Han aumentado considerablemente las sanciones millonarias impuestas por la Agencia Española de Protección de Datos. Esta se ha convertido en líder de sanciones millonarias récord respecto de sus homólogos europeos. Es probable que las sanciones de este tipo continúen, puesto que, aún quedan procesos que han de resolverse en los últimos meses.
¿Cuáles han sido estas principales sanciones?
Todas las resoluciones son de carácter público y se puede acceder a ellas en la página web de la AEPD en su apartado de informes y resoluciones.
El perfil de las entidades a las que la AEPD ha impuesto cuantiosas cantidades económicas son fundamentalmente entidades pertenecientes al sector bancario y entidades de telefonía. Sin embargo, se ha visto cómo la estrategia de la Agencia española ha variado y se ha ampliado el campo de actuación frente a otro tipo de sujetos responsables de cumplir con la normativa en protección de datos, además de la normativa sectorial correspondiente en su ámbito de actuación.
La primera entidad que recibió una sanción millonaria al principio del año 2021 fue Caixabank, S.A, esta ascendió a un total de 6.000.000 de euros. El responsable no realizó un tratamiento de los datos personales de los clientes conforme a la normativa. Sus políticas de privacidad estaban redactadas de forma incoherente. Los clientes tenían que aceptar en las políticas de privacidad la cesión de sus datos a todas las empresas del Grupo. A los interesados no se les daba la posibilidad de rechazar esa cesión a través de un medio tan fácil como el utilizado para darlo. La única opción era enviar una carta de oposición a cada una de las empresas del grupo. La AEPD estimó que el consentimiento facilitado por los clientes no era válido puesto que no se había dado libremente.
Artículos incumplidos por la entidad Caixabank, S.A.
No se cumple con el principio de licitud ya que no existía una legitimación adecuada de las recogidas en el art.6 del RGPD y, además, tampoco se cumple con el deber de informar según el contenido del art. 13 y art. 14 del RGPD.
Seguimos analizando sentencias millonarias, la siguiente recaía sobre la entidad de telefonía Vodafone España, S.A.U. En este caso, la sanción asciende a 8.150.000 euros. La AEPD viene recibiendo desde el año 2018 múltiples reclamaciones contra la entidad acumulando hasta la fecha de la resolución un total de 191. Los afectados manifiestan que habían recibido comunicaciones comerciales a través de llamadas telefónicas, y comunicaciones comerciales electrónicas (SMS y correos electrónicos) a pesar de haber ejercido su derecho de oposición o encontrarse incluidos en la Lista Robinson.
Artículos incumplidos por la entidad Vodafone España, S.A.U.
Los artículos infringidos son los siguientes. Incumplimiento del art. 24 del RGPD, por no aplicar las medidas técnicas y organizativas suficientes para demostrar que el tratamiento es conforme con el reglamento. Se le sanciona también por la falta reiterada de control continuo real, permanente y auditado de los tratamientos realizados por sus encargados, tal y como dispone el art. 28 del RGPD, junto con este incumplimiento, además, se le sanciona por la falta de aplicación de las garantías adecuadas en las transferencias a terceros países realizadas por la entidad, tal y como dispone el art. 44 del RGPD. Se sanciona el envío de comunicaciones comerciales sin consentimiento y a destinatarios que se habían opuesto al mismo, incumpliendo por tanto el art. 21 de la LSSICE. Finalmente, Vodafone España, S.A.U. no facilitaba el derecho de oposición a recibir llamadas comerciales según lo indicado en la LGT, en la que se sanciona la vulneración grave de los derechos de los consumidores y usuarios finales.
¿Las sanciones pueden ser evitables?
Ante esta pregunta, la respuesta es afirmativa. Se pueden evitar, para ello, el conocimiento de la normativa de protección de datos se convierte en algo fundamental para poder actuar con diligencia en el cumplimiento de las obligaciones.
Son varios los sujetos que han de ampliar sus conocimientos en cuanto a normativa de protección de datos se refieren si quieren evitar las sanciones.
Por un lado, el responsable en virtud de su responsabilidad proactiva debe actuar desde el principio del tratamiento de datos personales aplicando medidas técnicas y organizativas apropiadas desde el diseño y por defecto. El grado de conocimiento y formación en la materia por parte del responsable puede ser un punto de inflexión importante a la hora de evitar perder cuantiosas cantidades económicas como hemos podido ver en este post.
El encargado del tratamiento es otro de los sujetos actuantes y que también deberá cumplir con lo aplicado en la normativa para evitar ser sancionado. Tiene que actuar con diligencia y cumplir con todos los requisitos que están regulados en el contrato de acceso a datos firmado con el responsable, así como toda la normativa sectorial que le aplica directamente, según el sector profesional al que pertenezca.
El Delegado de Protección de datos, también como figura esencial de la entidad, tiene que actualizarse de forma continua en la materia para poder actuar de forma diligente en todas las funciones que tiene encomendadas según la normativa.
Conclusión
Son muchos los sujetos de una entidad encargados de cumplir adecuadamente con la normativa de protección de datos. Para ello, la formación adquirida al comienzo de la actividad no es suficiente, puesto que hay continuos cambios en la normativa. Desde el Instituto Superior de Ciberseguridad fomentamos esa formación continuada realizando MasterClass y cursos, facilitando la adquisición de esos conocimientos recogidos en cada nueva actualización. Si quieres formarte en protección de datos y ciberseguridad, éste es tu sitio.