Hoy es 28 de enero y en GrupoIWI estamos de celebración, es el Día Europeo de la Protección de Datos. Y es que nos apasiona tanto lo que hacemos que así lo vivimos: ¡celebrándolo! Y lo hacemos junto a entidades como el Instituto Nacional de Ciberseguridad de España (INCIBE) (ver publicación).
A pesar de lo que se pueda creer, este día no es tan reciente como por ejemplo el RGPD, sino que se viene conmemorando desde el año 2006, momento en el que la Comisión Europea decidió poner en marcha esta iniciativa.
¿Y qué mejor día que este para hacer un pequeño balance de los casi tres años de total aplicación del RGPD?
¿Cuáles han sido los beneficios?
Como todos sabemos, los mayores beneficiados tras el cambio normativo han sido los propios ciudadanos, a los que se les ha dotado de un mayor control sobre qué sí y que no consienten que hagamos las empresas con sus datos:
- Poder conocer con mayor detalle (y en dos capas) quién es el responsable del tratamiento de sus datos.
- Saber y consentir si se van a producir cesiones de los mismos.
- Conocer en todo momento qué derechos tienen.
- Contar con un organismo, como es la AEPD, al que van a poder acudir para esgrimir sus derechos, etc.
¿Qué ha supuesto para las empresas?
Lógicamente esto supone (aunque no tanto como a veces se cree) un mayor esfuerzo por parte de las empresas para poder facilitar toda la información a los interesados en el momento que se procede a recoger sus datos, sobre todo un cambio de mentalidad:
- Interiorizar los principios en los que se sustenta el RGPD.
- Tener que ser imaginativos a la hora de conseguir el consentimiento para poder seguir enviando comunicaciones comerciales.
- Analizar los riesgos que pueden existir en la entidad de cara a elaborar el preceptivo análisis de riesgos.
- Llevar un registro de las actividades de tratamiento que se realizan.
- Tener que establecer unos protocolos que permitan eliminar los datos personales una vez ya no son necesarios para la finalidad para la que fueron recabados.
Empresa vs. Persona
Ahora bien, las empresas las conformamos personas, así que, en base a esta dualidad (empresa vs. persona), ¿no es lógico creer que ese pequeño esfuerzo por cumplir con la normativa en el ámbito empresarial nos va a beneficiar a todos en nuestro ámbito privado?
Nosotros apostamos por que la respuesta debería ser afirmativa.
A día de hoy siguen siendo numerosas las empresas que no cumplen con la normativa de protección de datos. En ocasiones por desconocimiento de la misma, otras por dejadez y en no pocos casos por el convencimiento de que es complicado estar al día. Este último motivo es infundado, un gran número de empresas a las que ayudamos a cumplir con la normativa de protección de datos se asombran al ver que, realmente, “no era para tanto”. Y es que si te apoyas en un servicio de consultoría en protección de datos, sigues unos protocolos y modificas algunos de los procedimientos de la empresa, estarías cumpliendo con la normativa de protección de datos. Con la tranquilidad que te ofrece contar con expertos en la materia que mantendrán tu entidad actualizada en todo momento.
Lo realmente importante es la PROACTIVIDAD
No obstante, es importante tener en cuenta un concepto que introdujo el RGPD, y es el de la proactividad (Accountability, que dicen los ingleses). Esto que implica que, una vez realizada la implementación del RGPD y de la Ley Orgánica 3/2018, hay que seguir “currándoselo” día a día para continuar protegiendo los datos personales que se manejan. Porque, siendo totalmente sinceros, eso de “yo pago y me olvido” ya no tiene cabida en la Unión Europea.
Sea como fuere, el no cumplir con la normativa de protección de datos supone un importante riesgo de ser sancionado por la AEPD. Durante un tiempo, hemos sido testigos de como la Agencia ha sido laxa en cuanto a las sanciones impuestas (múltiples procedimientos finalizados mediante un apercibimiento), motivada seguramente por conceder un plazo prudencial a todas las entidades para que pudieran adaptarse al cambio normativo. Hoy, parece que la agencia considera que ese plazo ya ha finalizado y las sanciones empiezan a ser económicas.
¡Te pueden sancionar!
Sin ir más lejos, este 2021 lo hemos comenzado con dos sanciones a Caixabank. Sanciones por un importe de 6 millones de euros por dos infracciones: incumplir el artículo 6 y quebrantar los artículos 13 y 14 del RGPD. Pero no pienses que sólo se imponen sanciones a grandes corporaciones…
Estas son algunas sanciones recientes impuestas por la AEPD:
- Sanción de 4.000 euros a una tienda online de ropa por enviar sms de carácter comercial a un interesado sin contar con el consentimiento para ello, además de que dicho interesado se encontraba inscrito en la Lista Robinson. Finalmente, el procedimiento terminó por proceder la entidad al pago voluntario, por lo que la sanción se vió reducida a 2.400 euros.
- Sanción de 10.000 euros al titular de una página web de venta online de complementos por indicar en la política de privacidad de la misma que el suministro de datos personales requiere de una edad mínima de 13 años. Nuestra ley nacional en esta materia (LOPDGDD) establece una edad mínima de 14 años.
- Sanción a un autónomo con 2.000 euros por colocar cámaras de videovigilancia en su vivienda y nave industrial donde almacena el material para el desarrollo de su actividad empresarial orientadas hacia el espacio público, afectando a los derechos de terceros sin causa justificada. Este procedimiento finalizó a raíz del pago voluntario, por lo que el reclamado se vió beneficiado por una reducción en el importe de la sanción, siendo finalmente la misma de 1.200 euros.
- Sanción de 10.000 euros a un despacho de abogados tras el envío de un correo electrónico a varios destinatarios sin utilizar la opción de copia oculta. Se trató de un envío no intencional, pero la AEPD lo calificó de significativo. El procedimiento ha finalizado por pago voluntario del despacho, viéndose la sanción reducida a 6.000 euros.
Y probablemente esto sólo vaya en aumento. Muchos de los procedimientos que a día de hoy se saldan con un apercibimiento pasarán a ser sanciones económicas. Como por ejemplo, y casi con total seguridad, el hecho de no atender solicitudes de ejercicio de derechos.
¡Ahora tocan las páginas web!
De cara a este 2021 se abre un nuevo reto para la AEPD, y es que el pasado 31 de octubre finalizó el plazo para que todas las páginas web tuvieran implementados los nuevos criterios sobre el consentimiento para la instalación de cookies. Estas novedades vienen determinadas por las Directrices 05/2020 del Comité Europeo de Protección de Datos. Se presume que será un arduo trabajo, a día de hoy se estima que alrededor del 70% de las webs no cumple con estas directrices. Y ya están en marcha los primeros procedimientos, en los que se otorga un plazo a los responsables de las páginas web revisadas para que modifiquen ciertos elementos de su política de cookies. Entre los que se encuentran el banner que informa de las mismas y la obligación de introducir la posibilidad de rechazar las cookies.
Conclusiones en el Día Europeo
Como vemos, este balance de los casi tres años de vida del RGPD es positivo para los ciudadanos, quienes tienen un mayor control sobre sus datos. Además, cada vez son más personas las que exigen que las empresas con las que interactúan les garanticen que sus datos están protegidos. Esto a su vez implica que cada día que pasa el número de empresas que apuestan por cumplir con el RGPD va en aumento. Aunque aún estamos lejos de que el 100% los responsables respeten la normativa.
¿Y tú?, ¿cumples correctamente con la normativa?
Por último, y para agradecer tu interés por la protección de los datos de carácter personal que manejas en tu actividad, queremos hacerte un regalo. Descubre, a través del siguiente formulario y de forma totalmente gratuita, cuál es el grado de cumplimiento de la normativa por parte de tu entidad.
Como siempre, y hoy, siendo el Día Europeo de la Protección de Datos, más que nunca, estamos a tu disposición en el 958 415 736 o a través de los otros canales que ponemos a tu disposición.
