Tabla de Contenidos
Qué es el RGPD
En primer lugar, vamos a recordar que el RGPD entró en vigor en Europa en mayo de 2016 y su aplicación fue obligatoria para todas las empresas de la Unión Europea a partir del 25 de mayo de 2018. En segundo lugar, este hecho hizo que todos los ciudadanos tuvieran un mayor control y seguridad sobre sus datos personales ampliando sus derechos a decidir sobre el tratamiento de los mismos así como a decidir qué información recibir de las empresas. Es decir, estas empresas han tenido que adaptarse y cumplir los siguientes aspectos:
- Obligatoriedad de contar con el consentimiento libre, informado, específico e inequívoco de las personas cuyos datos se vayan a procesar.
- Estar preparado para reportar ante un robo de datos o una brecha de seguridad en un plazo máximo de 72 horas.
- Obligatoriedad de contar con responsable de protección de datos para las empresas que procesen datos de forma sistemática.
- Cumplir con el derecho al olvido, por el cual los ciudadanos tienen derecho a que sus datos sean eliminados si así lo demandan.
- Estar expuesto al riesgo de multas de entre un 2% y un 4% del volumen de negocio global de la empresa por incumplimiento de la norma.
Quién es responsable del cumplimiento del RGPD
Adicionalmente, tanto el RGPD europeo como la LOPD GDD española, recogen el principio de responsabilidad activa de las empresas, que viene a decir que son las compañías quienes tendrán la obligación y la responsabilidad de llevar su propia gestión de riesgo. Deben poder identificar los puntos negros de sus sistemas y sus vulnerabilidades, además de estar obligadas a adoptar medidas necesarias para paliar la situación.
Anteriormente era la Administración Pública la encargada de estos menesteres, fiscalizando a las empresas para detectar las faltas, pero ahora la pelota cae en el tejado de cada empresa con el riesgo de multas elevadas, que según expertos y empresarios no tienen un afán recaudatorio sino que, al contrario, trata de concienciar a las empresas de la Unión Europea de esa necesidad de adoptar medidas fundamentales evitando así la fuga de los datos. En este sentido, hay que cumplir la norma y universalizar una praxis segura en todas las empresas comunitarias. De la misma manera que las empresas tienen el deber de cumplir con el RGPD, debemos saber que cada estado miembro de la UE cuenta con una o varias autoridades de control que velan por el cumplimiento y la puesta en práctica del RGPD.
Tipos de infracciones por incumplimiento del RGPD y sus correspondientes sanciones
Una vez abordado el concepto de RGPD así como las medidas a las cuales las empresas han tenido que adaptarse, vamos a ver la categorización de las infracciones con su correspondiente sanción y ejemplo de compañías sancionadas tanto en Europa como en España.
Actualmente, las infracciones por protección de datos se dividen en 3 categorías: muy graves, graves y leves.
Las Infracciones muy graves del RGPD son aquellas que suponen un incumplimiento sustancial del tratamiento, tienen una plazo de prescripción de 3 años y están relacionadas con:
- El uso de los datos para una finalidad distinta a la acordada.
- Una omisión del deber de correcta información al afectado.
- La exigencia de un pago por acceder a los datos propios almacenados.
- Una transferencia internacional de información sin garantías.
En este caso se sancionará con multas administrativas que pueden alcanzar los 20 millones de euros o, en el caso de una empresa, un importe equivalente al 4% de la facturación anual.
- Quizá la sanción más conocida sea la multa de la autoridad Francesa de Protección de Datos a Google por un importe de 50 millones de euros al considerar que la información sobre el tratamiento de datos personales a disposición de los usuarios era de difícil acceso y comprensión.
- Un segundo ejemplo viene de Reino Unido, donde la autoridad inglesa (ICO) sancionó a British Airways con 204.000.000 € alegando falta de seguridad en la empresa al sufrir una brecha de seguridad y dejar destapada la información de las tarjetas de crédito de 500.000 clientes.
Las infracciones graves del RGPD son las que suponen una vulneración sustancial del tratamiento, tienen un plazo de prescripción de 2 años y están relacionadas con:
- Los datos de un menor recabados sin consentimiento.
- El incumplimiento de nombrar un responsable o encargado de tratamiento de datos.
- La ausencia de medidas técnicas y organizativas necesarias para una protección de datos auténtica.
En este caso se sancionará con multas administrativas que pueden llegar a un importe máximo del 2% de la facturación anual de la empresa.
- Como ejemplo de infracción grave, la AEPD sancionó a Glovo con 25.000 € por incumplimiento del artículo 34 de la LOPD GDD, que recoge de manera clara, sin lugar a interpretaciones, qué empresas deben contar necesariamente con un DPO.
Las infracciones leves del RGPD son el resto no contempladas anteriormente, tienen un plazo de prescripción de 1 año. Por ejemplo:
- El incumplimiento de no informar al afectado cuando lo haya solicitado
- La No transparencia de la información
- El incumplimiento por parte del encargado de sus obligaciones.
Asimismo, recoge el RGPD que, en caso de infracción leve, o si la sanción que probablemente se impusiese constituye una carga desproporcionada para una persona física, en lugar de multa podría imponerse un apercibimiento.
- Respecto a este tipo de infracciones existen numerosas sanciones:
-5.000 € a un partido político por infracción del artículo 5.1 b) del RGPD, por enviar una comunicación política sin el consentimiento expreso
-3.000 € a empresa de móviles por infracción del artículo 13 del RGPD, por no constar de Aviso Legal, ni disponer de Política de Privacidad en su página web.
España el país con mayor número de sanciones del RGPD
Según un estudio realizado por “Finbold” sobre las sanciones por incumplimiento del RGPD, España se lleva la palma como país con mayor número de sanciones. Cuenta con 76 multas por un importe de 1.952.810 €, no hay otro Estado miembro que supere a España en el parámetro referente al número total de multas. Si bien es cierto que tomando como referencia el importe o valor total abonado por la suma de todas las multas asumidas por las personas físicas o jurídicas en un mismo país, España ocuparía la cuarta plaza con Italia con 45.609.000€ a la cabeza, seguida de Suecia con 7.031.800€ y Países Bajos con 2.080.000€.
Conclusiones
A modo cierre, podemos concluir que:
- Las infracciones más recurrentes de los ejemplos de sanciones del RGPD citadas más arriba provienen de:
- no sustentar los tratamientos llevados a cabo en una correcta base legitimadora
- no tener en cuenta los principios generales
- tener deficiencias en las medidas de seguridad
Esto tiene que servir a las organizaciones a la hora de evaluar su grado de cumplimiento, para evitarnos cuantiosas sanciones y para dotarles de una gran ventaja competitiva, pilar fundamental a la hora de contratar a un proveedor.
2. Hasta ahora España era país de la UE que más procedimientos abría, sin embargo el importe de las multas estaba muy lejos de las de Italia, Alemania o Francia que superan los 50 millones de euros. Recientemente la AEPD, en un solo mes ha interpuesto las sanciones más elevadas de su historia a BBVA (5 millones de euros) y a Caixabank (6 millones de euros). Esto nos advierte de la posible nueva estrategia que la AEPD ha estrenado y de futuros nuevos castigos millonarios que están por venir.
A modo de reflexión, las empresas españolas deberían tomar nota. Si Europa está sancionando con multas muy elevadas y España empieza a seguir su senda, lo lógico sería considerar muy seriamente el cumplimiento del RGPD y ponerse manos a la obra.