Conoce tres casos reales de sanciones que se han producido en la Unión Europea
Aprovechando que hoy es 31 de octubre y que, para alegría de unos y disgusto de otros, Halloween está plenamente instaurado en nuestro país, hemos querido publicar esta entrada que puede llegar a dar casi más miedo que el encontrarnos con Jack Torrance en el hotel que hayamos elegido para descansar durante este puente.
Las elevadas sanciones que se prevén en el Reglamento General de Protección de Datos así como en nuestra querida Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales no son una novedad, pero si queremos refrescaros la memoria al respecto.
Así pues, según nuestra normativa nacional las infracciones pueden dividirse en leves, graves y muy graves, regulándose las mismas en los artículos 72, 73 y 74 del propio texto legal, haciendo referencia a su vez al artículo 83 del RGPD, en el que también se regulan las infracciones y sanciones. Además, el artículo 76 de nuestra Ley Orgánica nos remite al Reglamento General de Protección de Datos para conocer el importe de las sanciones, y según viene recogido en su articulado podemos encontrarnos (en función del tipo de infracción) con multas administrativas que van hasta los 10 millones de euros o, en caso de un empresa, de una cuantía que equivalga al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior y también con multas administrativas de hasta 20 millones de euros como máximo o, en caso de tratarse de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Y ojo, porque a la hora de que se tenga que aplicar una cifra fija o bien un porcentaje del volumen de negocio global de la entidad, se va a optar por aquella que sea de mayor cuantía. Y esto sí puede ser un buen sobresalto para cualquier empresa.
Pero, ¿y qué podemos hacer tan mal en cuanto a protección de datos se refiere para que la Autoridad de Control decida sancionarnos? Una vez más es la propia norma legal la que nos pauta qué obligaciones (ya sean de hacer o de no hacer) pueden llevar aparejada una sanción.
Por ejemplo, tendrán la consideración de infracciones muy graves llevar a cabo el tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del RGPD, como podría ser el hecho de recoger más datos de los necesarios (¿realmente necesitamos saber el estado civil o la fecha de nacimiento de una persona para el tratamiento que vamos a realizar?), recoger los datos para efectuar un servicio y después usarlos, por ejemplo, para enviar comunicaciones comerciales sin contar con el consentimiento expreso para ese uso, no atender reiteradamente la solicitud para ejercitar alguno de los derechos que le asisten a la persona afectada o incluso no cumplir con la obligación de informar a la persona afectada del tratamiento que se va a realizar de sus datos en el momento en que los recogemos.
Como infracciones graves se pueden considerar el hecho de contratar (cuando somos responsables del tratamiento) a un encargado del tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas que garanticen el cumplimiento de la normativa de protección de datos, no disponer del registro de actividades de tratamiento o no llevar a cabo una evaluación de impacto cuando se esté obligado a ello.
Por último se consideran infracciones leves el hecho de contar con un registro de actividades del tratamiento incompleto (hay que tener en cuenta que este registro es algo vivo y cambiante y como tal hay que actualizarlo), no notificar adecuadamente a la AEPD una brecha de seguridad, o incluso incumplir el principio de transparencia de la información o derecho de información a la persona afectada no proporcionándole toda la información necesaria cuando recogemos sus datos, como sería el caso si se omitiesen algunos datos.
Estos ejemplos son una pequeña muestra de qué acciones pueden desembocar en una sanción.
A este régimen sancionador están sujetos tanto los responsables de los tratamientos como los encargados de los mismos, además de los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE, las entidades de certificación y las entidades acreditadas de supervisión de los códigos de conducta.
Vamos a detallar algunos casos reales que se han sancionado en la Unión Europea desde la entrada en vigor del RGPD:
- Multa de 60.000 euros a Avón España (sí, sí, “Avón llama”), por no poder acreditar legitimación alguna para tratar los datos del afectado reclamante ya que Avón no contaba con un contrato firmado en papel (la contratación se efectuó online) y el afectado reclamante negaba su formalización. Sanción basada en el incumplimiento del principio de licitud. Además de esta sanción, la persona afectada podrá reclamar a Avón una indemnización por daños y perjuicios, tal y como se recoge en el artículo 82 del RGPD.
- Multa de 400.000 euros a un hospital portugués por un fallo en sus sistemas de control en el acceso a la base de datos que permitió que varios trabajadores accedieran a datos a los que sólo debían tener acceso los médicos del centro. En este caso, la sanción se ha basado en los principios de integridad y confidencialidad y en el de minimización de los datos a tratar.
- Multa de 150.000 euros a una empresa griega por basar erróneamente en el consentimiento el tratamiento de los datos de sus trabajadores viéndose, por tanto, afectado el principio de transparencia o información, al no contar lo trabajadores con la información correcta, ya que en realidad el tratamiento de sus datos no se basa en el consentimiento, si no en el interés legítimo del responsable del tratamiento (la empresa en este caso).
Después de leer estos ejemplos, ¿estás seguro de estar cumpliendo con la normativa? ¿Sabes a ciencia cierta si estás informando (y de manera correcta) a las personas afectadas en el momento en que recoges sus datos? ¿Cuál es la base en la que legitimas los diferentes tratamientos de datos que realizas? ¿Tu entidad tiene obligación de llevar a cabo una evaluación de impacto? Y tu análisis de riesgos… ¿da un resultado alto o bajo?
Como vemos, en el cumplimiento de la normativa de protección de datos hay que ser proactivos y preventivos, porque la misma está llena de múltiples obligaciones y matices y el hecho de no tener conocimiento de los mismos podría derivar en que seamos sancionados, lo que puede suponer, sin duda alguna, unos de los mayores sustos a los que tenga que enfrentarse nuestra entidad.