Publicaciones

El 2020 en cifras: algunas sanciones destacadas en materia de protección de datos personales impuesta por las autoridades de control

El 2020 en cifras: algunas sanciones destacadas en materia de protección de datos personales impuesta por las autoridades de control

  • 27/01/2021

Con la plena aplicación del Reglamento General de Protección de Datos desde 2018, las empresas dejan entrever que siguen sin adaptarse a esta nueva normativa

El año pasado fue bastante movido en los aspectos relativos a sanciones y este año, se presenta parecido.

Así, la Agencia Española de Protección de Datos (en adelante, “AEPD”) imponía hace unos días a CaixaBank dos multas por importe total de seis millones de euros, ambas por infracciones del Reglamento General de Protección de Datos (en adelante, “RGPD”), calificadas como leve y muy grave de acuerdo con lo establecido en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”).

La AEPD considera en su resolución que la entidad bancaria incumple con la obligación de informar sobre la finalidad del tratamiento de los datos personales de sus clientes, así como de incumplir con la adecuada justificación de la base jurídica del tratamiento de los datos, en especial, con relación a los tratamientos basados en el interés legítimo.

La sanción anterior no es más que el punto de partida de un año que promete ser igual de severo para las empresas, y de fructífero para una autoridad de control que, durante 2020, impuso más de cien sanciones.

 

Algunas de las multas españolas más destacables del año pasado

Fue a principios de 2020 cuando la autoridad de control española comenzó a imponer sus multas más lucrativas como, por ejemplo, la multa a Vodafone, de ciento veinte mil euros, por infringir los artículos 5 y 6 del RGPD; una de las multas más altas hasta la fecha, atribuidas a la AEPD. De este modo, la empresa de telecomunicaciones continuó siendo castigada por la Agencia a lo largo del año con multas de hasta cien mil euros.

A mediados de año, la AEPD revisó y ajustó la guía sobre el uso de las cookies para adecuarla a las directrices europeas emitidas en mayo del mismo año por el Comité Europeo de Protección de Datos. Con ello, llegaron las primeras multas por parte de esta autoridad a empresas como Iberia, por incumplimiento del artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, “LSSI”), con una cantidad de treinta mil euros.

Por último, el año finalizó con la imposición de una multa millonaria a otra entidad bancaria, el BBVA. La AEPD estimó en cinco millones de euros las infracciones leve y muy grave de los artículos 6, 13 y 14 del RGPD.

Estas son solo algunas de las multas, las más altas, impuestas por la AEPD a las empresas incumplidoras del RGPD.

Y es que resulta conveniente recordar que el RGPD prevé la imposición de multas administrativas de hasta veinte millones de euros, como máximo, o, tratándose de una empresa, de una cuantía equivalente al cuatro por ciento como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

 

Infracciones que se repiten

En vista de las multas anteriores, cabe plantearse el contenido del articulado vulnerado por las empresas, común en parte de las resoluciones aludidas y en la mayoría de las publicadas por la Agencia.

El RGPD establece que el tratamiento de datos personales solamente será lícito si se basa en uno o más de los fundamentos que lo legitimen (artículo 6 del RGPD), como son el consentimiento, la ejecución contractual o el interés legítimo, los cuales no siempre se aplican correctamente.

Asimismo, el Reglamento obliga a informar a los interesados cuyos datos se recaben para su posterior tratamiento de una serie de cuestiones, como la identidad del responsable del tratamiento, la base legitimadora, las finalidades del tratamiento o los derechos que le amparan (artículos 13 y 14 del RGPD). Esta información se debe proporcionar de una manera concisa, clara y transparente.

Así, en la práctica, se ha podido comprobar que es habitual que la infracción de un artículo conlleva la inobservancia de otro, como sucede en el caso de las resoluciones de las entidades financieras mencionadas antes. Y es que, normalmente, la omisión del deber de información a los interesados acarrea el incumplimiento de la base legitimadora aplicada, pues, al emplear el consentimiento como condición de licitud, se presume como viciado, precisamente, por la falta de información previa y adecuada.

Lo cierto es que es bastante habitual que determinadas empresas no cumplan con los deberes de información y/o recogida del consentimiento de manera clara, transparente y efectiva por el usuario, provocando el incumplimiento de la ley.

Debido a los cambios introducidos también en materia de cookies y tras adoptar los últimos criterios del Comité Europeo de Protección de Datos, estableciendo un período transitorio de adaptación que finalizó en octubre de 2020, las infracciones en este tema podrían ser las próximas sanciones más relevantes.

 

¿Y qué sucede en la Unión Europea? ¿Se producen situaciones parecidas?

Finalmente, no deja de ser relevante tener en cuenta las multas impuestas por las autoridades de control de protección de datos en la Unión Europea.

Nada desdeñables son las sanciones que aplicó la autoridad francesa a Google LLC y Google Irlanda, de cien millones de euros, por habilitar las cookies de su página web sin haber obtenido el consentimiento previo de los usuarios; la multa de Alemania a H&M, de treinta y cinco millones de euros, por la obtención ilícita y posterior conservación de información relativa a la vida privada de sus empleados, en la que basar la toma de decisiones laborales o; la impuesta por la autoridad italiana a Telecom Italia (TIM), de veintisiete millones de euros, por enviar comunicaciones comerciales no solicitadas a sus usuarios.

Como podemos comprobar, han transcurrido casi tres años desde la efectiva aplicación del RGPD, para el próximo mes de mayo y muchas empresas que no son conscientes todavía de la envergadura de la materia, y de cómo puede afectar, no solo a su economía, sino también a su reputación e imagen corporativa.

The lawyers are "able to co-ordinate the work with firms abroad to make sure it goes smoothly," and goes on to highlight the firm's "reasonable fees, even in situations with partner involvement."

CHAMBERS & PARTNERS (2019)

"Fieldfisher JAUSAS worked hard and made a good impression, I think they did their job well," reports one satisfied interviewee. "Clients appreciate the firm's "pragmatic and high-level approach."

CHAMBERS & PARTNERS (2019)

One client praises the firm's approach, commenting: "The service provided is very rigorous and effective. They demonstrate a very deep knowledge of the law and always know the optimal option to defend the position of their client, all with impeccable and close personal treatment and constant availability."

CHAMBERS & PARTNERS (2019)

The team is praised by clients for its "knowledge of insolvency matters and focus on finding solutions.""The lawyers are able to quickly and efficiently resolve cases," states one interviewee.

CHAMBERS & PARTNERS (2019)

"The team's ability to focus on the matters stands out. The lawyers understand the business and combine this with a high level of technical expertise." Another client enthuses: "We really enjoy working with them. The service is excellent in all aspects, fulfilling the objectives and expectations created, with permanent and immediate availability."

CHAMBERS & PARTNERS (2019)