La autoridad de control de protección de datos española, en adelante (AEPD), es una de las autoridades europeas que más sanciones ha impuesto desde la aplicación del Reglamento General de Protección de Datos (RGPD). Estábamos acostumbrados a que la mayoría de multas económicas recayeran sobre grandes multinacionales o grupos de empresas por muy variados motivos. Siendo las principales las del sector de telecomunicaciones.
Sin embargo, la realidad durante estos dos años de aplicación del RGPD es que no solamente estas grandes entidades son multadas, sino que, muchas de las sanciones y apercibimientos de la AEPD recaen en pequeñas y medianas empresas e incluso en personas físicas que incumplen los principios fundamentales de la normativa de protección de datos.
¿Cómo evitar estar en el ojo de mira de la AEPD? ¿Cómo me libro de las sanciones?
La mayoría de las pymes solamente se preocupan de las sanciones cuando ya les ha llegado la notificación de la AEPD requiriéndoles información previa del hecho sancionable. En este primer paso, en el procedimiento de investigaciones, se nos solicitará muy variada información y documentación para comprobar que estamos tratando los datos personales conforme a lo requerido por la ley. Por eso, es muy importante que tengamos un protocolo en materia de protección de datos personales adecuado y actualizado a la cambiante normativa.
Así, por ejemplo, nos pueden pedir que aportemos el cartel de videovigilancia cumplimentado, indicando la finalidad, la legitimación del tratamiento y la información que se le ha facilitado al interesado en relación con sus derechos. Este es el caso de muchos establecimientos que no han podido aportar esos documentos. Como consecuencia han sido sancionados con multas de hasta 4.000 euros por no informar debidamente a sus clientes y trabajadores de la utilización de videocámaras en sus instalaciones. En concreto el caso de un pequeño local, que fue multado con 3.000 euros por no tener en sus instalaciones un cartel adecuado a la norma. Además, en esta ocasión, se agravó la sanción puesto que ya había sido apercibido y no implantó las medidas que la AEPD le había requerido la primera vez que fue reclamado.
Hay que estar preparado para la llegada de las posibles reclamaciones
Cada vez más, los interesados (personas físicas, trabajadores…) hacen valer sus derechos digitales. Están más concienciados de cómo tratamos sus datos personales y que hacemos con ellos una vez que dejan de tener validez. Son muchas las reclamaciones de interesados que llegan hasta la AEPD, por ejemplo, porque no se han atendido debidamente sus derechos. Es el caso de la negligencia de la empresa AVIS ALQUILE UN COCHE S.A, que fue sancionado con 10.000 euros porque no llevó a cabo la rectificación de los datos que le había solicitado el interesado.
También tenemos que tener en cuenta que en el mundo digitalizado en el que nos encontramos, las empresas tienen que incorporar todos los protocolos y medidas de seguridad adecuadas para evitar brechas de seguridad en sus sistemas informáticos. Algo que no tuvo en cuenta la entidad SAUNIER-TEC, MANTENIMIENTOS DE CALORY FRIO ,S.L sancionada con 6.000 euros por no actuar correctamente en la gestión de una brecha de seguridad ocurrida en sus sistemas informáticos. La cuenta de correo de la entidad fue hackeada y no se llevó a cabo la notificación a la AEPD ni tampoco a los afectados.
Son muchas las gestiones y requisitos necesarios para que el tratamiento de los datos personales que realizan las empresas se realicen siguiendo lo dispuesto por la normativa en protección de datos.
Julio César Miguel Pérez
CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, ciberseguridad, protección de datos personales y comercio electrónico.