En este artículo explicaremos qué es una vulneración de la protección de datos y lo que debemos hacer si ocurre, tanto desde el punto de vista del responsable y encargado del tratamiento, como del interesado.
En este artículo hablamos de:
- ¿Qué es una vulneración de la protección de datos?
- ¿Cuándo se vulnera la Ley de Protección de Datos?
- Ejemplos de vulneración de protección de datos
- ¿Qué debemos hacer ante una vulneración de protección de datos? ¿Denunciar?
- ¿Cómo denunciar una vulneración de protección de datos?
- ¿Qué consecuencias tiene vulnerar la protección de datos?
¿Qué es una vulneración de la protección de datos?
Por un lado, el artículo 4.12 del RGPD nos dice que una vulneración de protección de datos es:
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
Por otro lado, una vulneración de la Ley de Protección de datos es también cualquier acción que pueda suponer un trato o exposición ilícita de datos personales, así como cualquier transgresión de la propia normativa en cuanto a los derechos de los interesados respecto a sus datos personales.
Es decir, podemos considerar que cualquiera de las infracciones recogidas en los artículos 72, 73 y 74 de la LOPDGDD son vulneraciones de la normativa de protección de datos, puesto que todas ellas hacen referencia de una u otra manera al tratamiento ilícito de datos personales y al no respeto de los derechos de los interesados.
En definitiva, vulnerar la protección de datos es no cumplir con las obligaciones que establece tanto el RGPD como la LOPDGDD en cuanto tratamiento lícito y seguridad de los datos personales que se manejan.
¿Cuándo se vulnera la Ley de Protección de Datos?
Atendiendo a lo dicho en el punto anterior, se vulnera la Ley de Protección de Datos cuando se produce la destrucción o alteración de datos personales, su pérdida o su filtración. También ocurre una vulneración de protección de datos cuando un tercero no autorizado tiene acceso a datos personales.
Así mismo, también se produce una vulneración de la normativa, cuando no se atienden las solicitudes de los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento (derechos ARSULIPO).
Cabe señalar, además, que se considera una vulneración de datos tanto si esta se produce por negligencia, es decir, fruto de un descuido o como consecuencia de un engaño o ciberataque, como si produce de forma deliberada, porque el responsable del tratamiento cede datos a terceros sin el consentimiento y conocimiento de los interesados o recaba o trata datos personales sin el consentimiento del interesado o cualquier otra razón legitimadora (de las reconocidas en el artículo 6 del RGPD).
Ejemplos de vulneración de protección de datos
Son ejemplos de vulneración de protección de datos los siguientes casos reales, algunos de ellos cometidos por el propio responsable del tratamiento, al llevar a cabo un tratamiento de datos que, finalmente, la AEPD o la autoridad de control correspondiente, consideró ilícito, y otros debidos a incidentes o brechas de seguridad:
- Sanción a CaixaBank con 2.100.000 euros por condicionar la prestación del consentimiento de sus clientes para diferentes tratamientos (como el envío de comunicaciones comerciales) a cambio de eliminar algunas de las comisiones bancarias de su contrato. El consentimiento siempre debe darse libremente y no ha de estar condicionado, en este caso, además, si se revocaba el consentimiento dado, se produciría un efecto negativo para el interesado.
- Sanción a Vodafone de 8 millones de euros por enviar comunicaciones comerciales a usuarios sin su consentimiento y sin consultar la Lista Robinson. Esta sanción se divide en varias multas por vulnerar diferentes artículos del RGPD y la LOPDGDD, así como la LSSI-CE, entre ellos, el derecho de oposición al tratamiento (el envío de comunicaciones comerciales es un tratamiento de datos al que los interesados pueden oponerse).
- Filtración masiva de datos de Easy Jet, que en 2020 dejó expuestos 9 millones de datos de clientes (datos que incluían números de tarjeta, fechas de vencimiento y el código de seguridad de tres dígitos en 2.208 casos).
- Filtración de datos de 700 millones de usuarios de LinkedIn en 2021, estos datos, que contenían direcciones de correo electrónico, nombres o números de teléfono, se vendieron en la Dark Web.
¿Qué debemos hacer ante una vulneración de protección de datos? ¿Denunciar?
