Lunes, 22 Febrero 2021

Las sanciones por incumplimiento del Reglamento General de Protección de Datos van en serio

VolverLlevamos tan solo dos años y medio desde que el Reglamento General de Protección de Datos (en adelante RGPD) es de aplicación y las multas que se han impuesto en virtud del mismo han aumentado casi un 50% aproximadamente en este último año, según algunas fuentes.

Algunos de los esfuerzos hechos hasta ahora de algunas empresas en adaptar su negocio a la nueva RGPD parece que no ha sido del todo exitoso, a la vista de las multas que se vienen imponiendo por parte de la Agencia Española de Protección de Datos (en adelante AEPD). ¿Qué se está haciendo mal en la adaptación del RGPD? ¿Cuáles son las empresas que incumplen la normativa? ¿A cuánto están ascendiendo las sanciones? 

Desde el 25 de mayo de 2018 es obligatoria la aplicación del Reglamento General de Protección de Datos. Momentos previos a su aplicabilidad obligatoria nos pusimos manos a la obra en la adaptación de contratos, cláusulas contractuales, páginas web, logística interna de empresas, etc., pero no cabe duda que flecos siempre quedan en las adaptaciones, y sobre todo cuando es a consecuencia de legislaciones novedosas con respecto a las anteriores ya utilizadas en cada país europeo. Se dieron innumerables sesiones de seminarios y mesas redondas a fin de explicar lo novedoso del nuevo RGPD y cómo adaptar el mismo a nuestros negocios. No obstante, desde que el referido Reglamento fue una realidad práctica se han ido haciendo las pertinentes inspecciones y planteando quejas ante la Agencia Española de Protección de Datos (AEPD), dando lugar en algunos casos a sanciones elevadas. A continuación, explicamos brevemente las últimas sanciones que nos han llamado más la atención, así como los preceptos que la AEPD entiende incumplidos en su dictamen final.

De las sanciones más destacadas publicadas recientemente por la AEPD y comentadas por la prensa han sido las impuestas en los meses de diciembre de 2020 y enero de 2021 a dos entidades bancaria; las sanciones ascendían a 5 y 6 millones de Euros respectivamente por incumplimiento de los artículos 6, 13 y 14 RGPD. Estas dos sanciones se impusieron por el mismo motivo: falta de licitud del tratamiento y de la información facilitada al cliente para el uso de los datos. Ambas sanciones son bastante coincidentes por la tipología de infracción cometida, así como por la cuantificación de la sanción pecuniaria. En cuanto a la infracción de los artículos 13 y 14 RGPD, infracción del deber de información, en ambas se estimaba que no se informaba lo suficientemente claro sobre el tratamiento de los datos personales, ni de las finalidades para los que serán utilizados los datos recogidos en los diferentes documentos de cada expediente sancionador concreto.

Si bien el artículo 13.1 RGPD indica que el responsable del tratamiento deberá de informar a los interesados la identidad y los datos de contacto del responsable, los datos de contacto del delegado de protección de datos, en su caso, los fines del tratamiento a los que son destinados los datos personales, los diferentes destinatarios de los datos personales, así como la intencionalidad de transferir los datos personales a un tercer país por parte del responsable; lo cierto es que tras la investigación llevada a cabo por la AEPD de estas dos entidades bancarias, se entendía que incumplían el precepto citado. Según entiende la AEPD, en los documentos contractuales analizados, se contenían expresiones poco claras y ambiguas para el tratamiento de los datos personales, como por ejemplo “conocerte mejor y mejorar tu experiencia”, “ofrecerte productos y servicios… personalizados para ti”, “ofertas comerciales ajustadas a sus necesidades y preferencias”, etc. Esta terminología se entiende poco transparente, dado que no permite conocer el significado claro y real del tratamiento y el alcance del consentimiento.

Una de las entidades bancarias sancionadas no informaba de qué tipos de datos personales serían usados para cada una de las finalidades, impidiendo de esta manera conocer por parte del afectado todas las categorías de datos personales que serían utilizadas por la entidad. Tampoco se informaba claramente sobre las finalidades del tratamiento de los datos, la finalidad no estaba descrita con la suficiente claridad para que el cliente pudiese conocer como serían tratados sus datos personales. En una de las entidades se daba el caso de que la información facilitada para el ejercicio de los derechos por parte del interesado eran los derechos recogidos en la antigua Ley Orgánica de Protección de Datos.

En cuanto a la infracción del principio de licitud del tratamiento del artículo 6 RGPD, la AEPD entendía, entre otras circunstancias, que el consentimiento no era específico en tanto que las diversas finalidades del tratamiento se agrupaban en una sola manifestación, sin dar la opción de que el interesado pudiese dar su consentimiento para uno o varios fines específicos. Del mismo modo, la otra entidad bancaria carecía de un mecanismo para recabar el consentimiento de los clientes de forma granular. Por todo lo expuesto, la AEPD resolvía imponiendo las dos sanciones de 5 y 6 millones de Euros, de las sanciones más altas que se han impuesto en España por infringir el RGPD.

Otras sanciones de menor envergadura que las anteriores, son las impuestas a empresas de telefonía, otras entidades bancarias y entidades deportivas, por el incumplimiento del artículo 6 por la falta de la licitud del tratamiento de los datos personales, por tratar datos erróneos atribuidos al reclamante o incluso por tratar datos derivados de contratos fraudulentos realizados por terceras personas distintas del interesado. También cabe destacar la infracción del artículo 5 RGPD en relación con la falta de licitud, lealtad y transparencia y la falta de integridad y confidencialidad de los datos, o por el incumplimiento del plazo de conservación de los datos. Las sanciones interpuestas a estas empresas han oscilado entre los 250.000 Euros y los 50.000 Euros.

Por todo lo anteriormente expuesto, parece que la AEPD no va en broma y tras ejercer sus derechos los interesados interponiendo reclamaciones, muchas de ellas están acabando en sanciones pecuniarias, algunas de ellas bastante elevadas como hemos podido señalar. Es por ello que desde el Departamento de Derecho Mercantil de Belzuz Abogados, S.L.P., y con nuestra amplia experiencia en el sector del Derecho de Protección de Datos, queremos recordar a nuestros lectores una vez más la importancia de mantener una revisión activa y periódica de las políticas de privacidad de la empresa. E igualmente en cuanto a nuestras herramientas de trabajo, como pueden ser los contratos marco, los contratos de confidencialidad, el consentimiento para el tratamiento de datos, y no menos importante, la revisión de los textos legales de la página web (aviso legal, política de privacidad, política de cookies).

Departamento Derecho mercantil y societario | Madrid (España)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa