28 enero 2021
Hoy, 28 de enero de 2021, es el Día Europeo de la Privacidad y la Protección de datos. Esta fecha, señalada por la Comisión Europea, el Consejo de Europa y las autoridades nacionales de protección de datos de los diferentes países miembros, fue proclamada por el Consejo de Europa en el año 2006, con el ánimo de crear una campaña de concienciación e información para el uso adecuado de datos personales en Internet.
Esta fecha empezó a tener especial relevancia con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en el año 2018, donde las obligaciones y mandatos de interesados y responsables quedaban bien delimitadas y protegidas. Así, con motivo de la celebración de este día en el que debemos recordar la importancia de salvaguardar el derecho fundamental a la privacidad, nos permitimos poner la mirada atrás y analizar las principales sanciones impuestas en la Unión Europea por infracción de la normativa sobre protección de datos. Y es que, como no podía ser de otra manera, muchas de estas sanciones se deben a una falta de aplicación correcta de las normas de protección de datos.
En España, hemos dejado el año 2020 y comenzado el 2021 con dos de las mayores sanciones que se han impuesto en la historia de nuestro país, además ambas han sido impuestas a sociedades bancarias.
La primera, al Banco Bilbao Vizcaya Argentina (BBVA) por un total de 5 millones de euros. La Agencia Española de protección de Datos emitió resolución de procedimiento sancionador en diciembre del año pasado, en la que se establecía que el BBVA habría infringido de un lado, lo dispuesto en los artículos 13 y 14 del RGPD, relativos a la información mínima que debe proporcionarse de manera obligatoria a los interesados, lo que comprende el tipo de datos y cuál es la finalidad del tratamiento, entre otros. Esta infracción lleva aparejada una multa de 2 millones para la entidad bancaria. De otro, la AEPD también estimó que había infringido lo dispuesto en el artículo 6 del RGPD, precepto que recoge las cuestiones sobre el consentimiento del interesado, para autorizar el tratamiento de datos. Por esta infracción, se fijó una multa de 3 millones de euros.
La segunda sanción impuesta a otra entidad bancaria fue a CaixaBank y se produjo a comienzos de este año 2021, por un importe de 6 millones de euros. Esta es, sin duda, la multa récord impuesta por la AEPD y los motivos son los mismos que en el caso anterior. En este caso, la Agencia vuelve a citar los artículos 13 y 14 del RGPD por falta de información clara y precisa sobre las finalidades de los tratamientos. En concreto, se señala la política de privacidad del banco, además del artículo 6 del RGPD, por falta de consentimiento válido, entendiendo por tal el que debe ser expreso y manifiesto.
En el panorama europeo encontramos, sin embargo, las sanciones más gravosas. A principios de este año 2021, la autoridad nacional alemana de protección de datos multó al minorista en venta de productos electrónicos notebooksbilliger de AG, por un importe de 10,4 millones de euros. En este caso, la infracción versaba sobre el sistema de videovigilancia de la compañía y la falta de legitimación y exceso en los plazos de conservación. Recordemos que, según nuestra Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales de 2018, (LOPDgdd), el plazo máximo es de 30 días. En el año 2020, la autoridad nacional alemana volvió a batir una cifra récord al sancionar a la empresa de moda H&M con más de 35 millones de euros, en este caso, por tratar inadecuadamente datos sensibles de los empleados. Sin embargo, y hasta ahora, la multa más elevada jamás impuesta por una autoridad nacional, fue la decretada por la autoridad francesa, la Commission Nationale de l’Informatique et des Libertés (CNIL), Comisión nacional de protección de datos francesa, a Google Inc. en el año 2019, por valor de 50 millones de euros, basada en los artículos 5, 6, 13 y 14 del RGPD, cuya aplicación, recordamos, es directa en toda la Unión Europea. La infracción se produce en los procesos de creación de cuentas Google para Android, en los que en la recogida y tratamiento de datos no se establecía una información clara y accesible (el usuario debía acceder a diferentes enlaces para obtener toda la información, que a su vez no era del todo clara y precisa). Además, el interesado no prestaba un consentimiento expreso, sino que las casillas ya venían premarcadas.
Con todo, parece que las autoridades nacionales de protección de datos están cada vez más por la labor de vigilar y castigar infracciones de las respectivas normativas en protección de datos. Apuntando hacia grandes corporaciones y entidades, nos encontramos con sanciones muy altas, y que, en otro orden de cosas, sirven además como medida de concienciación y prevención para todos los responsables de datos.
Comentarios
No hay comentarios