Tabla de contenidos
Actualmente, la protección de datos está a la orden del día y el cumplimiento de su normativa debe asegurarse, dado que, de lo contrario, se corre el riesgo de ser sancionado. Cada vez es más frecuente escuchar hablar de sanciones de la Agencia Española de Protección de Datos (AEPD) significativas en esta materia y en la cuantía de dichas sanciones, hay una tendencia alcista que no se debe pasar por alto.
En ese sentido, aprovechando que la AEPD ha publicado el listado de aquellas entidades que, en el transcurso del año 2021, han sido sancionadas con más de un millón de euros, resulta interesante conocer cuáles son los puntos que más se infringen en materia de protección de datos, para posteriormente indicar cómo es posible evitar ser sancionado.
Causas de sanciones por la Agencia Española de Protección de Datos
1. El deber de información
En materia de protección de datos resulta de vital importancia que los datos personales se traten de manera transparente, siendo la transparencia uno de los principios básicos que rigen la normativa. En ese sentido, el responsable del tratamiento (que no es otro que aquel que determina la finalidad y los medios de tratamiento de datos personales) será quién tenga el deber de informar al interesado sobre el tratamiento de sus datos personales, mientras que, para este último, ser informado será un derecho que le corresponda.
Para ello, el responsable deberá informar, en el momento en el que solicite los datos al interesado, con un lenguaje claro y sencillo, así como de manera concisa, transparente y de fácil acceso. Lo más recomendable, es que dicha información se ofrezca por niveles, siendo el primero más básico y el segundo más detallado.
No obstante, en la práctica se suele infringir este deber de información, el cual suele desembocar en una infracción que a su vez lleva aparejada la posibilidad de resultar sancionado por la Agencia Española de Protección de Datos. Prueba de ello es la sanción que recibió una entidad bancaria, al entender la AEPD que esta no había informado de manera clara y sistemática sobre los tratamientos de datos personales que llevaban a cabo, ni de su finalidad.
2. Licitud del tratamiento
Para poder tratar datos básicos de conformidad con la normativa, es necesario que este tratamiento resulte lícito. Para ello, el responsable deberá cumplir con, al menos, alguna de las siguientes condiciones:
- El interesado ha dado su consentimiento para el tratamiento de sus datos;
- El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación de medidas precontractuales;
- El tratamiento es necesario para el cumplimiento de una obligación legal;
- El tratamiento es necesario para proteger intereses vitales;
- El tratamiento es necesario para el cumplimiento de una misión realizada en interés público;
- El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.
En caso de que se pretenda llevar a cabo un tratamiento de categorías especiales de datos (por ejemplo, sobre opiniones políticas, convicciones religiosas, datos genéticos, datos relativos a la salud, datos relativos a la vida sexual, entre otros), la regla general es que está prohibido llevar a cabo este tipo de tratamientos.
No obstante, la normativa ofrece una serie de excepciones tasadas que sí permiten el tratamiento de estos datos. Por ejemplo, en aquellos casos en los que el tratamiento sea necesario para proteger intereses vitales del interesado, o que el interesado haya dado su consentimiento explícito, así como en aquellos casos en los que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública (como ha ocurrido en la pandemia originada por COVID-19), por enumerar algunos de los supuestos.
En numerosas ocasiones, el tratamiento no queda debidamente legitimado, como es el caso de una compañía energética que recibió una sanción de 1,5 millones de euros por no haber comprobado que los representantes de sus clientes se encontraban debidamente acreditados para prestar el consentimiento para recibir comunicaciones comerciales.
Situación similar ocurrió con otra entidad que fue sancionada con 3 millones de euros, porque en lugar de ofrecer una casilla para marcar en caso de querer recibir ofertas comerciales, la casilla ofrecida debía ser marcada para no recibir dichas ofertas. Recordemos que, la nueva normativa en materia de protección de datos no permite el consentimiento tácito, dado que se precisa de una declaración afirmativa clara.
3. Protección de datos desde el diseño y por defecto
Los responsables del tratamiento deben aplicar medidas que les permitan cumplir con los principios de protección de datos, tanto antes de iniciar el tratamiento, como una vez este se esté desarrollando. En ese sentido, cabe destacar los siguientes principios:
- La privacidad desde el diseño implica el deber de que en la fase inicial de definición y desarrollo de cualquier proceso o servicio que implique un tratamiento de datos, se tenga en cuenta el derecho de protección de datos, integrando las garantías necesarias en el tratamiento. Es decir, no se trata de subsanar los daños derivados de un tratamiento una vez se producen, sino de intentar prevenirlos, identificando desde el diseño sus posibles riesgos, antes de que se materialicen en daños.
- La privacidad por defecto supone la aplicación de medidas que garanticen que, por defecto, sólo sean objeto de tratamiento los datos personales necesarios para cada uno de los fines del tratamiento. El objetivo no es otro que proteger al máximo nivel los datos del interesado, sin necesidad de que éste tenga que hacer nada.
Volviendo al ejemplo del epígrafe anterior, sobre la compañía energética, una buena medida de privacidad desde el diseño hubiese sido incorporar un mecanismo de comprobación de la representación de sus clientes, para que pudiesen prestar un consentimiento válido. Lo mismo hubiese ocurrido con otros casos de sanciones por la AEPD, si en lugar de haber dispuesto una casilla a marcar para no recibir información comercial, hubiese hecho lo contrario, para poder garantizar el consentimiento mediante una clara acción afirmativa.
¿Cuál es la mejor vía para evitar ser sancionado por la AEPD?
La normativa en materia de protección de datos da mucha importancia a la proactividad del responsable del tratamiento, por lo que una gran manera de evitar riesgos innecesarios y de obtener el mejor asesoramiento en materia de protección de datos, es llevando a cabo auditorías en protección de datos con carácter periódico (en Ceca Magán recomendamos llevarlas a cabo cada 2 años). Una auditoría en protección de datos permitirá evaluar el grado de cumplimiento de tu entidad, así como obtener recomendación profesional sobre qué acciones llevar a cabo para tratar los datos de la manera más adecuada posible.
Desde Ceca Magán contamos con abogados y auditores especializados en la normativa de protección de datos, personal certificado conforme al esquema AEPD-DPD; así como con Auditores en 27001, y certificados CISA para ofrecerle servicios especializados en esta materia. Puede contactar con ellos aquí.
Ingrid González y Adrián Manrique
Manager y abogado en el área Protección de datos y derecho digital
Añadir nuevo comentario