Sanciones protección de datos

17 Mar Las sanciones en Protección de Datos más comunes

Posted at 07:50h in Blog by
0 Likes

¿Conoces la vigente normativa de Protección de Datos en España? ¿Puedes asegurar que tu empresa la cumple al cien por cien? Quédate hasta el final porque hoy hablaremos de los incumplimientos por los que se ponen más multas.

Seguramente habrás leído que a grandes empresas tecnológicas, redes sociales, compañías telefónicas o a entidades bancarias se les han impuesto sanciones en protección de datos.

Y llaman la atención las multas de varios millones de € que la Agencia Española de Protección de Datos (AEPD) ha puesto a algunas de estas empresas.

Como 2,1 mill€ a Caixabank en marzo de 2022. O a Amazon, 2 mill€ en el mes de febrero de 2022.

 

Pero si yo sólo soy una pyme…

No debemos pensar que esto solo les ocurre a las grandes compañías. A pymes, autónomos e incluso, a particulares que inclumplen la legislación también se les imponen sanciones en protección de datos.

Y es que la Protección de Datos es algo muy serio. Hablamos del respeto a derechos fundamentales de las personas. Y todos han de tenerlo, ya sean grandes o pequeños negocios.

Si accedemos al buscador de procedimientos sancionadores de la web oficial de la AEPD enseguida comprobamos la cantidad de resoluciones en las que los protagonistas son pymes y autónomos.

Al cometer una infracción, muchas veces no hay dolo (mala fe). De hecho, muchas empresas incumplen el RGPD y otras normas sobre Protección de Datos sin ni siquiera saberlo.

 

Motivos más frecuentes de sanciones en protección de datos:

1- No se informa adecuadamente al obtener datos personales del interesado.

De acuerdo con las disposiciones del RGPD, cuando se vayan a obtener datos personales, el responsable del tratamiento debe:

  • facilitar información como la identidad y datos de contacto del responsable del tratamiento,
  • la finalidad para la que se obtienen esos datos personales,
  • la base jurídica del tratamiento (es decir, por qué pueden obtenerse y tratarse)
  • qué derechos tiene el titular de los datos sobre ellos y cómo ejercerlos.

Lamentablemente, muchas empresas no informan de todo esto. Por eso, podemos ver en muchas webs que se recogen datos y no se cumple con estas obligaciones. Es muy común ver páginas web con textos legales incompletos, obsoletos, ilegibles. Incluso, sigue habiendo muchas que ni siquiera cuentan con ningún texto legal.

Aquí puedes ver un ejemplo de procedimiento sancionador de la AEPD por este motivo: Resolución R/00138/2020.

La empresa sancionada dispone de una página web que recoge datos personales de los usuarios, pero carece de aviso de cookies, de aviso legal y de política de privacidad. No indica en ningún apartado quién es el responsable del tratamiento. No se informa adecuadamente de cómo y por qué se tratan los datos. Esto supone una vulneración de diversas disposiciones de la LSSICE y del RGPD. En este caso, la AEPD impuso una sanción a la empresa de 3.000€.

 

2- El uso de cámaras de videovigilancia sin cumplir con las obligaciones y requisitos establecidos por la Ley.

Tenemos derecho a proteger nuestros bienes y garantizar la seguridad de nuestras instalaciones utilizando sistemas de videovigilancia. Pero esto se debe hacer respetando la normativa existente. Si instalamos cámaras sin tener en cuenta lo que establece la Ley al respecto, podemos ser sancionados por la AEPD.

En este sentido, es interesante el procedimiento sancionador de la AEPD Resolución R/00040/2020.

Podemos ver que la empresa sancionada (un restaurante) instaló varias cámaras de videovigilancia en su terraza, sin cumplir las normas esenciales en materia de protección de datos. No informa de la utilización del sistema de videovigilancia, no existe cartel informativo que cumpla con la Ley, no informa de las razones que motivan su uso, ni la finalidad, ni identifica al responsable del tratamiento de datos personales. Tampoco informa de los derechos que pueden ejercitar al respecto las personas grabadas, el plazo de conservación de los datos ni informa de otros aspectos obligatorios.

Así, la AEPD inició procedimiento sancionador contra la empresa, por infracción del artículo 5.1.c RGPD, sancionando a la empresa con 6.000€.

Por suerte para la empresa, pudo acogerse a una serie de reducciones por reconocer su responsabilidad (dentro del plazo previsto en la norma) y por proceder al pago voluntario antes de la resolución del procedimiento. De esta manera, la sanción impuesta finalmente fue de 3.600€.

Como se puede apreciar, es muy importante hacer un estudio previo a la instalación de las cámaras de videovigilancia por profesionales. Y es que, además de las obligaciones de aviso e información, es fundamental la correcta colocación de las cámaras y las imágenes que captarán.  Recordamos que no se pueden obtener imágenes del espacio público, al ser ésta una competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado.

 

3- No eliminar los datos personales de clientes cuando toca hacerlo, por ejemplo, cuando el cliente solicita ejercer su derecho de supresión de acuerdo con el RGPD.

Es imprescindible saber cómo responder cuando un usuario quiere ejercer alguno de sus derechos sobre sus datos personales. Hablamos de los derechos de rectificación, supresión, limitación, portabilidad y oposición.

Cuando un usuario solicita el ejercicio de cualquiera de estos derechos, hay un plazo estipulado para contestarle. Salvo pocas excepciones, se tendrán que facilitar este ejercicio de derechos. Si no, la AEPD podrá sancionar el incumplimiento.

El Procedimiento Sancionador PS/00055/2021 es un buen ejemplo de la importancia de facilitar el ejercicio de estos derechos a los usuarios.

En este caso, un cliente solicitó ejercer su derecho de supresión. Como puede leerse en la resolución, se impone sanción de 10.000€ a la empresa por no haber eliminado los datos del cliente que así lo pidió.

Concretamente en este caso, además se sancionó con 5.000€ extra a la empresa, por continuar enviando SMS con publicidad sobre sus servicios después de haber solicitado el cliente la supresión de sus datos. Un total de 15.000€ de sanción.

La empresa debería haber eliminado todos los datos del cliente, incluyendo el teléfono y, evidentemente, no enviarle publicidad sin su consentimiento.

Es muy importante tener un control estricto de los datos tratados en un negocio. Hay que eliminar los datos tan pronto como sea posible cuando nos lo pidan o cuando se dé alguna de las circunstancias previstas en el artículo 17 del RGPD. También habrá casos en que, aunque se pida, algunos datos no podrán eliminarse en un tiempo, pues alguna Ley o procedimiento judicial obliga a conservarlos.

Como siempre, en caso de duda hay que consultar con un profesional de la protección de datos.

 

Conclusiones

La protección de datos es un ámbito que requiere de especialización. Las empresas tratan datos personales constantemente. Pero si el personal no está formado o lo suficientemente concienciado en protección de datos, pueden cometerse errores graves.

Errores que pueden llevar a recibir sanciones en protección de datos por parte de la AEPD.

Para evitarlo, es altamente recomendable ponerse en manos de expertos que ayuden a cumplir con la normativa y a evitar posibles sanciones en protección de datos.

 

Te invitamos a que veas aquí cómo ayudamos a pymes y autónomos a cumplir en protección de datos.

 

Tags:
, , ,


Compartir
Abrir chat
Bienvenidos a Emprender Seguro
Hola
¿En qué podemos ayudarte?