A raíz de algunas de las últimas resoluciones de la Agencia creemos interesante y oportuno hacer hincapié en la obligación que recae sobre los responsables de tratamiento de recabar el consentimiento inequívoco de los interesados.
Antes de nada, conviene aclarar que los interesados son todas aquellas personas (físicas) de las cuales se tratan datos personales, es decir, usuarios, clientes, consumidores, etc. Y el responsable de tratamiento es la persona (física o jurídica) que decide sobre la finalidad, contenido y uso del tratamiento de los datos personales de los interesados.
Los principios y obligaciones de los responsables de tratamiento en relación al consentimiento inequívoco están regulados, entre otros, en los artículos 5 y 6 de la LOPD, y son, respectivamente:
- El derecho de información (previa) a la recogida de datos
- (Recabar) el consentimiento del interesado
Todo empresario o prestador de servicios que realice tratamiento de datos personales deberá informar a los interesados de la recogida de los mismos, del porqué de dicho tratamiento, de la obligatoriedad o no de proporcionar los datos en cada caso y de la finalidad del tratamiento. Además, el empresario debe identificarse y proporcionar sus datos de contacto con el fin de que los interesados puedan ejercer en cualquier momento sus derechos ARCO.
Es muy importante tener en cuenta que la información que hemos detallado deberá ser de fácil acceso para los interesados, y el responsable del tratamiento deberá asegurarse que los mismos la han leído antes de aceptar. La fórmula más común es incluir una cláusula en los formularios de recogida de datos por la que los interesados aceptan haber leído las condiciones de privacidad.
Asimismo, el responsable del tratamiento sólo podrá recabar los datos si los interesados han prestado su consentimiento, y habiendo sido informados de todo lo anterior.
En ciertos casos, no será necesario recabar el consentimiento del interesado, según el artículo 6.2 de la LOPD:
- cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias;
- cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;
- cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado o
- cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado
El incumplimiento de los principios de protección de datos supone una infracción de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y puede acarrear sanciones por parte de la Agencia Española de Protección de Datos.
Concretamente, el incumplimiento de dichas obligaciones puede conllevar sanciones de tipo leve, por no informar a los interesados antes de recoger sus datos; o grave, si no se recaba el consentimiento del interesado cuando se solicitan datos personales.
Según el régimen sancionador de la LOPD, las sanciones leves son de 900 a 40.000 Euros, mientras que las graves, de 40.001 a 300.000 Euros.
El órgano sancionador es la Agencia Española de Protección de Datos, quien a partir de procedimientos sancionadores incoados de oficio o por una denuncia de un ciudadano, dicta resolución y sanciona a los infractores.
Por ejemplo, la resolución 121/2016 impone una multa de 40.001 Euros (la cantidad mínima prevista por el artículo 45 para infracciones graves) a cada una de las dos empresas responsables: la que promocionaba sus productos, y el proveedor que realizó la campaña publicitaria por haber realizado el tratamiento de datos de los interesados sin que estos hayan dado su consentimiento inequívoco (artículo 6.1 LOPD). El procedimiento se inicia por la denuncia de una persona que es invitada a un evento en un hotel por parte de una empresa, sin que dicha persona haya consentido el tratamiento de sus datos a la misma… Como vemos, no es infrecuente la denuncia de un particular por algo tan sencillo como haber recibido una publicidad no solicitada.
Sin embargo, la mayoría de resoluciones contemplan la reducción de la cuantía de la multa, por varios motivos, detallados en el artículo 45 de la Ley, imponiéndose en la mayoría de los casos la sanción en su grado más leve atendiendo a criterios de proporcionalidad:
- La resolución R/03231/2015 impone la multa de 20.000 Euros al responsable de tratamiento por una infracción grave por no recabar el consentimiento de los interesados (aunque la cantidad se redujo por falta de intencionalidad).
- La resolución R/03284/2015 que sanciona a los responsables del tratamiento con un total de 13.000 Euros, por incumplimiento del artículo 6.1, es decir, por no haber recabado el consentimiento de los interesados antes de recoger sus datos personales.
- La resolución R/03294/2015 que sanciona con 10.000 Euros al responsable del tratamiento, por incumplimiento del artículo 6.1, reducida por la actuación diligente del responsable y por reconocimiento voluntario de la responsabilidad.
- La resolución R/03177/2015 impone una multa de 20.000 Euros por la infracción del artículo 6.1 de la LOPD. En este caso la cuantía se redujo porque la entidad tomó medidas cautelares para reducir los daños.
De todas estas sanciones concluimos que no cumplir con la LOPD nos puede salir caro y que una buena política de privacidad a modo de prevención es fundamental y proporciona seguridad y tranquilidad a los empresarios y otros prestadores de servicios que tratan datos de carácter personal.
Como hemos comprobado, en muchas ocasiones la Agencia reduce la cuantía de las sanciones cuando hay falta de intencionalidad y han actuado con una diligencia razonable, llevando a cabo medidas destinadas al cumplimiento de la legislación en materia de protección de datos.
El nuevo Reglamento General de Protección de Datos para la Unión Europea hace especial hincapié en el deber de información y en el consentimiento de los interesados siendo, como sabemos, el régimen sancionador mucho más exigente que el actual. Es momento por lo tanto de revisar cómo estamos informando a los titulares de datos personales y si el consentimiento es suficiente para que el tratamiento sea lícito. En los próximos dos años los responsables de tratamientos de datos personales tendrán que ponerse al día si no quieren exponerse a los riesgos.
Comentarios
No hay comentarios