Balance después de un año de vigencia del nuevo Reglamento Europeo de Protección de Datos (RGPD)

Durante el año pasado, CINC informó detalladamente de los cambios normativos que se avecinaban con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y de la nueva LOPD-GDD. Un año después de ser plenamente aplicable el Reglamento europeo, es un buen momento para hacer un primer balance de las consecuencias que ha comportado su entrada en vigor.
 
Ya sabemos qué aspectos hay que tener en cuenta a la hora de aplicar la nueva normativa (deber de informar, requisitos de la videovigilancia, documentos de análisis y seguridad, protocolos, contratos con empleados y proveedores, etc.). A continuación, hablaremos sobre qué sucede si un profesional o una empresa incumplen dichas obligaciones. 
 

Derecho de información


El deber de las empresas de informar es, a la vez, el principal derecho de los interesados. Y la normativa exige informar siempre que se obtengan o cedan datos personales. Este derecho afecta de igual manera a Internet como a los documentos en formato papel, o a cualquier formato a través del cual se obtengan y traten datos personales.  
 
Pues bien, según la Agencia Española de Protección de Datos (AEPD), que realizó un estudio sobre el grado de cumplimiento de las empresas respecto al deber de información en Internet (Informe “Políticas de privacidad en Internet”, de septiembre de 2018) y analizó las páginas de varias empresas pertenecientes a sectores tan diversos como la hostelería, los seguros o los transportes, la mitad de las empresas españolas no cumplen con la obligación de informar sobre la base jurídica del tratamiento de datos, y el resto tampoco informa de forma precisa, clara y concisa sobre las políticas de privacidad de la compañía. 
 

Reclamaciones


En todo el año 2018, la AEPD recibió un total de 14.146 reclamaciones por vulneración de la normativa de protección de datos, lo que supone un incremento del 33% respecto al año anterior, cuando todavía no estaba en vigor el RGPD. 
 
De estas reclamaciones recibidas el año que fue conocido como “Año de la Protección de Datos”, el 11% correspondían a litigios de videovigilancia, y el 7% eran relativas al sector de la sanidad. Otros sectores que tuvieron un porcentaje muy alto de reclamaciones fueron el de seguros y el de las telecomunicaciones. 
 

Incidentes de seguridad


Según la AEPD, que publica las estadísticas de forma abierta y transparente, durante lo que va de año 2019 hasta la fecha, solamente en España se han notificado 688 brechas de seguridad, es decir, incidentes con los datos personales que consisten en (1) el borrado o la pérdida de datos, (2) el acceso ilegítimo a los datos y (3) la modificación no autorizada de datos personales. Recordemos que, desde la entrada en vigor del RGPD, los incidentes de seguridad que afecten a datos personales deben ser notificados a la AEPD, a través de su sede electrónica, a menos que los riesgos que entrañe el incidente sean de escaso riesgo y puedan ser mitigados al momento o en un plazo de tiempo razonable. 
 
Estas 688 violaciones de seguridad notificadas hasta la fecha no son las únicas que han sucedido, por supuesto: muchas empresas todavía no habrán cumplido con la obligación de notificar cualquier incidencia que tengamos con la seguridad de los datos. De hecho, si analizamos las estadísticas publicadas por la propia Agencia, observamos que casi el 80% de las fugas de información han sido notificadas por empresas o negocios privados, mientras que el resto corresponde a las Administraciones Públicas. Por otro lado, alrededor de un 40% de los incidentes han tenido un contexto intencionado, mientras que el 60% restante se refiere a infracciones que han tenido como origen un fallo de la propia organización o empresa. 
 
Casi el 70% de los casos han tenido que ver con la confidencialidad, es decir, con un acceso ilegítimo o no autorizado, mientras que un 35% aproximado de notificaciones se referían a incidentes con datos de categoría especial (como son los datos relativos a la salud). Finalmente, decir que casi un 5% de los incidentes notificados presentaban un riesgo muy alto para los derechos de los afectados. 
 

Sanciones


Como consecuencia de todo ello, y aunque pueda parecer que no han llegado las multas que tanto amenazaban cuando entró en vigor el RGPD, lo cierto es que la AEPD ya ha impuesto muchas sanciones por incumplimiento de las normas y los principios de la normativa de Protección de Datos. De hecho, en lo que va de año, las multas impuestas por la Agencia ya suman casi un millón de euros. 
 
Y ello, teniendo en cuenta que, probablemente, si no ha habido más sanciones a día de hoy, es sobre todo por dos motivos: la carencia de medios personales de la propia AEPD, y porque muchos otros procedimientos sancionadores iniciados por la Agencia de control han terminado con un apercibimiento previo como sanción (lo cual no comporta una multa económica). 
 
