Política Digital
Así ha sido la actividad sancionadora de AEPD en 2019
En materia de privacidad y protección de datos, este 2020 que acaba de arrancar será un año de grandes cambios. Entre otras cosas, se esperan importantes novedades como el lanzamiento del Reglamento E-Privacy, la entrada en vigor del CCPA (California Consumer Privacy Act), la aplicación práctica de los derechos digitales y los cambios que se deriven en la aplicación del GDPR tras la ratificación del Brexit en Reino Unido.
Planteadas estas novedades, es buen momento para echar la vista atrás y hacer un pequeño resumen de la actividad sancionadora de la Agencia Española de Protección de Datos (AEPD) durante 2019. Así, nos orientaremos sobre los puntos débiles del cumplimiento de la normativa vigente en materia de protección de datos, o al menos aquellos en los que la AEPD ha centrado sus funciones como ente sancionador.
Más sanciones
Una de las novedades más importantes que el Reglamento General de Protección de Datos introdujo fue un significativo aumento de las sanciones, pudiendo ser de hasta 20 millones de euros o del 4% de la cifra de negocio de la organización.
En este sentido, en 2019, como primer año en el que la AEPD ha resuelto sus procedimientos sancionadores aplicando la nueva normativa de protección de datos, nos esperábamos sanciones bastante cuantiosas en cuanto a la proposición de pena pecuniaria.
Si tenemos en cuenta este criterio, debemos destacar la sanción impuesta a La Liga Profesional de Fútbol, que fue multada con 250.000 euros por la app que usaba el micrófono de los móviles para cazar bares en España con futbol “pirata”.
La segunda multa más importante por cantidad en España está muy por debajo de la primera (75.000€), por lo que aún es más destacable si cabe la sanción impuesta a La Liga, la cual fue recurrida y de la que aún no conocemos fallo del recurso.
Los motivos de las multas
Si nos olvidamos del filtro de la cantidad para clasificar las sanciones impuestas por la AEPD en 2019, sería relevante conocer cuál es la razón más común por la que las organizaciones han sido sancionadas.
Así, debemos destacar en este resumen que, la infracción de los artículos 5, 6 y 32 del RGPD han sido las más comunes en la imposición de sanciones; es decir, infracciones cometidas por incumplir principios relativos al tratamiento, licitud del tratamiento y seguridad del tratamiento de la información.
Las sanciones propuestas por la comisión de dichas infracciones han variado entre 60.000€ y 1.600€, siendo éstas las multas más alta y más baja respectivamente.
Por último, es preciso destacar las sanciones impuestas a dos grandes multinacionales, por errores en sus políticas de cookies, con cuantías de 30.000 y 10.000 euros.
Estas dos sanciones han coincidido con la publicación por parte de la AEPD de la nueva guía de cookies, lo que nos da una gran pista acerca de la importancia que la propia autoridad de control le quiere dar al uso de las cookies y su regularización.
Sin publicidad en las sanciones
Por último, es destacable que no se haya dado publicidad a las sanciones impuestas por el incumplimiento de los derechos reconocidos en la normativa vigente en materia de protección de datos (ARSOPOL), así como tampoco por brechas de seguridad. Destaca la AEPD que durante 2019 se produjeron 1.700 incidentes en relación a brechas de seguridad, de los que solo 300 se convirtieron en expedientes sancionadores.
Queda patente aquí la gran importancia de contar con un delegado de protección de datos que informe, asesore y supervise el cumplimiento de la normativa en estos aspectos tan relevantes en las empresas.
A la luz de estos datos, podemos destacar que las sanciones en España siguen siendo parecidas a las que se imponían con la antigua LOPD, a diferencia de otras autoridades de control europeas que sí han impuesto sanciones más altas como los 50 millones de sanción que impuso la CNIL (Francia) a Google Inc, los casi 205 millones de euros impuestos por la ICO (Reino Unido) a British Airways o los 18 millones de euros impuestos por la Autoridad Austriaca de Protección de Datos a una empresa postal.
Para este 2020, además de las novedades comentadas en el inicio del artículo, se empezarán a regularizar los códigos tipo, códigos de conducta y sellos de certificación, que aportarán más confianza y seguridad a las organizaciones en el tratamiento de datos que llevan a cabo en el normal desarrollo de su actividad empresarial.
Israel Llavata es consultor de Gobierno de la Información y Cumplimiento Normativo en la consultora tecnológica Sothis.