Cómo evitar una denuncia de protección de datos

Todas aquellas empresas o autónomos que almacenen datos de clientes y proveedores deben cumplir con la normativa vigente en protección de datos.

En caso de que no se esté cumpliendo con dicha normativa, debemos tener claro que nos podemos enfrentar a denuncias tanto por parte de nuestros propios trabajadores o de ex trabajadores, que nos quieran buscar las cosquillas, como de los clientes y usuarios de los que realizamos tratamientos de datos.

Con este artículo vamos a intentar explicarte las posibles infracciones que se pueden cometer y las sanciones que acarrearían, con el único fin de que se puedan evitar.

En este artículo hablamos de:

Normativa
Infracciones del RGPD para responsables del tratamiento
Preguntas frecuentes de nuestros clientes
Sanciones
- La Liga de fútbol
- Supermercados DIA

Normativa

Las normas que aluden a las infracciones, sanciones y que determinan las conductas que se deben realizar para evitar que cualquier particular interponga una denuncia por incumplimiento en la normativa de protección de datos son:

RGPD. Donde se regulan las cuestiones más sencillas en cuanto a las infracciones. Y se determinan las sanciones que se van a aplicar.
Real Decreto-Ley 5/2018. Reemplaza las infracciones de la LOPD por las contenidas en el RGPD y el procedimiento a seguir en caso de que se impongan sanciones.
Ley de Servicios de la Sociedad Informática y Comercio Electrónico (LSSI). Donde se regula todo lo relacionado con las comunicaciones comerciales.

Infracciones del RGPD para responsables del tratamiento

Las infracciones más frecuentes en las que se suele caer a la hora de realizar la protección de datos son las siguientes:

1. Tratar datos sin el consentimiento adecuado

Esto viene a decir que para realizar el tratamiento de datos, desde la entrada en vigor del RGPD, se requiere un consentimiento expreso del interesado.

En el caso de que recabemos el consentimiento de personas consideradas menores de edad debemos contar con un sistema de verificación de edad.

Es muy importante recordar que en materia de protección de datos se consideran por el RGPD mayores de edad a los sujetos que tengan 16 años. Además, se debe atender a la normativa interna de cada país. El RGPD establece la posibilidad de determinar otros límites para establecer la mayoría de edad siempre que sea superior a 13 e inferior a 16 años. En España la mayoría de edad en esta materia se determina en 14 años.

Errores que se cometen

Los principales errores a la hora de solicitar el consentimiento de los afectados son:

Tener casillas pre-marcadas para otorgar consentimientos en los contratos que firmemos con nuestros clientes
Usar el consentimiento con una finalidad distinta para la que fue recogido
Mucho cuidado con la publicación de fotos en páginas webs o cualquier otro soporte donde estén identificadas o sean identificables las personas que aparecen en ella. Sin consentimiento no hay publicación

2. Página web

En el caso de que la organización cuente con una página corporativa donde se ofrezcan y contraten servicios, se establezcan formularios donde se realice una recogida de datos y demás actividades similares, es importante tener en cuenta que debemos actualizar a la nueva normativa, todos y cada uno de los documentos legales en ella contenidos.

Los documentos legales a los que nos referimos son:

aviso legal,
política de privacidad,
política de cookies y
condiciones generales de contratación.

Respecto a este apartado, el error más frecuente que se comete es realizar un “copia y pega” de los documentos de otra página web. Realizando este acto nos olvidamos de que estos textos deben cumplir con una serie de requisitos generales. Así como una adaptación particular a la propia naturaleza de la empresa.

La página web debe proporcionar una información por capas al usuario. En la primera capa se da una información básica sobre:

quién es el responsable,
para qué fines se recogen los datos,
base jurídica,
si se van a ceder y
derechos ARCO, limitación y portablidad.

En la segunda capa se recoge la información adicional con:

datos de contacto del responsable y del DPO en su caso,
plazo de conservación de datos,
decisiones automatizadas,
destinatarios de la cesión de datos y
cómo ejercer los derechos.

Principales fallos de las páginas web

Los errores más cometidos en las páginas web son:

Si eres un autónomo y copias el aviso de una SL o SA o viceversa puedes olvidar incorporar la información relativa a la inscripción en el Registro Mercantil
Cuando tu actividad requiera de una colegiación previa debes incorporarla
En caso de que te dediques a la venta online debes revisar las políticas de compra, devolución, envío para que se adapte a tus políticas
Cuando incorpores formularios para la recogida de datos (nombre, correo electrónico…) se debe establecer una casilla para que el interesado nos dé su consentimiento
Si se utilizan cookies, estas deben estar en un lugar visible, bien en una barra al inicio o en el pie de la página o bien con la política de privacidad, aunque deben estar perfectamente separadas dichas políticas.

3. Envíos de e-maling o newsletters

Si vamos a comunicarnos con nuestros clientes a través de este soporte, debemos tener claras varias cuestiones:

Que la base de datos sea lícita. Es decir, que hayamos obtenido el consentimiento expreso del usuario con fines comerciales
No se recomienda la compra de bases de datos. Precisamente por los interrogantes que se plantean sobre la procedencia de los mismos, si los correos están activos… En definitiva, la fiabilidad de las bases de datos que se compran o ceden está muy en duda

Los errores cometidos por las empresas al enviar comunicaciones comerciales son:

No proporcionar un correo electrónico a disposición del usuario para que se pueda revocar el consentimiento prestado, de forma sencilla y gratuita
En el caso de que envíes una comunicación comercial para volver a recabar el consentimiento de forma expresa y el usuario no te conteste, es muy importante que no te vuelvas a poner en contacto con él. Y la manera más sencilla es bloquearlo en tu lista de contactos

4. Derechos ARCO, limitación y portabilidad

Además de los derechos ARCO, el RGPD introduce nuevos derechos: el derecho a la limitación del tratamiento y el derecho a la portabilidad. Con la finalidad de garantizar un control de sus datos al interesado.