Es decir, la AEPD ha actuado hasta ahora de forma más bien paternal, imponiendo apercibimientos en lugar de sanciones económicas, pero ya ha avisado de que pasado un tiempo prudencial en el que las empresas habrán tenido más que tiempo de estar debidamente adaptadas, empezará a sancionar aquellas conductas que hasta ahora solo han sido objeto de “riña”. 
 
Pues bien, algunas de las sanciones impuestas por la AEPD en lo que va de año son las siguientes: 
 
Sanción a una clínica ginecológica de Bilbao por colgar historias clínicas de sus pacientes a través del programa eMule, haciendo una difusión no consentida de miles de datos: 150.000 euros. 
Sanción a una empresa de gestión de créditos y morosidad por requerir el pago pendiente de un crédito a una persona a través de una cuenta corporativa de su trabajo en la UAB: 60.000 euros (Procedimiento PS/00121/2019). 
Sanción a la Liga Nacional de Fútbol Profesional (LNFP) por instalar micrófonos en la App de la Liga sin informar adecuadamente: 250.000 euros (Procedimiento PS/00326/2018). 
Sanción a una empresa de servicios que instaló cámaras en el establecimiento para grabar a un empleado sin avisarle previamente: 9.600 euros (Procedimiento PS/00411/2019). 
Sanción a una empresa telefónica por enviar comunicaciones a través de SMS, a pesar de que el interesado había solicitado la supresión de los datos personales a la compañía: 27.000 euros (Procedimiento PS/00411/2018). 
Y la última y más reciente, referente a la sanción de 150.000 euros a una conocida cadena de supermercados, por difundir unas imágenes de un personaje público robando unos cosméticos. 
 
En las estadísticas que ofrece la propia AEPD, destaca un hecho importante: el sector que se lleva el premio a las multas más elevadas es el de Internet y Telecomunicaciones, con un montante sancionador de casi 400.000. Y, lejos de estos importes pero como detalle importante por el gran número de farmacias que utilizan este sistema, destaca que las multas impuestas por una mala aplicación de la videovigilancia ascienden a casi 40.000 euros. Curiosamente, los meses en los cuales la Agencia ha impuesto más sanciones son junio y julio, es decir, en pleno verano. 
 
Todo ello, teniendo en cuenta que estas cifras son provisionales, puesto que analizan los procedimientos sancionadores resueltos entre enero y septiembre, así que hasta enero no sabremos el cómputo anual definitivo de sanciones impuestas por parte de la AEPD en este año 2019. 
 

Conclusiones


Como vemos, es un hecho que las sanciones por incumplimiento de la normativa de Protección de Datos ya están llegando, aunque es cierto que en España todavía no se ha llegado al importante volumen de sanciones que se han impuesto en países como Alemania o Portugal, donde ya han recaído varias multas incluso a empresas del sector sanidad (por ejemplo, a una clínica por tirar documentos con historiales clínicos en un contenedor de la vía pública). 
 
Por lo que respecta al sector legal, afortunadamente no hemos sido de los sectores que hayan estado en el punto de mira de la AEPD, y ello puede deberse a que una parte de las asesorías han hecho los deberes y se han adaptado a las nuevas normas relativas a la Protección de Datos. Así que, ciertamente, de momento no son muchas las reclamaciones que hayan ido en contra de un negocio jurídico-legal, de igual manera que son pocas las brechas de seguridad que hayan tenido que ser notificadas por alguna empresa del sector. 
 
Pero también es cierto que nuestro sector no ha sido uno de los incluidos en el Plan Estratégico de la AEPD hasta ahora, es decir, que la Agencia ha centrado sus inspecciones en empresas y negocios de otros sectores. Así que no hay que descartar la posibilidad de que, antes o después, nuestro gremio sea uno de los afectados por las temidas inspecciones. 
 
Así pues, desde CINC no podemos dejar de insistir en la necesidad de que todas las empresas estén adaptadas y cumplan con la normativa de Protección de Datos. Y no solamente para evitar inspecciones, denuncias o sanciones, sino porque al fin y al cabo, un negocio que cumpla con las exigencias normativas prestará un mejor servicio al cliente, y como consecuencia, también a la sociedad. 
 
Si tenéis cualquier duda, podéis contactar con nuestro Departamento de Protección de Datos (rgpd@cinc.es). 
 
Un saludo cordial,
 
CINC Asesoría de Empresas
 
CINC
Este sitio web está registrado en wpml.org como sitio de desarrollo.