Multas e incumplimientos más comunes en protección de datos

VIRGINIA CARABALLO | Desde errores en el sistema de gestión por cruce de datos, hasta denuncias por no poner el cartel de videovigilancia. Estos y otros errores en la gestión de los datos personales de los clientes pueden llevar desde multas de 60.000 a delegaciones españolas de empresas grandes como Telefónica o Vodafone, a 180.000€ por infracciones en la confidencialidad de los datos en Francia o apercibimientos de la Agencia Española de Protección de Datos (AEPD) porque un bar no tiene el cartel de videovigilancia.

 

 

Muchos de estos incumplimientos son por errores de gestión de las empresas, sin tener una intencionalidad, incluso se dan cuestiones de “venganzas” en casos de infracciones por dejadez o desconocimiento. La cuestión es que la Agencia Española de Protección de Datos está manos a la obra con las denuncias que van llegando, cuyas resoluciones se pueden consultar en su página.

Sin duda el ciudadano está más informado sobre sus derechos lo que ‘obliga’ a adaptarse a los cambios en la normativa de protección de datos, aparte de la propia Ley, dado que es el ciudadano el que está tomando la labor de denunciante ante incumplimientos hacia su propia persona o incumplimientos de una entidad, aunque no vaya dirigido a su persona.

Desde la entrada de aplicación del RGPD, los casos de reclamaciones se han incrementado un 33% con respecto de 2017, según la memoria de 2018 presentada por la AEPD, lo que deja ver una mayor conciencia del ciudadano con respecto de sus derechos. También detallan que según los datos publicados por el CIS a más de un 70% de los españoles les preocupa mucho o bastante la protección de sus datos personales.

 

Las denuncias como ‘venganza’ o como competencia

El hecho de no estar adaptado a la legislación supone una debilidad, dado que la entidad que incumpla puede ser objeto de denuncias y con ello de multas que van desde 10 millones de euros o el 2% del volumen de facturación anual de la empresa, hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (seleccionando en ambos casos la cuantía más alta de las dos).

Estos importes se calculan según el volumen de negocio, la actividad, grado de intencionalidad, los perjuicios causados a los involucrados…

Las multas pueden suponer a una pyme el cierre del negocio, teniendo en cuenta que, aunque la multa no llegue a ser económica, incluso un apercibimiento (casos en los que el infractor no tiene una multa económica, sino de medidas correctoras) puede suponer un gran coste económico la inversión técnica y de recursos para cumplir con las sanciones impuestas.

Hay que tener en cuenta que un cliente descontento puede suponer un denunciante en potencia, dado que ante el más mínimo incumplimiento (no responder en tiempo y forma al ejercicio de sus derechos) puede suponer una denuncia ante la AEPD dado que el afectado puede reclamar una indemnización por daños y perjuicios.

También se da la práctica de denuncias por parte de la competencia que detecta una infracción, aunque sea leve, para que la entidad denunciada se vea involucrada en un proceso de reclamaciones que pueda afectarle en su actividad diaria para infringir un daño indirecto.

 

Tipología de las sanciones más comunes

Dentro de las sanciones leves, que suponen un apercibimiento, por el cual la entidad denunciada tiene que tomar las medidas que dicta el proceso sancionador:

1. Disponer de la instalación de un sistema de videovigilancia, sin tener cartel de aviso para informar a los afectados por dicho tratamiento.
2. Envío de correos a clientes sin usar el sistema de copia oculta, dejando al descubierto las direcciones de los afectados.

Sin embargo, la AEPD ha considerado como casos graves cuyos procesos sancionadores se han traducido en multas económicas las siguientes infracciones:

1. Desechar documentos con datos personales en la vía pública.
2. Comunicaciones comerciales sin consentimiento expreso de los interesados por email o SMS, sin haber tenido la entidad ninguna relación comercial con dichos interesados.
3. Publicar datos de empleados en redes sociales.
4. Publicar datos médicos de los clientes por error a través de hipervínculos.
5. Difusión por internet de currículum de un trabajador en red social profesional.

Todas estas infracciones son recopiladas de casos de denuncias presentadas en los últimos dos años, las cuales son debidas a una mala adaptación de la gestión de la información a la nueva normativa o insuficiencia en la seguridad de los datos, así como una carencia en la concienciación y formación de los empleados ante el tratamiento de datos personales en el desarrollo de sus funciones.

 

Casos concretos y multas económicas

Dentro de las más cuantiosas están las telefónicas, cuyas medidas técnicas han causado errores y cruces de datos en los facturados generando a la vez un cobro indebido, así como proporcionar datos personales a personas no autorizadas dentro de las facturas erróneas. Estos casos se dieron con Telefónica (60.000€, resulto en 36.000€ por pronto pago voluntario), Xfera Móviles (50.000€).

La AEPD ha llamado a la puerta de AVON, la compañía cosmética, ya que una de sus distribuidoras de productos les denunció ante el organismo debido a una suplantación de identidad a la hora de cumplimentar el contrato. La empresa además de sufrir un impago de más de 400€, ha tenido que pagar una multa de 56.000€, por incluir a esta persona en ficheros de morosidad por no abonar los productos que adquirió.

En nuestro país vecino, Francia, han multado con 180.000€ a la aseguradora Activa Assurances debido a un error técnico que publicó en su web los documentos de identidad, datos bancarios, historial de infracciones… de sus asegurados, poniendo en peligro la confidencialidad e integridad de los datos de sus clientes.

Volviendo al territorio nacional, la participación ciudadana denunció, a través del ayuntamiento de Barcelona, al dueño de un edificio con sistema de videovigilancia en áreas comunes, donde se desarrollaban servicios sexuales. Y es que tanto los profesionales que realizan su actividad, como aquellos clientes que reciben dichos servicios, quieren guardar su anonimato a través de la confidencialidad. La AEPD le ha multado con 20.000€, además de la obligación de retirar dicho sistema de videovigilancia.

 

Administraciones públicas que no están adaptadas

La directora de la AEPD ya reconocía a comienzos del 2018, antes de la aplicación del RGPD, que las Administraciones tenían muchos puntos pendientes por tratar para cumplir la normativa europea (RGPD).

Por las sanciones publicadas, vemos que las administraciones públicas tampoco se libran del radar de la AEPD, lo que aporta más seguridad aún a los ciudadanos que saben que cualquiera está obligado al cumplimiento de la normativa en materia de protección de datos. Se dan dos casos reseñables:

• La publicación por parte de la propia Comunidad de Madrid de un listado de candidatos para acceder a 30 viviendas de la comunidad cuyos nombre y apellidos, así como domicilio se publicó en BOE por la mismísima administración.
• El propio sindicato que trabajadores del ayuntamiento denunció al Ayuntamiento de Parla, debido a que las instalaciones la sede del Departamento de Servicios Sociales de ese Ayuntamiento hace que trabajadores sociales, educadores, mediadores y psicólogos tengan que compartir despacho atendiendo a la vez a varias familias. Dicho ayuntamiento tendrá que realizar las obras pertinentes para habilitar debidamente las instalaciones o la AEPD podrá resolver una multa económica.