Continúa la escalada sancionadora en protección de datos y las empresas se ponen las pilas en esta materia.
Las cifras hablan por sí solas. La cuantía de las multas impuestas por la Agencia Española de Protección de Datos (AEPD) en estos primeros seis meses, casi 20,5 millones, está cerca de alcanzar dos tercios del total de las contabilizadas en todo 2021, 35 millones de euros. De acuerdo con la información recogida por La Ley en base a la información publicada por la AEPD, estas cifras parecen confirmar la escalada sancionadora en esta materia desde 2018, año en que entró en vigor el Reglamento General de Protección de Datos (RGPD). Es más, según la última memoria anual de la agencia, el salto de 2020 a 2021 supuso un incremento del 337%.
Unos datos que “impresionan”, afirma Paloma Bru, socia del departamento de TMT de Pinsent en Madrid. Tal y como valora la abogada, “al igual que ha ocurrido en otros países europeos, podemos confirmar una tendencia alcista de la actividad sancionadora de la autoridad de protección de datos”.
Mismo análisis comparte Paula Garralón, asociada del departamento de comercial y privacidad y protección de datos de Bird & Bird: “La AEPD es una de las autoridades europeas con una actividad sancionadora más elevada”. Esta intensa labor, añade Bru, “ha hecho que las empresas, de cualquier sector, coloquen en su mapa de ruta el cumplimiento de la protección de datos como uno de los riesgos que hay que abordar”.
Y es que las multas por privacidad se han convertido en un auténtico quebradero de cabeza para las empresas. El récord hasta la fecha lo ostenta Google, que fue sancionada en mayo de este año con 10 millones de euros por obstaculizar el derecho al olvido de los usuarios. La agencia concluyó que el formulario que el gigante tecnológico utilizaba para las peticiones ciudadanas era confuso y supuso el traslado de sus datos a un banco que recopila violaciones de copyright. “El segundo semestre del año probablemente continúe con esta tendencia, multas ejemplificadoras especialmente a aquellas compañías que concentran altas cuota de negocio en su sector”, vaticina Garralón.
Por áreas
Por otro lado, los ciudadanos también denuncian cada vez más las infracciones de protección de datos. El canal de denuncias de la agencia recibe año a año más comunicaciones, sobre todo en materia de videovigilancia, por instalar cámaras sin permiso o sin contar con las medidas de protección al usuario establecidas en la ley. Se trata del sector más multado del periodo, con 53 resoluciones de las cuales 33 acabaron con sanción. Sin embargo, el importe total de las multas en esta área suma poco más de 220.000 euros, con sanciones que van desde los 180 euros a un locutorio por colocar un sistema de videovigilancia sin cartel informativo, hasta los 170.000 euros a Mercadona por no proporcionar a la víctima de un accidente el vídeo de las cámaras de videovigilancia en el que aparecía el suceso. “Las empresas deben tener en cuenta que la instalación de sistemas de videovigilancia no supone carta blanca para poder grabar cualquier área y utilizar las imágenes captadas con fines diferentes a los de seguridad”, señala Bru. Por ello, agrega la experta, es necesario que, antes de instalar estos sistemas, las organizaciones realicen el correspondiente análisis de riesgos y determinen las medidas prácticas que deben cumplir.
Asimismo, por primera vez en 2022, la AEPD ha estimado los primeros recursos de reposición, anulando así cinco sanciones impuestas precisamente en el sector de la videovigilancia. En estos casos, sí se cumplía con la normativa, ya fuera porque las cámaras estaban bien señalizadas o porque simplemente no estaban funcionando y su instalación solo era disuasoria.
Los servicios de internet se sitúan en segundo lugar en cuanto a número de sanciones impuestas por la AEPD, con 24, aunque ostentan la primera posición en cuanto a cuantía total de las multas debido a los 10 millones de euros impuestos a Google. Las demás sanciones de este sector apenas suman 119.000 euros. Le sigue la contratación fraudulenta, área que cuenta con diez sanciones que suman 5,8 millones de euros. Muy de cerca, también con diez multas, aunque de mucha menor cuantía, algo más de 340.000 euros, se encuentra el sector de la publicidad a través de e-mail o móvil. En el quinto puesto están los asuntos laborales, cuyas siete multas ascienden a 2,2 millones de euros.
Por tipo de infracción
Del informe elaborado por La Ley también se desprende que en estos primeros seis meses de 2022 las obligaciones más vulneradas del RGPD son las relacionadas con la regla de la minimización, es decir, que las empresas se excedan pidiendo al usuario más datos de los necesarios para el fin concreto. El tratamiento ilícito de estos también es una de las infracciones más habituales de las organizaciones, bien por no contar con el consentimiento de la persona para usarlos para un propósito específico, o bien porque se exceden en el tratamiento de los mismos. Otra de las conductas más castigadas en estos meses ha sido no facilitar la información suficiente al interesado sobre el tratamiento que se va a hacer de sus datos.
Esta realidad evidencia, según Garralón, que, pese a que el RGPD es plenamente aplicable desde hace cuatro años, las empresas siguen aprendiendo y adaptando sus procesos a la normativa. “Se trata de una carrera de fondo donde el objetivo es lograr el equilibrio entre el cumplimiento de la norma y el éxito del negocio”, concluye la abogada. Las compañías, según constatan desde el despacho de Bru, se han empezado a poner las pilas: “Hemos observado cómo, a diferencia de lo que ocurría años atrás, las empresas dedican recursos, tanto legales como organizativos y técnicos, para fomentar el cumplimiento normativo en privacidad”.
Amonestaciones
Pese a que la AEPD no puede multar a las Administraciones públicas, el organismo continúa apercibiéndolas por incumplimientos en materia de privacidad. Así, este año la agencia ha amonestado a distintas entidades por exponer datos personales sin consentimiento o por desoír las peticiones de los usuarios de suprimir esta información, entre otros motivos.
En enero, advirtió al Ayuntamiento de Ourense (Galicia) por haber colgado en el tablón de la Jefatura de la Policía Local los datos personales de algunos trabajadores al publicar los periodos vacacionales que se les habían denegado. Ese mismo mes, se amonestó al Ayuntamiento de Sotoserrano (Salamanca) porque uno de sus concejales difundió, al reenviar por WhatsApp, un escrito por el que se solicitaba la retirada de tierra depositada alrededor de la tumba del padre del reclamante. Según alegó el consistorio, se debió a un intento de evitar un conflicto familiar entre la parte reclamante y sus primos. En febrero, el apercibido fue el Ayuntamiento de Villafranca de los Barros (Badajoz), por tirar a los contenedores documentos con datos personales sin haber tenido en cuenta los protocolos para desechar papel establecidos para estas ocasiones.
Tampoco se libró el Consejo General del Poder Judicial (CGPJ). El órgano de gobierno de los jueces fue apercibido por exponer datos personales de los magistrados en su web, como información curricular o de bajas médicas, a través del Portal de Transparencia. La AEPD también tiró de las orejas al CGPJ por no haber verificado que los buscadores ya no recogían la URL.
FUENTE: CINCO DÍAS