RÉCORD HISTÓRICO DE MULTAS IMPUESTAS POR LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD). CÓMO EVITAR SER SANCIONADOS

En los últimos años la Agencia Española de Protección de Datos (AEPD) ha adoptado una tendencia sancionadora al alza, lo que nos ha llevado a ser el quinto país que más sanciones impone a las empresas que infringen la normativa en materia de Protección de Datos.

Las reclamaciones presentadas por particulares denunciando un uso indebido de sus datos aumentaron un 35% en 2021, según datos publicados por la propia AEPD, lo que supone que el citado organismo recibiese el pasado año casi 14.000 reclamaciones, a las que hay que sumar los casos en los que la Agencia actúa por iniciativa propia y las quiebras de seguridad trasladadas a inspección.

Así, en 2021 se impusieron hasta 352 multas, por valor de casi 37 millones de euros, con una media de algo más de 100.000 € por sanción. 

Las reclamaciones planteadas con mayor frecuencia por los ciudadanos están relacionadas con servicios de internet, videovigilancia, recepción de publicidad e inserción indebida en ficheros de morosidad.

La cuestión adquiere dimensiones preocupantes con la perspectiva del aumento de los ciberataques que ya se han venido produciendo en los últimos años, con lo que se hace imprescindible contar con mecanismos legales adecuados que garanticen el correcto cumplimiento de la normativa española y europea de Protección de Datos, para así evitar sanciones.

A pesar de que las empresas españolas se muestran concienciadas con el cumplimiento de la normativa de Protección de Datos, sobre todo a partir del 25 de mayo de 2018, en que comenzó a ser de aplicación el Reglamento Europeo de Protección de Datos, todavía los autónomos, startups, PYMES y microempresas, están en muchos casos bastante alejadas de los estándares de cumplimiento deseables.

Se calcula que aproximadamente el 72 % de las grandes empresas (por encima de 50 trabajadores) han implementado programas de cumplimiento en materia de Protección de Datos, mientras que únicamente el 42 % de las PYMES, microempresas (entre 1 y 9 empleados) y autónomos, cuentan con este tipo de programas.

En este sentido, el principal problema es el desconocimiento respecto de las obligaciones que han de cumplir en materia de protección de datos de carácter personal. Así, es frecuente que las empresas utilicen textos legales incorrectos en sus páginas web, que no incluyan datos identificativos básicos en sus páginas web y redes sociales, que no dispongan de contratos de tratamiento de datos con proveedores de servicios y colaboradores, que remitan emails de carácter publicitario no autorizados, que no informen debidamente a sus clientes, proveedores y empleados de los fines del tratamiento, etc.

Además, parece haberse extendido erróneamente, la creencia de que para garantizar una correcta aplicación de las normativas de protección de datos, será suficiente con incluir unos textos legales en la página web e incluir una leyenda de confidencialidad y protección de datos en los e-mails. 

Sin embargo lo anterior, podría acarrear consecuencias nefastas para las empresas, al dejarlas del todo desprotegidas ante violaciones de seguridad que afecten a los datos que tratan como responsables.

Es fundamental contar con mecanismos eficaces de control de riesgos, para identificar potenciales riesgos y prevenirlos mediante la adopción de medidas de distinta índole, entre las que podemos destacar la inclusión de cláusulas de confidencialidad y protección de datos en contratos con empleados, colaboradores y proveedores; la elaboración de contratos entre responsables y encargados de tratamiento; protocolos de recogida, utilización y conservación de datos; manuales para la canalización de brechas de seguridad; recomendaciones sobre cambio periódico de contraseñas, copias de seguridad, ubicación de servidores; así como una formación efectiva al personal que va a acceder a los datos de los interesados, pues de lo contrario, todas las medidas adoptadas devendrán ineficaces.

Por todos son conocidas las multimillonarias sanciones impuestas a grandes empresas como Vodafone (más de 8 millones de euros), Google (10 millones de euros), Caixabank (3 millones de euros), sin embargo, no debemos perder de vista que las PYMES, microempresas y autónomos, es decir la gran mayoría de nuestro tejido empresarial, también son víctimas de cuantiosas multas, que en ocasiones, pueden poner en peligro la continuidad de la actividad.

Por ello, una correcta aplicación de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, dotará de seguridad a las empresas y garantizará a los titulares de datos, la protección de sus datos personales, que demás constituye un derecho fundamental reconocido en la Constitución española y la Carta de los Derechos Fundamentales de la Unión Europea.

María Blanco Ramos

Abogada experta en PPDD

Socia, Falcón Abogados