Tabla de contenidos
Si bien el derecho a la protección de datos de carácter personal ya viene siendo conocido por toda las entidades y la ciudadanía en general, este ha ido cobrando una mayor importancia en los últimos años, en la medida que actualmente se es más consciente del deber de cumplir con la normativa en esta materia. La razón es que cada vez resulta más frecuente escuchar hablar de sanciones por el RGPD significativas de la Agencia Española de Protección de Datos (AEPD) y, además, la cuantía de las mismas está teniendo una tendencia alcista que no se debe pasar por alto.
Sin ir más lejos, recientemente la AEPD ha sancionado con medio millón de euros a una empresa titular de cinco páginas webs de contenido pornográfico, por vulnerar la normativa de protección de datos. Entre las infracciones cometidas, destacan la infracción del principio de transparencia, de los principios de licitud del tratamiento, las irregularidades detectadas en las Políticas Web, así como, en concreto, la falta de medidas de seguridad apropiadas para verificar que la edad de los usuarios supera la minoría de edad, requisito que se torna esencial en una página web de estas características.
A continuación, veremos cuáles son las causas más frecuentes en las últimas sanciones por RGPD llevadas a cabo por la AEPD, para posteriormente indicar cómo es posible evitar ser sancionado.
Motivos de sanciones recientes de la Agencia Española de Protección de Datos
1. Principios del tratamiento
La normativa en materia de protección de datos exige el cumplimiento de una serie de principios que han de regir el tratamiento de datos personales. Entre otros, cabe mencionar los siguientes:
- Principio de “licitud, transparencia y lealtad”, que exige que los datos sean tratados de manera lícita, leal y transparente para la persona interesada.
- Principio de “finalidad” que supone, en su primera vertiente, la obligación de que los datos sean tratados con finalidades determinadas, explícitas y legítimas y, por otro lado, la prohibición de que dichos datos sean tratados posteriormente de una manera incompatible con la finalidad para la que fueron recabados.
- Principio de “minimización de datos”, que implica que únicamente se deberán tratar los datos que sean estrictamente necesarios para llevar a cabo el tratamiento.
- Principio de “integridad y confidencialidad”, que exige la garantía de una seguridad adecuada de los datos personales mediante la aplicación de medidas técnicas y organizativas adecuadas.
- Principio de “responsabilidad activa” que obliga a los responsables a mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que el responsable pueda, tanto garantizar como estar en condiciones de demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGD.
Al respecto, la AEPD recientemente ha sancionado a una consultora tecnológica española con una multa de 50.000 € por infringir el principio de integridad y confidencialidad de los datos personales, en la medida que se descubrió que tuvo lugar una brecha de confidencialidad respecto a los usuarios de una compañía de seguros y que la consultora no contaba con las medidas organizativas y técnicas apropiadas para impedir que los datos personales de los asegurados se viesen comprometidos.
Asimismo, una reputada empresa dedicada a la generación, distribución y comercialización de energía fue sancionada con una multa de 80.000 € por vulnerar el mismo principio de integridad y confidencialidad, esta vez debido a que la empresa hizo un cambio en el correo electrónico de un cliente que había sufrido suplantación de identidad, por lo que quién contactó por vía telefónica a la empresa para solicitar dicho cambio no había sido el cliente. Debido a ello, la AEPD consideró que las medidas de seguridad implementadas por la empresa no habían sido suficientes para evitar tales hechos.
2. Licitud del tratamiento
Por otro lado, para poder tratar datos básicos de conformidad con la normativa, será también necesario que el tratamiento resulte lícito. Bajo esa tesitura, el responsable deberá cumplir con, al menos, alguna de las siguientes condiciones:
- El interesado ha dado su consentimiento para el tratamiento de sus datos;
- El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales;
- El tratamiento es necesario para el cumplimiento de una obligación legal;
- El tratamiento es necesario para proteger intereses vitales;
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público;
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.
Un claro ejemplo de la importancia que supone justificar debidamente la base de legitimación del tratamiento recae en la sanción de la AEPD a una de las compañías telefónicas más conocidas en el país, debido a que la persona interesada declaró que terceros no autorizados habían accedido a su cuenta y habían celebrado contratos a su nombra, así como comprado un teléfono móvil. Al respecto, la AEPD consideró que la compañía no había verificado adecuadamente si los contratos habían sido legal y efectivamente celebrados por el interesado y sancionó a la misma con una multa de 70.000 €.
¿Cuál es la mejor vía para evitar ser sancionado por la AEPD?
Debido a la alta importancia que tiene la proactividad del responsable del tratamiento en materia de protección de datos, una gran manera de obtener el mejor asesoramiento en la aplicación del RGPD y evitar sanciones innecesarias y de protección de datos es la de contar con un Delegado de Protección de Datos (DPD).
Esta figura puede ser de obligatoria designación, en caso de que se reúnan los requisitos que exige la normativa en materia de protección de datos para ello, por lo que no contar con un DPD en esos casos, puede ser objeto de sanción por parte de la AEPD.
No obstante, fuera de esos supuestos, también es altamente recomendable el nombramiento voluntario de un DPD como medida de responsabilidad proactiva, en la medida que ello demostraría cumplimiento de la normativa protectora de datos de carácter personal y, a su vez, podría ser considerado como criterio de graduación de las sanciones que pudiera imponer la AEPD.
La AEPD promueve un Esquema de Certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado. Bajo esa tesitura, desde el área de Protección de Datos y Derecho Digital de CECA MAGÁN Abogados, se cuenta con tal Certificación, lo que acredita la cualificación y capacidad profesional como DPD, prestando el servicio de forma externalizada y garantizando conocimientos especializados en la materia.
Puede contactar con nuestro equipo especializado aquí.
Ingrid González y Adrián Manrique de Lara
Abogados en el área de protección de datos y derecho digital
Añadir nuevo comentario