De la mateixa manera que les empreses i autònoms compleixen la Llei Tributària o la Legislació Laboral, és imprescindible que tots aquells que tractin dades personals compleixin amb el Reglament Europeu de Protecció de Dades (RGPD) i normativa que el desenvolupi en cada estat membre de la UE (a Espanya, la Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals -LOPDGDD-).
Les infraccions en aquesta matèria comporten les sancions més elevades que existeixen a la Unió Europea: estem parlant de sancions que oscil·len entre els 10.000.000 € o el 2 % del volum de negoci total anual global de l’exercici financer anterior fins als 20.000.000 € o el 4 % del volum de negoci total anual global de l’exercici financer anterior (infraccions greus i molt greus respectivament).
A més, si així ho estima oportú l’Agència de Protecció de Dades, pot acordar la immobilització dels fitxers on s’emmagatzemen les dades, provocant que certa activitat de l’empresa quedi paralitzada. Us imagineu el mal que pot produir?
Anirem desgranant aquests conceptes per entendre millor quan podem estar cometent una infracció i poder ser sancionats per aquests motius.
Quins tipus de sancions hi ha en protecció de dades?
El RGPD imposa les sancions en funció de les infraccions, catalogades com a greus (quan els responsables o encarregats de tractament incompleixen el Reglament, no s’informa degudament als interessats, contractar encarregats del tractament que no ofereixin garanties suficients de compliment del RGPD o falta d’adopció de mesures tècniques i organitzatives per al tractament de dades, entre d’altres) o molt greus (a empreses que han vulnerat els drets dels interessats, si no s’ha recollit el consentiment de forma correcta, no haver respectat els principis del RGPD o si s’han transferit les dades personals a una entitat en un tercer país o organització internacional sense les garanties adequades, entre d’altres).
La LOPDGDD matisa què disposa el RGPD, i estableix una imposició de les sancions en funció de la tipificació de les infraccions, dividides entre lleus, greus o molt greus. Així doncs, si bé les infraccions són les mateixes, el règim estatal les divideix en:
Molt greus, que suposen un incompliment fonamental del tractament i tenen a veure amb:
- L’ús de les dades per a una finalitat diferent a la pactada,
- Omissió, per exemple, del deure d’informar o fer-ho de forma incorrecta,
- Exigir un pagament per a l’exercici dels drets dels interessats o
- Transferir dades internacionalment sense garanties.
– Greus, que suposen una vulneració fonamental del tractament i tenen a veure amb:
- Demanar dades de menors sense consentiment,
- No adoptar mesures tècniques o organitzatives efectives per a protegir les dades o
- No nomenar un delegat de protecció de dades.
– Finalment, les lleus, no contemplades en els grups anteriors, com:
- No ser transparents amb la informació,
- Incomplir el deure d’informar quan un interessat l’hagi sol·licitat o
- Incomplir les obligacions per part d’un encarregat de tractament
Prescriuen les infraccions i sancions en protecció de dades?
Sí. Les molt greus prescriuen als 3 anys, les greus als 2 i les lleus a l’any.
Què és “el apercibimiento” (advertència)?
En determinats casos, el RGPD substitueix les sancions pel que es coneix com “apercibimiento“, que és una notificació perquè l’infractor adopti les mesures correctores que s’hi indiquen. En aquests casos sempre serà l’Autoritat de Control qui decidirà si imposa una sanció econòmica o un advertiment, en funció de la naturalesa dels fets sancionats. Aquesta és una mesura excepcional, però això no obsta perquè la pròpia AEPD l’hagi utilitzat quan veu que la infracció ha estat comesa per desconeixement. No obstant això, si els fets són més greus, no hi ha aquesta possibilitat.
Quan es rep una advertència d’aquest tipus, s’haurà d’acreditar que s’han pres totes les mesures sol·licitades per l’Agència. Si no, la multa pot arribar fins a la quantitat màxima.
Hi ha cap tipus de graduació en les sancions de protecció de dades?
El RGPD enumera una sèrie de factors que es podran tenir en compte, i que seran agreujants o atenuants, en funció de les circumstàncies del cas (art. 83.2 RGPD); la LOPDGDD afegeix a aquest llistat més criteris de graduació als ja previstos al RGPD.
D’aquesta manera, la sanció es pot veure reduïda o agreujada depenent de la infracció comesa, el volum de negoci de l’infractor, el grau d’intencionalitat i negligència en la infracció, el grau de responsabilitat del Responsable i/o Encarregat de Tractament, si existeix o no reincidència, categoria de dades personals i el volum de dades que s’ha vist exposat, si s’ha notificat i col·laborat amb l’autoritat de control, l’adhesió a Codis de Conductes i altres factors com ara beneficis obtinguts, pèrdues evitades…
Qui són els subjectes responsables?
Els subjectes objecte de sanció són els responsables dels tractaments, els encarregats dels tractaments, els representants dels responsables o encarregats no establerts en el territori de la Unió Europea, les entitats de certificació i les entitats acreditades de supervisió dels codis de conducta.
És important ressaltar que els delegats de Protecció de Dades (DPD) no són objecte de sanció.
D’on poden vindre les denúncies?
La pròpia AEPD pot, d’ofici, incoar actuacions d’inspecció, tanmateix les denúncies normalment provenen a instància de part, per un client descontent, ex-empleats, o interessats que veuen els seus drets i llibertats vulnerats mitjançant denúncies que poden realitzar-se a través del canal de denúncies a la seu electrònica de l’AEPD.
Quina és l’entitat competent per a decidir les sancions?
Cada estat membre disposa d’una o diverses autoritats de control que s’encarreguen de vetllar per l’aplicació i compliment del RGPD (a Espanya hi ha l’Agència Espanyola de Protecció de Dades, l’Autoritat Basca de Protecció de Dades i l’Autoritat Catalana de Protecció de Dades) i són aquestes les que tenen com a missió també investigar aquest tipus d’actuacions, i si determinen que s’ha infringit la normativa, incoar el corresponent procediment sancionador. Entre les diferents competències que el Reglament els atribueix es troba el poder correctiu, que inclou la facultat de sancionar aquelles activitats que infringeixin el que disposa el RGPD.
Exemples de sancions en protecció de dades més elevades a nivell Europeu
– BRITISH AIRWAYS (AUTORITAT PD REGNE UNIT), 204.000.000 € per aplicació de mesures de Seguretat inadequades,
– MARRIOT HOTELES (AUTORITAT PD REGNE UNIT), 110.000.000 € per aplicació de mesures de Seguretat inadequades,
– GOOGLE (CNIL França), 50.000.000 € per manca de transparència en la informació proporcionada i falta de consentiment vàlid en la personalització de la publicitat,
– OFICINA DE CORREUS AUSTRÍACA (AUTORITAT PD D’ÀUSTRIA), 18.000.000 € per processar categories especials de dades personals (opinions polítiques) a l’atribuir preferències cap a certs partits polítics als interessats utilitzant mètodes de càlcul estadístics. En absència d’un consentiment explícit donat pels interessats en qüestió i en absència de qualsevol altra base legal per processar aquestes dades, la DSB va considerar que això era contradictori al que disposa el RGPD,
– DEUTSCHE WOHNEN SE (AUTORITAT DE PD BERLÍN), 14.500.000 €, immobiliària que guardava les dades personals de llogaters sense verificar si el seu arxiu era legal o fins i tot necessari, guardar més temps del necessari i sense aplicar mesures de Seguretat, i
– BBVA (AEPD), 5.000.000 € per 2 infraccions: una molt greu, de 3 milions d’euros, per vulnerar l’article 6 del Reglament General de Protecció de Dades (RGPD), pel que fa a la fórmula utilitzada per obtenir el consentiment dels seus clients. I una altra lleu, de 2 milions d’euros, per les dades obtingudes de l’interessat, que suposen una vulneració dels articles 13 i 14 de l’RGPD.
Exemples de sancions espanyoles en protecció de dades
A continuació, us detallem diversos exemples recents de sancions imposades per l’AEPD:
- Sanció de 5.000 € a partit polític per enviar una comunicació política sense el consentiment exprés.
- Sanció de 3.000 € a empresa per no disposar de política de cookies .
- Sanció de 3.000 € a particular al tenir instal·lat un sistema de càmeres de vídeo-vigilància que obté imatges d’espai públic.
- Sanció de 1.500 € a empresa de mòbils per no constar el responsable en l’Avís Legal, ni disposar de Política de Privacitat a la seva pàgina web.
- Sanció de 2.500 € a immobiliària per comunicar sense autorització dades de caràcter personal a un tercer.
- Sancions de 50.000 i 80.000 € a companyia elèctrica per tractament il·lícit de dades de caràcter personal.
- Sanció de 1.500 € a cafeteria per col·locar càmeres en espais públics.
- Sanció de 60.000 € a empresa de telefonia per tractament il·lícit de les dades d’un particular.
- Sanció de 20.000 € a companyia aèria per no cancel·lar les dades d’un usuari i enviar-li comunicacions comercials.
- Sanció de 10.000 € a un particular per publicar per WhatsApp fotos compromeses d’un company de treball.
- Sanció Ikea de 10.000 € per utilitzar cookies (galetes) incomplint la LSSICE.
- Sanció RTVE de 60.000 € per pèrdua de pendrives que contenien dades personals.
Com sabeu, a la nostra newsletter quinzenal sempre us adjuntem una secció amb les sancions més recents, però es rellevant tenir en compte que ja no son només sancions focalitzades a grans corporacions sinó que impacten directament a pimes que no apliquen correctament la normativa.
Si voleu ampliar informació sobre les reclamacions i sancions per part de la AEPD teniu un informe detallat a la seva memòria anual 2019 (pàg. 106).
En conclusió,
L’establiment de la quantia tan desorbitant per a les sancions és clarament dissuasiu, pretenent que l’Administració i les empreses es vegin obligades a complir correctament amb la normativa de protecció de dades ja que com a ciutadans de la Unió Europea tenim el dret a tenir la nostra privacitat sota control.
Per a tota entitat que tracti dades personals és molt important conèixer quan pot estar infringint la normativa, ja que una sanció d’aquest tipus, més enllà dels riscos que una mala gestió aconsegueix provocar, pot ocasionar danys ingents tant en la seva reputació com en el seu compte de resultats, i moltes vegades poden ser provocats pel simple desconeixement en matèria de protecció de dades.
Un bon assessorament en aquestes matèries és la base fonamental per evitar les sancions.
L’equip de PymeLegal.