Con la plena aplicación del Reglamento General de Protección de Datos desde 2018, las empresas dejan entrever que siguen sin adaptarse a esta nueva normativa

El año pasado fue bastante movido en los aspectos relativos a sanciones y este año, se presenta parecido.

Así, la Agencia Española de Protección de Datos (AEPD) imponía hace unos días a
CaixaBank dos multas por importe total de 6 millones€ ambas por infracciones del
Reglamento General de Protección de Datos (RGPD), calificadas como leve y muy grave de acuerdo con lo establecido en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

La AEPD considera en su resolución que la entidad bancaria incumple con la obligación de informar sobre la finalidad del tratamiento de los datos personales de sus clientes, así como de incumplir con la adecuada justificación de la base jurídica del tratamiento de los datos, en especial, con relación a los tratamientos basados en el interés legítimo.

La sanción anterior no es más que el punto de partida de un año que promete ser igual de severo para las empresas, y de fructífero para una autoridad de control que, durante 2020, impuso más de cien sanciones.

Algunas de las multas españolas más destacables del año pasado

Fue a principios de 2020 cuando la autoridad de control española comenzó a imponer sus multas más lucrativas como, por ejemplo, la multa a Vodafone, de 120.000€, por infringir los artículos 5 y 6 del RGPD; una de las multas más altas hasta la fecha, atribuidas a la AEPD. De este modo, la empresa de telecomunicaciones continuó siendo castigada por la Agencia a lo largo del año con multas de hasta 100.000€.

A mediados de año, la AEPD revisó y ajustó la guía sobre el uso de las cookies para adecuarla a las directrices europeas emitidas en mayo del mismo año por el Comité Europeo de Protección de Datos. Con ello, llegaron las primeras multas por parte de esta autoridad a empresas como Iberia, por incumplimiento del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), con una cantidad de 30.000€.

Por último, el año finalizó con la imposición de una multa millonaria a otra entidad bancaria, el BBVA. La AEPD estimó en 5 millones€ las infracciones leve y muy grave de los artículos 6, 13 y 14 del RGPD.

Éstas son solo algunas de las multas, las más altas, impuestas por la AEPD a las empresas incumplidoras del RGPD.

Y es que resulta conveniente recordar que el RGPD prevé la imposición de multas administrativas de hasta 20 millones€, como máximo, o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Infracciones que se repiten

En vista de las multas anteriores, cabe plantearse el contenido del articulado vulnerado por las empresas, común en parte de las resoluciones aludidas y en la mayoría de las publicadas por la Agencia.

El RGPD establece que el tratamiento de datos personales solamente será lícito si se basa en uno o más de los fundamentos que lo legitimen (artículo 6 ), como son el consentimiento, la ejecución contractual o el interés legítimo, los cuales no siempre se aplican correctamente.

Asimismo, el Reglamento obliga a informar a los interesados cuyos datos se recaben para su posterior tratamiento de una serie de cuestiones, como la identidad del responsable del tratamiento, la base legitimadora, las finalidades del tratamiento o los derechos que le amparan (artículos 13 y 14 del RGPD).

Esta información se debe proporcionar de una manera concisa, clara y transparente.
Así, en la práctica, se ha podido comprobar que es habitual que la infracción de un artículo conlleva la inobservancia de otro, como sucede en el caso de las resoluciones de las entidades financieras mencionadas antes. Y es que, normalmente, la omisión del deber de información a los interesados acarrea el incumplimiento de la base legitimadora aplicada, pues, al emplear el consentimiento como condición de licitud, se presume como viciado, precisamente, por la falta de información previa y adecuada.

Lo cierto es que es bastante habitual que determinadas empresas no cumplan con los deberes de información y/o recogida del consentimiento de manera clara, transparente y efectiva por el usuario, provocando el incumplimiento de la ley.

Debido a los cambios introducidos también en materia de cookies y tras adoptar los últimos criterios del Comité Europeo de Protección de Datos, estableciendo un período transitorio de adaptación que finalizó en octubre de 2020, las infracciones en este tema podrían ser las próximas sanciones más relevantes.

¿Y qué sucede en la Unión Europea? ¿Se producen situaciones parecidas?
Finalmente, no deja de ser relevante tener en cuenta las multas impuestas por las autoridades de control de protección de datos en la Unión Europea. Nada desdeñables son las sanciones que aplicó la autoridad francesa a Google LLC y Google Irlanda,
de 100 millones€, por habilitar las cookies de su página web sin haber obtenido el consentimiento previo de los usuarios; la multa de Alemania a H&M, de 35 millones, por la obtención ilícita y posterior conservación de información relativa a la vida privada de sus empleados, en la que basar la toma de decisiones laborales o; la impuesta por la autoridad italiana a Telecom Italia (TIM), de 27 millones, por enviar comunicaciones comerciales no solicitadas a sus usuarios.

Como podemos comprobar, han transcurrido casi tres años desde la efectiva aplicación del RGPD, para el próximo mes de mayo y muchas empresas que no son conscientes todavía de la envergadura de la materia, y de cómo puede afectar, no solo a su economía, sino también a su reputación e imagen corporativa.

 

 

Vanesa Alarcón, socia del Departamento TMT de Fieldfisher JAUSAS