Llevamos meses con el Reglamento General de Protección de Datos en activo, y ya hemos visto por todas partes noticias sobre su incumplimiento. Filtraciones de datos, abusos por parte de empresas, venta de información, y la falta de la figura del delegado como tónica habitual.

Parece que la importancia y la necesidad de proteger la información sensible que manejamos desde las empresas, ya sea de clientes o proveedores, todavía no ha calado de forma directa en la conciencia de algunas marcas. Y las multas empiezan a asomar cabeza.

Hoy queremos mostraros los varemos de mínimos y máximos que pueden llegar a alcanzar estas sanciones, por incumplimiento tanto de la LOPD como del RGPD:

 

  • INFRACCIONES LEVES: 

    • LOPD: Entre 900€ y 40.000€.
    • RGPD: Hasta 10.000.000 o el 2% del volumen de negocio anual global del ejercicio financiero anterior.

 

  • INFRACCIONES GRAVES: 

    • LOPD: Entre 40.001€ y 600.000€ en caso de grave o muy grave.
    • RGPD: Hasta 20.000.000 o el 4% del volumen de negocio anual global del ejercicio financiero anterior.

Criterio para definir las multas

 

Las sanciones parecen elevadas, pero es cierto que se aplican en función de la gravedad de cada caso en concreto y siempre con la ley en mano.

Por ello, debe de ser de vital importancia que las empresas se preocupen de cumplir las obligaciones que establece la normativa y garanticen la protección de los datos personales que tienen en su poder.

 

«Menos de un 30% de las empresas han aplicado las medidas necesarias para adaptarse al RGPD.»

 

El régimen sancionador actual en materia de protección de datos se basa en el Reglamento (UE) 2016/679 y el Título IX de la LOPDGDD.

Cada multa se impondrá de acuerdo a las circunstancias de cada caso, y la decisión y cuantía serán impuestas en relación a:

– La naturaleza, gravedad y duración de la infracción.
– Intencionalidad o negligencia en la infracción.
– Medidas tomadas por el responsable o encargado del tratamiento para paliar los daños
y perjuicios.
– Grado de responsabilidad del responsable o del encargado del tratamiento.
– Las infracciones anteriores.
– La cooperación con la autoridad de control.
– Las categorías de datos afectados por la infracción.
– La forma en que la autoridad de control tuvo conocimiento de la infracción.
– Se hayan ordenado a responsable o encargado alguna de las medidas del artículo 58
del RGPD.
– Adhesión a códigos de conducta.
– Otros factores atenuantes o agravantes.

Además, la LOPDGDD añade a este listado otros aspectos a tener en cuenta a la hora de la decisión y cuantía a imponer:

– El carácter continuado de la infracción (reincidencia).
– La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales.
– Los beneficios obtenidos como consecuencia de la comisión de la infracción.
– La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de
la infracción.
– La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
– La afectación a los derechos de los menores.
– Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
– El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.

 

Primeras sanciones

 

Ya conocemos las primeras sanciones por incumplimiento:

 

  • CASA AUTRIACA DE APUESTAS:

En octubre de 2018 una casa de apuestas en Austria fue la que recibió la primera multa por incumplimiento del RGPD. Con una multa de 4.800 € tuvo que hacer frente a la acusación de disponer de una cámara de seguridad que grababa parte de la acera.

La vigilancia a gran escala de espacios públicos está prohibido por el RGPD. Además esta empresa no informaba adecuadamente de la realización de vídeo vigilancia, lo que significaba que tampoco cumplía con las obligaciones de transparencia.

 

  • HOSPITAL LUSO: 

También en octubre se informó públicamente de otra sanción, en este caso la más importante hasta el momento, relacionada con el tratamiento y almacenamiento de datos personales.

La autoridad de Protección de Datos de Portugal impuso tres multas al Hospital do Barreiro: dos sanciones de 150.000 euros y otra de 100.000 euros. Las primeras dos multas de 150 mil euros fueron por violación del principio de confidencialidad, y la violación del principio de la minimización de los datos, que en teoría previene su acceso indiscriminado.

Había 985 médicos del hospital que tenían cuentas activas en el sistema que les daba acceso a expedientes clínicos, mientras el hospital tenía solo 296 médicos activos en la fecha de la inspección.

Se entendió que el Hospital actuó deliberadamente, sabiendo que era obligatorio aplicar las medidas técnicas y organizativas esenciales para:

  • Identificación y autenticación de los usuarios,
  • Administración y delimitación de su acceso a los perfiles de información
  • Garantía de la seguridad de la información

En total, el Hospital ha tenido que pagar un importe de 400.000 euros.

El Hospital fue incapaz de asegurar la confidencialidad e integridad de los datos personales de sus clientes.

 

¿Y en España?

 

En nuestro país, de momento no se ha dado a conocer ninguna sanción por incumplimiento de la normativa de Protección de Datos. Aunque sabemos, que aunque las empresas han corrido contrarreloj para adaptarse a la nueva normativa en breve se conocerán las primeras sanciones importantes en nuestro país.

 

Algunas afirmaciones para reflexionar…

 

  • Leonardo Cerveras, supervisor europeo de Protección de Datos: «Veremos multas importantes por Protección de Datos en pocos meses»
  • Cuanto más pequeña es la empresa, mayor desconocimiento tiene de sus obligaciones en materia de Protección de Datos.
  • Una sanción por incumplimiento del RGPD puede hundir una pyme.
  • Según un informe publicado recientemente por la Agencia Española de Protección de Datos (APED) existe una cierta resistencia a la actualización de las empresas a la nueva normativa.

 

¿Cómo evitar las multas?

 

No cometas los siguientes errores en tu empresa que siguen siendo los habituales en esta materia:

  1. Uso de formularios incorrectos para recabar datos y consentimiento.
  2. Comunicaciones electrónicas de carácter comercial a personas con un consentimiento anterior no válido desde la perspectiva del RGPD.
  3. No disponer de contratos o documentos jurídicamente vinculantes con sus encargados de tratamiento.

Nuestro consejo es que si no controlas este tema te dejes asesorar por expertos en la materia, que por supuesto evitaron estas sanciones y mantendrán tu negocio seguro y fuera de preocupaciones.

 

ZENIT CONSULTORES

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies