Inicio | Noticias | La AEPD impone multas millonarias por infracciones de protección de datos
protección de datos
Noticia, 
Tribuna

La AEPD impone multas millonarias por infracciones de protección de datos

Por José Luis Calvo, Departamento Legal y Compliance de Hiscox Iberia
BDSEntornoMercado

Jose Luis Calvo BravoHace tan solo un mes, la Agencia Española de Protección de Datos (AEPD) imponía a una conocida entidad financiera la mayor sanción registrada hasta entonces (dos multas que sumaban el importe de 5 millones de euros) por infracciones del Reglamento General de Protección de Datos (RGPD).

El procedimiento sancionador se abrió en respuesta a reclamaciones de particulares que denunciaban haber recibido comunicaciones comerciales vía SMS sin haber otorgado el oportuno consentimiento. En su resolución, la AEPD da la razón a los reclamantes y concluye que la referida entidad financiera no obtuvo un consentimiento válido para enviar campaña promocional alguna, y de hecho carecía de un mecanismo específico para obtener dicho consentimiento. Además, aparentemente, la entidad no usaba la terminología adecuada para definir su política de privacidad, y no proporcionaba información suficiente sobre las categorías de datos personales que procesaba.

En este mes de enero, otra conocida entidad financiera ha recibido otras dos sanciones por infracciones análogas de exactamente los mismos preceptos del RGPD, solo que en esta ocasión la suma de ambas multas, 6 millones de euros, supera el récord de la anterior.

El motivo de la reclamación, en este segundo caso, se basaba en que la entidad financiera le imponía a los particulares la obligación de aceptar las nuevas condiciones en materia de protección de datos personales que había acordado la compañía, en concreto la relativa a la cesión de sus datos personales a todas empresas del grupo, y empujaba al particular a comunicarse con todas ellas en caso de no estar de acuerdo con dicha cesión. Sin ánimo exhaustivo, la AEPD concluye que se habría incurrido en dos infracciones:

  • Vulneración del principio de transparencia por una falta de información a los clientes en materia de protección de datos (para qué se obtienen sus datos, qué tratamiento se hará de los mismos, qué derechos tienen….). Por ejemplo, cuando se informa de los usos que se hará de los datos personales, se usan expresiones imprecisas como “conocerte mejor” o “darte un mejor servicio”.
  • Ilicitud del tratamiento de datos e invalidez de los mecanismos de obtención del consentimiento. Al parecer, la entidad financiera no proporcionó una justificación suficiente sobre la base legal para el tratamiento de los datos personales y no cumplió con los requisitos para obtener un consentimiento válido (que debe ser específico, inequívoco e informado).

Cada vez más, las organizaciones destinamos un esfuerzo importante al cumplimiento de la normativa de protección de datos que se traduce en una dotación de recursos económicos, humanos y técnicos destinados a este fin. No obstante, la normativa de protección de datos es compleja, y aun actuando con la mejor de las intenciones se puede incurrir en infracciones como las antes mencionadas. Para evitarlo, no debemos perder el foco en nuestra responsabilidad con la protección de datos de carácter personal.

Hoy, 28 de enero, Día de la Protección de Datos, es una oportunidad para destacar la importancia que tiene este compromiso. Aquellas organizaciones que no tengan las concienciación suficiente sobre esta materia pueden recibir un recordatorio de la AEPD en forma de multa, y sus importes están alcanzando máximos históricos.

Resoluciones como las antes mencionadas deben servirnos de aprendizaje, para revisar, reforzar y mantener actualizadas nuestras políticas de protección de datos y velar por su efectivo cumplimiento sin imponer en ningún caso su contenido, de tal manera que haya claridad en las categorías de datos que se recaban, los tratamientos que se realizan, sus finalidades y bases jurídicas y, por tanto, se pueda obtener un consentimiento informado.

Esta tribuna apareció primero en el Boletín Diario de Seguros (BDS) el pasado 28 de enero, coincidiendo con el Día de la Protección de Datos.
Conoce más sobre este boletín y cómo suscribirte.

¿Te resulta interesante? Compártela: