Infracciones y multas
¿Cuáles son las sanciones LOPD más frecuentes? ¿Qué dicen los Expertos en LOPD? Por primera vez, las sanciones por fallos de privacidad superan los 1.000 millones de euros. Evitar multas e infracciones, en relación a la correcta implementación de Protección de Datos, supone un movimiento estratégico para las empresas; reduce un posible impacto en su economía, evita denuncias, defiende su reputación de marca y genera responsabilidad con sus usuarios, leads y clientes.
Te compartimos un expertise legal – y vigente – en RGPD para empresas, el cual necesitas para proteger el tratamiento de datos de tu compañía, con máximo rigor y claro, tranquilidad.
La responsabilidad y Ley RGPD en las empresas
¿Cuáles son las sanciones LOPD en mi empresa?
Son numerosos los riesgos LOPD que pueden afectar a las empresas, desde grandes multinacionales a pequeñas pymes, por una falta de adecuación a las últimas normativas de protección de datos.
Esto puede suceder por una ausencia total de las medidas técnicas u organizativas que se requieran o por una mala interpretación de las directrices y del propio tratamiento de datos. Por eso, es importante conocer las principales infracciones LOPD que se cometen para tomar nota y evitar poner en peligro, sobre todo, los datos personales de nuestros clientes y, en consecuencia, la reputación de nuestra empresa. Asimismo, este conocimiento nos sirve para eludir una elevada multa económica ante la Agencia Española de Prote (AEPD), la autoridad de control con competencias sancionadoras.
Las sanciones LOPD que debe evitar mi empresa
Según datos de la AEPD, las cinco infracciones LOPD más comunes del último año se concentran en torno a:
1) Incumplimientos de los principios generales de protección de datos
Es el error más repetido por las empresas que pasa por no aplicar los criterios, políticas y medidas preventivas que recoge el RGPD para los responsables y encargados de tratamiento. Aquí pasamos a enumerar el conjunto de principios y requisitos LOPD que deben aplicar todas las empresas:
Principio de “licitud, transparencia y lealtad”.
Principio de “finalidad”.
Principio de “minimización de datos”.
Principio de “exactitud”.
Principio de “limitación del plazo de conservación”.
Principio de “seguridad”.
Principio de “responsabilidad activa” o “responsabilidad demostrada”.
2) Falta o insuficiente información facilitada a los interesados
Es una de las infracciones más denunciadas por los usuarios y que la AEPD atribuye a la “vulneración del deber de informar”, prevista en los artículos 13 y 14 del RGPD. Entre las distintas manifestaciones, nos encontramos principalmente con:
- La información sobre el tratamiento de datos ofrecida a los clientes no es uniforme.
- Empleo de una terminología imprecisa y formulaciones vagas.
- La información sobre los tratamientos de datos personales basados en la relación contractual no está lo suficientemente detallada y no permite valorar y determinar con certeza si los tratamientos reseñados pueden ampararse en esta base jurídica.
- Falta de transparencia generando motivos de confusión al utilizar expresiones como “relaciones comerciales” o “finalidades comerciales” sin definición adecuada.
- La ausencia de información clara respecto a las categorías de datos que son tratadas limita considerablemente la capacidad del interesado de otorgar su consentimiento.
- La no definición explícita y clara de las finalidades a que se destinarán los datos personales de los clientes, vulnerando el principio de limitación de la finalidad del artículo 5 RGPD.
3) Insuficiente base legitimadora para el tratamiento de los datos personales
Todo tratamiento de datos necesita apoyarse en una base que lo legitime y tanto el RGPD como la LOPD-GDD establece las siguientes bases jurídicas:
- Consentimiento.
- Relación comercial.
- Intereses vitales del interesado o de otras personas.
- Cumplimiento de una obligación legal para el responsable.
- Interés público o ejercicio de poderes públicos.
- Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
4) Brechas de seguridad:
Todo tratamiento de datos necesita apoyarse en una base que lo legitime y tanto el RGPD como la LOPD-GDD establece las siguientes bases jurídicas:
- Consentimiento.Causadas principalmente por la ausencia de medidas técnicas u organizativas adecuadas en la organización afectada. Se considera el riesgo más alto que pueden encontrar las empresas a consecuencia de los numerosos ciberataques y malware (robo de contraseñas, suplantación de identidad, ransomware…).
