD), existe cualquier cantidad de noticias sobre incumplimiento de la normativa tanto a nivel nacional como internacional, de este modo, los profesionales del compliance o auditoria hemos tenido oportunidad de analizar el grado de cumplimiento normativo de las empresas y cómo han ido adoptando el RGPD, además de cómo afronta el regulador la imposición de sanciones. 

Si bien es cierto que cada Estado Miembro de la Unión Europea dispone de una o varias autoridades de control que se encargan de velar por la aplicación y cumplimiento del RGPD, en el caso de España, por ejemplo, es la Agencia Española de Protección de Datos (AEPD), en la cual en su propia pagina ha incluido una sección de noticias donde podemos observar un extenso listado de sanciones impuestas, y si no hemos consultado la pagina web de la AEPD, seguro que recordamos los titulares de prensa de las multas de 8,15 millones de euros a Vodafone, 6 millones de euros a CaixaBank y 5 millones de euros al BBVA.

Antes de ello, encontrábamos una multa que creíamos significativa como fue la de la Comisión Nacional de Informática y Libertades (el organismo encargado de velar por la protección de datos en Francia), cuando  sancionó en enero del 2019 a Google LLC con una multa de 50 millones euros, por (i) falta de transparencia dado las dificultades que tenían los usuarios de Google para acceder a la información, (ii) información insuficiente y deficiente en torno al tratamiento de datos personales y (iii) la falta de una base de legitimación para el tratamiento de anuncios personalizados.

Sin embargo, recientemente la Autoridad de Control de Irlanda ha impuesto una multa de 225 millones de euros a WhatsApp tras una investigación solicitada por el Comité Europeo de Protección de Datos sobre las modificaciones practicadas en su política de uso de datos personales. La mencionada investigación tenía como objetivo determinar si dicha aplicación cumplía con sus obligaciones de transparencia, en lo relativo a informar a sus correspondientes usuarios sobre cómo se tratarían los datos personales, con énfasis en las cesiones de dichos datos a otras empresas del grupo, como es el caso de la plataforma Facebook.

Esta sentencia tiene 266 páginas, cuyo documento les dejo continuación pues sirve de excelente background de análisis en materia de protección de datos.

En mi opinión, puede ser la sanción firme más elevada hasta la fecha, no obstante, debe recordarse que, de conformidad con el RGPD, las multas podrían llegar hasta 20 millones de euros o 4% de la facturación global de la compañía, según criterios establecidos por las autoridades de control. Estos criterios pueden ir en función de: la infracción cometida; el volumen de negocio del infractor; el grado de intencionalidad y negligencia en la infracción; el grado de responsabilidad del Responsable y/o Encargado del Tratamiento; si existe o no reincidencia; categoría de datos personales y el volumen de datos que se ha visto expuesto; si  se ha notificado y colaborado con la autoridad de control; otros factores tales como beneficios obtenidos, pérdidas evitadas y hasta la adhesión a Códigos de Conductas.

Y aunque muchos creen que la autoridad solo tiene la mira fija sobre las grandes corporaciones o empresas, aprovecho de comentarles que recientemente la Agencia Española de Protección de Datos ha multado con 100.000 € a Signallia Marketing Distribution S.A., al extinguirse un contrato de prestación de servicios y negar el acceso a los servidores, claves y datos personales pertenecientes al responsable del tratamiento, y esta empresa,  según LinkedIn tiene aproximadamente entre 200 a 500 empleados.

La Agencia procedió a sancionar a la citada empresa con 100.000 € en virtud de la infracción del artículo 28.3.g) RGPD por no devolver todos los datos personales una vez que finaliza la prestación de los servicios del tratamiento, ya que esto es una mala praxis, que derivó en graves daños económicos a la empresa dueña de los datos, debido a la paralización de sus sistemas de trabajo.

El articulo o documento emitido por AEPD se los dejo a continuación:  

Podríamos seguir analizando casos de diferente cuantía, pero como hemos visto, las multas impuestas son bastantes dispares entre sí y van en función del incumplimiento, la autoridad competente de analizar el caso, los criterios de graduación, la interpretación que se haga de la norma y las circunstancias particulares de cada caso.

En consecuencia, lo importante es prestar atención en la razón de dichas sanciones, como lo son: el incumplimiento del establecimiento de medidas de seguridad adecuadas para el tratamiento de los datos; la falta de una base de legitimación que habilite al tratamiento de datos personales; el incumplimiento de los principios relativos de tratamiento del RGPD; las violaciones y brechas de seguridad, y en concreto la falta de notificación de las mismas; no atender a los derechos de protección de datos ejercidos por los interesados, la falta de transparencia e incumplimientos derivados del deber de informar y la inexistencia de un adecuado contrato de encargo de tratamiento que regule la relación entre el responsable y encargado del tratamiento.

Finalmente, como profesionales del cumplimiento normativo, de gestión de riesgos, de la auditoria y afines, debemos ser conscientes de que el cumplimiento de la normativa no solo puede evitarnos cuantiosas sanciones, sino puede suponer una clara ventaja competitiva, en tener una cultura ética fuerte dentro de nuestra organización, así como, puede ser un aspecto importante para nuestras empresas en el momento de contratar a un proveedor o establecer una relación con un socio de negocio.

 Si te ha gustado este contenido, dale me gusta y sígueme! 😊 Además usa los botones abajo para compartir con tus amigos en las redes sociales!  

Si quieres dejar tu opinión, recuerda que siempre sea de firma positiva y con respeto. Por el contrario, cualquier opinión agresiva, conductas o expresiones que vayan en contra del respeto, la dignidad, o constituyan injurias o calumnias será bloqueado, y denunciado a las Autoridades conforme a lo previsto artículo 208 del Código Penal Español. El delito de injurias se prevé una pena de multa que oscila entre 3 y 14 meses y para las calumnias la pena será de prisión de 6 meses a 2 años o multa de 6 a 24 meses.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Subir ↑

A %d blogueros les gusta esto: