Desde la aprobación del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, y la posterior Ley Orgánica de Protección de Datos (LOPDGDD 3/2018), de hace cuatro años, las posibilidades de infracciones por el manejo incorrecto de datos personales han aumentado: en la primera mitad de 2022, la AEPD ha impuesto infracciones por un valor de casi 20,5 millones de euros, lo que supone casi dos tercios del total recaudado en 2021 (35 millones de euros).
Desde el cambio normativo, la Agencia Española de Protección de Datos (AEPD) ha incrementado el número de sanciones y la cuantía de las mismas. Datax, una conultora especializada en Protección de Datos y Seguridad de la Información, aclara a DIRIGENTES que lo que pide la Ley es una responsabilidad proactiva. Es decir, que todas las empresas tienen que poner las medidas de seguridad. Desde el cambio normativo hace cinco años, las actuaciones y sanciones de la Agencia Española de Protección de Datos han aumentado. La importancia de cumplir las medidas de protección de datos en la empresa adecuadas con anterioridad para que no haya ningún riesgo a la hora de tratar un dato personal.
Añaden que uno de los principios es la inteligibilidad y la transparecia: “Se pueden poner sanciones si la Agencia considera que los textos no son lo suficientemente claros”. De hecho, en 2019, la AEPD multó a La Liga con un cuarto de millón de euros por una aplicación que usaba el micrófono de los móviles para detectar qué bares estaban emitiendo los partidos usando una señal pirata. La Agencia determinó que la app debía informar a los usuarios de que su teléfono sería utilizado con ese propósito cada vez que activaban el micrófono y que la manera en la que lo comunicaba era opaca.
Otro ejemplo que tuvo repercusión en prensa fue la sanción a Air Europa, que tuvo que abonar medio millón de euros por una brecha de seguridad en su sistema en 2018, en la que hackers acedieron a datos personales y bancarios de casi medio millón de sus clientes. Además, también multó con 100.000 euros adicionales a la compañía por no avisar de la brecha a tiempo a la AEPD.
Una de las recomendaciones que hacen desde la consultora es realizar análisis de riesgo, para fijar el tratamiento que necesita la empresa en cuestión, además de elaborar el Registro de Actividades de Tratamiento (RAT), lo que es la columna vertebral de la empresa donde quedan reflejados todos los tratamientos que aplica la compañía para los diferentes tipos de herramientas o documentos: curriculum, videovigilacia…
Las páginas web y las bases de datos acumulan las infracciones más habituales
Uno de los espacios donde más se vulnera la Ley de Protección de Datos es en las páginas web de las empresas, ya que tienen que cumplir con muchos requisitos, como los checkbox (las casillas que acompañan a los formularios), que tienen que derivar a la política de privacidad para que el usuario pueda informarse pero, además, tiene que haber una primera capa –un resumen claro y transparente junto al formulario– para que el usuario no tenga que pinchar en el enlace para consentir el tratamiento de sus datos.
De todas formas, desde Datax puntualizan que se trata de una “ley viva”. Va habiendo cambios continuos según avanza la sociedad y la tecnología y va surgiendo la necesidad de ir perfilando, regulando e interpretando cada una de las nuevas situaciones de la manera adecuada.
Otro de los errores más recurrentes es el almacenamiento de información personal en bases de datos. La única viabilidad para tener un dato legalizado (que sea legítimo enviarle información comercial), es que haya un consentimiento “previo, expreso e inequívoco” y se tiene que poder demostrar (una grabación de un consentimiento verbal, por ejemplo, o el registro del mismo en las herramientas de gestión de bases de datos). La AEPD llega incluso a invalidar bases de datos completas que, en muchos casos, puede suponer el mayor activo de un negocio.
La Agencia no suele perseguir la legitimidad de las bases de datos, pero si hay una denuncia por uso incorrecto de estos, actúa. De hecho, la mayor multa registrada se impuso a Equifax, la empresa que gestiona Asnef, entre otros ficheros de morosos. Esta fue sancionada con un millón de euros tras compilar la AEPD 96 denuncias relacionadas con la inclusión de manera irregular de los denunciantes en el Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ).
Otro aspecto que hay que tener en cuenta son los distintos niveles de protección, ya que muchos negocios tratan con los denominados “datos especiales”, anteriormente conocidos como “sensibles”. En este caso, las empresas deben contar con un cargo: el delegado de protección de datos. Se trata del intermediario entre la agencia denunciante y la empresa, además de notificar a la AEPD. Con el NIF de un negocio se puede consultar si este tiene algún delegado de protección de datos registrado.
El tipo de infracciones más sancionadas por la AEPD en 2021
En 2021, según datos de la memoria anual de la AEPD, las reclamaciones planteadas con mayor frecuencia por los ciudadanos correspondieron a servicios de Internet (16%), videovigilancia (12%), recepción de publicidad –excepto spam– (11%) e inserción indebida en ficheros de morosidad (9%).
En cuanto a los procedimientos sancionadores, se finalizaron en 2021 585, un 49% más que en 2020. Las áreas más frecuentes en los procedimientos sancionadores son videovigilancia (25%), servicios de Internet (22%), y publicidad a través de correo electrónico o teléfono móvil (9%).
Ese mismo año se realizaron 264 resoluciones que finalizaron con la imposición de multa. Las seis áreas de actividad con mayor importe global de multas fueron publicidad (8.659.200 euros), telecomunicaciones (6.500.000 euros), entidades financieras/ acreedoras (6.243.000 euros), ficheros de morosidad (4.209.000 euros), contratación fraudulenta (3.674.000 euros) y asuntos laborales (2.625.900 euros). Estas seis áreas suponen más del 90% del importe global de sanciones. Desde la AEPD aclaran que el incremento en la cifra de multas impuestas con respecto a años anteriores está relacionado con el mayor número de procedimientos sancionadores resueltos y también con la envergadura y complejidad de los casos, derivada de la magnitud de los tratamientos de datos investigados.
Tecnología