- Relación comercial.
- Intereses vitales del interesado o de otras personas.
- Cumplimiento de una obligación legal para el responsable.
- Interés público o ejercicio de poderes públicos.
- Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
5) Deficiente gestión de los derechos ARCO-POL ejercidos por los usuarios
Se debe garantizar a los interesados la posibilidad de ejercer su derecho de acceso, rectificación, supresión (cancelación o “al olvido”), oposición, portabilidad, a no ser objeto de decisiones individuales automatizadas y limitación. Suelen tener mayor riesgo aquellas organizaciones que, para realizar su actividad principal, requieren del tratamiento de los datos de personas físicas, que a su vez son clientes de la misma, como son los centros educativos y sanitarios.
Ahora, ya sabes cuáles son las infracciones LOPD y cómo evitar multas por el incorrecto tratamiento de datos. Contacta con los autores de este artículo y resuelve cualquier duda relacionada a la implementación RGPD para tu empresa. Ahora veamos casos de incumplimiento reales de otras empresas.
Incumplimientos y sanciones LOPD de otras empresas
Las autoridades de control son las encargadas de vigilar e inspeccionar que las empresas cumplan con la normativa europea de protección de datos, llamada “RGPD” (Reglamento General de Protección de Datos), y en concreto con las leyes estatales que regulan este ámbito (en España contamos desde 2018 con la renovada Ley Orgánica de Protección de Datos y de las Garantías de los Derechos Digitales, también conocida como LOPD-GDD) han incrementado su actividad y consigo la imposición de sanciones RGPD durante 2021, que suponen un 521% más que el año anterior. Las sanciones por fallos de privacidad superan por primera vez los 1.000 millones.
En total el año pasado se impusieron 412 sanciones LOPD, siendo las más gravosas las correspondientes a Amazon Europe Core con una multa económica de 746 millones de euros, por parte de la autoridad de control de Luxemburgo, y a WhatsApp con 225 millones de euros, por la autoridad de control de Irlanda.
Pero no hay que fijarse sólo en las grandes empresas para encontrar importantes sanciones económicas. Mismamente, en España, la AEPD ha impuesto hasta 100.000 euros de multa a una empresa que actuaba como proveedora de servicios a hoteles por negar a una cadena hotelera el derecho de acceso a sus datos, tras extinción de contrato de provisión de servicios, incumpliendo con ello el RGPD en calidad de “encargado de tratamiento”. También, en otros casos, multas de 15.000 euros por incumplir el derecho de supresión del reclamante y por el envío de comunicaciones comerciales, sin consentimiento expreso, al ser responsable de ficheros automatizados de datos.
No hay que olvidarse de otra de las normativas RGPD que está a su vez generando una gran repercusión entre la ciudadanía y la AEPD debido a la generalización del uso de las nuevas tecnologías y la actividad en Internet: la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, LSSICE). Se están imponiendo sanciones por no disponer de una correcta Política de Cookies y no realizar por parte de las empresas una correcta gestión de las cookies (no informar correctamente, faltar solicitud de consentimiento, muro de cookies, aceptación tácita…) lo que conlleva sanciones de unos 3.000 euros.
El riesgo de sanción se consolida así como una gran preocupación para las empresas y exige un alto nivel de cumplimiento de la protección de datos y requiere de expertos especializados dentro de las organizaciones. Cuando lo necesites, el mejor equipo de consultores legales y expertos en LOPD, está dispuesto a asesorarte y garantizar tu cumplimiento con la ley RGPD.
El riesgo de sanción se consolida así como una gran preocupación para las empresas y exige un alto nivel de cumplimiento de la protección de datos y requiere de expertos especializados dentro de las organizaciones. Cuando lo necesites, el mejor equipo de consultores legales y expertos en LOPD, están a tu disposición para asesorarte y garantizar tu cumplimiento con la ley RGPD.
Hoy en día ya no nos sorprende ver cómo las empresas solicitan nuestro consentimiento para el tratamiento de nuestros datos, mediante formularios web, aceptación de políticas o avisos de cookies. Pero más allá de esa medida informativa de RGPD para empresas, que no supone gran dificultad y que está totalmente extendida, se requiere una gran responsabilidad a la hora de velar por la seguridad y el correcto tratamiento de la información recogida.
