Desde la entrada en vigor del Reglamento Europeo de Protección de Datos E, allá por mayo de 2018 son muchos los que se preguntan ¿Cumples en materia de protección de datos empresas?
Las sanciones que la Agencia Española de Protección de Datos (AEPD) ha puesto, no sólo a empresas, sino también a particulares cuando estos actúan fuera del ámbito doméstico. Si quieres saber la casuística, te invito a leer el artículo.
De 2 a 32 millones: Protección de datos multa un 1.000% más y convierte a España en el sexto país europeo por sanciones que vulnera el RGPD.
https://www.businessinsider.es/multas-proteccion-datos-1000-grandes-2021-982521
En primer lugar, particular debéis de saber que sí, la Agencia puede sancionaros cuando actuáis fuera del ámbito doméstico, esto sucede si tratáis datos de usuarios, por ejemplo, en el newsletters de vuestro blog, pero también cuando publicas imágenes de personas en RRSS, ya que, desde ese momento, se entiende, que ya no eres tú el responsable de controlar la difusión de la publicación y esta publicación sin consentimiento podría llegar a ser sancionable.
Pero en el sector profesional de empresas o autónomos el cumplimiento es obligatorio, ya que el empresario trata datos personales de clientes, contactos, trabajadores, …; y como responsables de tratamientos se les exige adecuar su empresa en esta materia.
Y esto no es tener al corriente las políticas de su página web, sino implementar dentro de la empresa un sistema organizativo y de seguridad, que permita minimizar los riesgos de brechas de privacidad, tanto en sus instalaciones como en el entorno digital, ante posibles ataques informáticos y, donde pudiera verse comprometida la:
- Confidencialidad de los datos personales de la empresa, independientemente si no tenemos un gran volumen de información o si los datos no son de categoría especial de protección.
- Integridad, es decir, que tras un ataque informático podamos acreditar ante la Agencia, que nuestras bases de datos y ficheros de datos personales no han sido alterados. Algo muy difícil de probar a posteriori, pero, sin embargo, muy simple si se han tomado las medidas técnicas de antemano.
- Disponibilidad, algo que por desgracia se hace cada día más usual con ataques informáticos tipo ransomware que cifran los Sistemas y piden un rescate para recuperar tu información. Una fácil solución es tener copias actuales de información.
Y a la pregunta, ¿me pueden sancionar tras sufrir un ataque informático?, la respuesta es clara: sí. Si como responsable del tratamiento no tomaste las medidas técnicas y organizativas que estaban a tu alcance para evitarlo y, en este sentido, toca haber hecho los deberes de antemano, ya que en caso contrario muy probablemente el resultado de investigación de la Agencia acabe en expediente sancionador.
Esta falta de compromiso por las empresas puede ser castigadas por la AEPD y a continuación veremos algunas de sus muchas resoluciones:
- En julio de 2020 la AEPD publicó una Guía de cumplimiento específico en materia de cookies, su incumplimiento puede dar lugar a sanciones de 3.000 €. Os dejo link de la Resolución.
https://www.aepd.es/es/documento/ps-00092-2020.pdf
- Ojo con el envío de comunicaciones comerciales sin consentimiento y sin que se puedan justificar causas de interés legítimo del responsable del tratamiento. Este tipo de conductas son sancionables, dejamos un ejemplo de una Resolución con importe de sanción de 3.000 €.
https://www.aepd.es/es/documento/ps-00232-2021.pdf
- WhatsApp es un nuevo medio de comunicación y marketing publicitario, pero cuidado con no atender los derechos de los usuarios ante la negativa de dejar de recibir comunicaciones comerciales, esta conducta puede llevarte a sanciones de 1.500 €.
https://www.aepd.es/es/documento/ps-00323-2020.pdf
- Y hablando de WhatsApp, el mero hecho de introducir en un grupo a un usuario es tratamiento de datos y, en consecuencia, se necesita previo consentimiento informando de la finalidad del tratamiento. Su ausencia puede acabar en sanción PS/00195/2019. Pero también el utilizar el teléfono de un cliente/a para una finalidad distinta, por ejemplo, para contactar a nivel particular. Resolución PS/00383/2019.
- El tener destructoras de papel en las empresas no es una opción, sino una obligación legal, desde el momento que se imprimen documentos con datos personales. El tirarlos sin destruirlos te puede llevar a sanciones por importes de 3.000 €.
https://www.aepd.es/es/documento/ps-00054-2021.pdf
- Aquellos particulares que son reacios a poner sus datos personales en su blog o web, como responsables del tratamiento pueden llegar a ser sancionados. Os dejamos una Resolución con sanción por importe de 2.000 €.
https://www.aepd.es/es/documento/ps-00163-2021.pdf
- Cuidado con no atender los requerimientos de la Agencia o los de los interesados, ante el ejercicio de sus derechos. Este tipo de conductas son sancionables, incluso si se hacen de manera imprudente, por no chequear el correo de contacto que tenemos en las políticas de nuestra web. Os dejamos link de una sanción de 3.000 €.
https://www.aepd.es/es/documento/ps-00239-2021.pdf
- Cuando recibimos Currículum Vitae de candidatos de trabajo deberemos informarle y poder acreditarlo, sobre cual será el tratamiento que se dé al CV. En este caso os dejamos una resolución que acabo en sanción de 2.000 €.
https://www.aepd.es/es/documento/ps-00390-2021.pdf
- El grabar la conversación con los clientes sin conocimiento de estos es una infracción al art. 5.1.c del RGPD y la AEPD ha sancionado a una empresa por un importe de 5.000 €. Expediente No: PS/00469/2021.
En conclusión, vemos, por un lado, que las sanciones en materia de protección de datos no son lo que se dice baratas y, por otra parte, que la manera de cumplir es de antemano, es decir, de forma diligente y proactiva, es decir anticipándose al riesgo y actuando de manera reactiva. Por lo que si comprometes los datos de tus clientes y no has puesto las medidas técnicas u organizativas acordes al volumen y categoría de datos, tras un ataque informático y dar cuenta a la Agencia, la finalización del expediente podría acabar en sanción.