Si el tratamiento se realiza por medios electrónicos se debe dar la posibilidad de que estos derechos se ejerzan a través del mismo medio facilitando un correo electrónico al que se dirijan estas solicitudes.

El ejercicio de los derechos será gratuito. Cuando se den solicitudes excesivas o sin fundamento, el responsable del tratamiento podrá establecer el pago de un canon con el que se cubran los gastos administrativos o negarse a la petición.

Las infracciones cometidas en esta materia surgen por:

No informar al usuario sobre la posibilidad de ejercitar estos derechos
Que el correo que hayamos establecido para atender las solicitudes no sea un correo que usemos a menudo y las peticiones caigan en el olvido
Pasarnos del plazo de un mes o dos meses cuando las solicitudes sean complejas, aunque se debe informar de ello dentro del primer mes para contestar

5. No haber firmado con los empleados los compromisos de confidencialidad

La confidencialidad se entiende como una medida de protección técnica y organizativa, que el responsable del tratamiento está obligado a implantar y a firmar con sus empleados.

Los principales errores cometidos por las empresas son:

Entender que al comienzo de la relación se firmó el compromiso de confidencialidad y que no hace falta actualizarlo.
En el caso de que el trabajador no quiera firmar el compromiso de confidencialidad, es importante dejar constancia de que la empresa ha procedido a informar al empleado y que este se ha negado. Bien plasmando un “no conforme” junto a la firma del trabajador o bien firmando un documento donde se explique que se ha negado a firmar

6. Videovigilancia

El tema de la instalación de cámaras de videovigilancia trae consigo muchas dudas. Y en la práctica existen muchos errores frecuentes que se repiten una y otra vez y que pueden dar lugar a sanciones.

Hay que tener claro que solamente seremos responsables del tratamiento de las imágenes cuando seamos nosotros quienes manejamos las cámaras o tengamos acceso a esas grabaciones.

Los fallos más cometidos en materia de videovigilancia son:

No informar con carteles que se está grabando con cámaras de videovigilancia
Instalar cámaras en los centros de trabajo sin haber informado al personal
Que las cámaras enfoquen hacia la vía pública
Que las cámaras se instalen en espacios privativos, como lo son los baños, vestuarios…
Las imágenes solamente podrán ser visionadas por las personas autorizadas para ello.

Preguntas frecuentes de nuestros clientes

¿Cómo actúo ante una denuncia?

La AEPD nos comunica que se ha realizado la apertura del procedimiento sancionador, generalmente a través de un requerimiento o comunicación escrita. Ante estas situaciones, debemos facilitar a la AEPD toda la documentación que nos solicite. Y debemos cesar en el motivo o causa de la infracción que conste en el escrito, así como adoptar las medidas necesarias que garanticen que esa situación no se volverá a repetir.

¿Cómo debo responder a la solicitud de la AEPD?

En este caso tenemos dos opciones:

Acudiendo a las oficinas de la AEPD: Llevaremos 2 copias de nuestra respuesta, la cual la entregaremos en mano en el Registro y nos las deberán sellar, una copia para nosotros y otra para ellos
A través de la sede electrónica: Deberemos entrar en la sede electrónica de la AEPD y presentar electrónicamente la contestación. Para ello necesitaremos firma o certificado electrónico

¿Qué puedo hacer si la infracción la ha cometido uno de mis empleados?

Si ese empleado conocía sus derechos y obligaciones en materia de protección de datos, podrás imponerle las sanciones que estuvieran previstas ante una infracción de sus deberes y obligaciones, cuya máxima sanción, laboralmente hablando sería el despido.

Por el contrario, si ese empleado no tenía información sobre cómo debía actuar en ese caso, no podrás actuar contra él. El responsable serás tú como empresa.

Sanciones

Aquí tienes algunos de los procedimientos abiertos ante la AEPD por incumplimientos del RGPD.

La Liga de fútbol

La Agencia Española de Protección de Datos ha iniciado una investigación sobre la aplicación para el móvil de la Liga de Fútbol Española, en la que se activaba el micrófono y el GPS con el fin de comprobar la localización de los usuarios para comprobar que no existiera una retransmisión pirata de los partidos. Aún se está investigando y se desconoce la sanción.

Supermercados DIA

Este mes de agosto saltó la noticia sobre los “extraños cupones” del supermercado DIA, donde se explicaba que al hacer uso de los descuentos que aparecían en el cupón se entendía que el usuario estaba otorgando su consentimiento para que la empresa cediera los datos personales de los socios a terceros y además se consentía para el envío de comunicaciones comerciales. La AEPD está investigando sobre ello.

Espero haberte aclarado todas las pautas que debes seguir para evitar ser sancionado por la AEPD.

Desde Grupo Ático34 hemos ayudado en numerosas ocasiones en procedimientos ante la AEPD. Si tienes alguna duda, no te quedes con ella, ¡Consúltanos! Te atenderemos en Tlf 91 489 64 19 o en el correo lopd@Atico34.com