Editorial
Cuidado con el daño reputacional
Por Javier Rubio Ábalo
Aviso para navegantes: La actividad sancionadora de la AEPD coge velocidad de crucero.

"La Agencia de Protección de Datos sanciona con 8,15 millones a Vodafone por sus tácticas comerciales", "La AEPD impone una multa de 15.000 euros a una comunidad de propietarios por publicar las actas de una reunión sin anonimizar", "La AEPD sanciona con 5 millones de euros a BBVA por infracción del RGPD", "La AEPD sanciona a CaixaBank con 6 millones por infringir la ley de protección de datos", "La AEPD sanciona a un ayuntamiento por carecer de Delegado de Protección de Datos", "La AEPD sanciona a un letrado que abandonó documentación con datos personales junto a un contenedor", "Air Europa, multada con 600.000 euros tras el robo de datos de miles de clientes"...

Tras un intenso y convulso 2020, este año 2021 está siendo testigo del aumento de la actividad sancionadora de la Agencia Española de Protección de Datos (AEPD). La cual nos ofrece cada semana alguna sanción de las llamadas "mediáticas", por su cuantía, así como por las empresas sancionadas. De la imposición de estas sanciones, sus cantidades y su actividad podemos sacar varias conclusiones:

La primera, y más evidente, es que el incremento en las cuantías de las sanciones impuestas es un endurecimiento acorde a las distintas autoridades de control europeas. Nuestra Agencia nunca se caracterizó por imponer sanciones de una gran cantidad, pero sí ha sido la autoridad de control europea con mayor imposición de sanciones, ya antes de que entrara en vigor el Reglamento Europeo de Protección de Datos. Las últimas sanciones impuestas por nuestra autoridad de control son exponencialmente superiores a las impuestas en años anteriores. Lejos quedan aquellos 250.000 euros de sanción a la Liga de Fútbol Profesional por el uso ilegal de los micrófonos de los dispositivos de los usuarios a través de su aplicación.

Una segunda conclusión que cabe destacar es que, después de los primeros años de vigencia de la actual normativa europea y nacional de protección de datos personales, la AEPD considera que ya ha llegado el momento de empezar a exigir su cumplimiento. Por ello, podemos esperar que sigan llegando sanciones, con altas cuantías a empresas de diferentes sectores.

Pero, ¿qué buscan estas sanciones? Su motivo no es otro que tratar de disuadir del incumplimiento de la normativa en las diferentes industrias donde los datos personales son un activo esencial debido a su importancia y al volumen que se maneja. Son medidas ejemplificativas. Como dicen nuestros mayores "la letra con sangre entra".

Dicha práctica no es ajena a la que se está practicando por autoridades de protección de datos de los otros estados miembros de la Unión Europea, que están siguiendo la doctrina de la evangelización por medio del castigo. Recordemos la sanción que aplicó, el año pasado, la CNIL, autoridad francesa, a Google LLC y Google Irlanda por un monto de cien millones de euros, por habilitar las cookies de su página web sin haber obtenido el consentimiento previo de los usuarios. Otro ejemplo, los treinta y cinco millones de euros impuestos por la autoridad alemana a la empresa textil H&M, por la obtención ilícita de información relativa a la vida de sus empleados.

Analizando las sanciones impuestas podemos identificar que la AEPD busca exigir el cumplimiento en diferentes fases del tratamiento de los datos; (i) desde su obtención, al no cumplir con los requisitos que requiere la obtención del consentimiento de los titulares de los datos, (ii) no adoptar, en el tratamiento, las medidas técnicas y organizativas necesarias para proteger la confidencialidad, integridad y disponibilidad de los datos personales, (iii) no tomar las medidas necesarias para la destrucción de la documentación que contiene datos personales, siendo especialmente sensible, (iv) no tomar las garantías necesarias para asegurar un nivel de protección adecuado a lo exigido por la normativa en encargos de tratamiento de datos personales.

En este sentido, es necesario resaltar la última sanción impuesta a Vodafone. Ya que, entre los incumplimientos sancionados por la AEPD, se encuentra una negligente falta de vigilancia de las garantías de cumplimiento normativo ofrecidas por sus subcontratistas. Los cuales realizaban acciones de mercadotecnia, sin obtener el consentimiento previo e informado de los clientes potenciales y sin comprobar las ya famosas listas de exclusión publicitarias (como la Lista Robinson). Si bien, estas empresas subcontratadas contaban con un margen en la toma de sus decisiones, lo cierto es que la Agencia considera que éstas carecen de un interés propio de realizar el tratamiento, teniendo, en consecuencia, el papel de encargados de un tratamiento, recibiendo instrucciones de la empresa sancionada.

Incluso las administraciones públicas son objeto de las sanciones de la Autoridad de control española. Por ejemplo, el Ayuntamiento de Huércal (Almería) fue sancionado como consecuencia de no haber nombrado al correspondiente Delegado de Protección de Datos, como establece la normativa europea y nacional.

A través de los poderes sancionadores y coercitivos la AEPD también han realizado apercibimientos a empresas de diferentes sectores por descuidar los procesos de obtención de datos personales en sitios web, así como por otros incumplimientos. La razón para que algunos procedimientos terminen con un mero apercibimiento es consecuencia de que el responsable o encargado del tratamiento investigado, reconozca su incumplimiento y proceda a su subsanación de manera inmediata.

Ante este aluvión de sanciones impuestas recientemente, ¿qué deben hacer los responsables del tratamiento?

Incorporar al desarrollo de su actividad comercial y mercantil las herramientas y medios necesarios para asegurar el cumplimiento de la normativa. Lo cual puede conllevar invertir en softwares que ayuden al cumplimiento de las obligaciones que requieren una vigilancia y mantenimiento exigido por las normas. Y, cuando resulte necesario, contar con el asesoramiento legal de un experto en la materia. Teniendo en cuenta que la adaptación, a coste cero, es una nueva versión del timo de la estampita.

Por otro lado, no quedarse a medias en el cumplimiento de la normativa. La AEPD deja claro que ya no sirve adaptar los procesos visibles de cara al público. Es necesario que los responsables del tratamiento apliquen las medidas necesarias para cumplir los requisitos que impone la normativa a lo largo de todo el ciclo de la vida de los datos. No realizar lo justo para dar apariencia de cumplimiento.

Tener un control real sobre los datos personales que ha obtenido y trata la empresa. Es decir, se requiere implementar los controles necesarios para asegurar que en la subcontratación de tratamiento de datos (encargos), se cumplen las exigencias y requisitos que establece la normativa. Y que cuando se requiera la contratación de servicios externos, tanto dentro del Espacio Económico Europea, como fuera de él, se deberán realizar las acciones necesarias para decidir cuál es el proveedor adecuado para este servicio.

En vista de la actual actividad de la Agencia y del incremento de las cuantías de las sanciones, está claro que el dinero que inviertan los responsables del tratamiento, tanto en la adaptación a las obligaciones establecidas en la normativa, como en el mantenimiento de sus planes de cumplimiento, será dinero bien invertido. Esta inversión, además de mitigar el riesgo de ser objeto de sanciones, incide de manera directa en la imagen que los consumidores y clientes tienen de las empresas que acaban contratando: pérdida de confianza y daño reputacional. 

Publicar un comentario
Para enviar su comentario debe confirmar que ha leido y aceptado el reglamento de terminos y condiciones de LPO
Comentarios
Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellas pueden ser pasibles de las sanciones legales que correspondan. Aquel usuario que incluya en sus mensajes algun comentario violatorio del reglamento de terminos y condiciones será eliminado e inhabilitado para volver a comentar.