Depende de la posición en la que estemos respecto a la vulneración de protección de datos, puesto que, mientras que responsables y encargados de tratamiento tienen que cumplir con las obligaciones que establecen el RGPD y la LOPDGDD respecto a las vulneraciones de protección de datos, cuando estas se producen como consecuencia una brecha de seguridad, como interesados lo que podremos hacer será ejercer nuestros derechos.
Como responsables del tratamiento
Como responsables del tratamiento, si la vulneración de protección de datos la hemos cometido de manera inconsciente, es decir, hemos llevado a cabo un tratamiento de datos que pueda ser considerado ilícito por la AEPD, tendremos que cesar dicho tratamiento inmediatamente y eliminar los datos personales correspondientes. Esto no quiere decir que nos puedan denunciar y sancionar posteriormente, especialmente si de ese tratamiento ilícito hemos obtenido algún beneficio.
Si la vulneración se debe a una brecha de seguridad, como las que hemos visto en los dos últimos ejemplos anteriores, entonces deberemos, primero, llevar a cabo las acciones necesarias para frenar la brecha e impedir que se sigan filtrando datos. Y, segundo, determinar si la vulneración producida puede poner en riesgo los derechos y libertades de los interesados cuyos datos se hayan podido ver afectados.
Si existe ese riesgo, tendremos un plazo de 72 horas máximo, desde el momento en que tenemos conocimiento de la vulneración, para notificarla a la AEPD y a los propios interesados.
Como encargado del tratamiento
Cuando la vulneración de protección de datos es responsabilidad del encargado del tratamiento, este, en el caso de ser una vulneración hecha por él, deberá proceder como el responsable y cesar el tratamiento ilícito.
En el caso de una brecha de seguridad, tendrá que notificársela al responsable del tratamiento lo antes posible, es decir, sin una dilación indebida, para que el responsable pueda llevar a cabo, en su caso, la notificación a la AEPD y los interesados afectados.
Como interesados
Como interesados podremos, primero ejercer el derecho ARSULIPO correspondiente, por ejemplo, si una empresa nos envía comunicaciones comerciales para las que no hemos dado nuestro consentimiento, podremos ejercer nuestro derecho de oposición (además del de acceso, para ver qué datos personales nuestros tienen, y el de supresión para que los eliminen). Todos los responsables del tratamiento deben facilitar a los interesados información sobre cómo y a través de qué vía ejercer estos derechos.
Segundo, en caso de que el responsable no respondiera a nuestra solicitud de derechos o lo hiciera de forma insatisfactoria, podremos poner una denuncia por vulneración de protección de datos ante la AEPD y, en el caso de que dicha violación nos hubiera causado algún daño o perjuicio moral o económico, podríamos, incluso, solicitar una indemnización por la vulneración de protección de datos a través de la vía judicial (aunque será necesario demostrar la relación causa-efecto entre la vulneración y el daño provocado por esta).
¿Cómo denunciar una vulneración de protección de datos?
Para denunciar una vulneración de protección de datos, de manera resumida, debes recabar todas las pruebas que creas pertinentes y presentar la denuncia ante la AEPD, bien a través de la Sede Electrónica, a través de medios telemáticos (cumplimentando el formulario correspondiente), o bien enviándola por correo postal a la misma (Subdirección de Inspección de la AEPD, C/ Jorge Juan, 6, 28001, Madrid).
Aunque para hacer una denuncia ante la AEPD no es necesario contar con asistencia de abogado, se recomienda hacerlo, porque habrá que escribir de manera adecuada la denuncia y aportar las pruebas que la respalden.
¿Qué consecuencias tiene vulnerar la protección de datos?
Tanto si se produce de forma voluntaria como si se debe a una brecha de seguridad, una vulneración de protección de datos puede ser motivo de sanción administrativa, cuya cuantía dependerá del tipo de infracción cometida, la categoría de datos afectada, el número de interesados afectados, el beneficio obtenido o su duración en el tiempo.
A modo de resumen, la LOPDGDD establece las siguientes sanciones en protección de datos:
- Hasta 40.000 euros para infracciones leves
- De 40.001 a 300.000 euros para infracciones graves
- De 300.001 a 20 millones de euros (o el 4% del volumen de facturación anual) para infracciones muy graves
Para evitar cometer una vulneración de protección de datos por negligencia, descuido o desconocimiento de la normativa, lo recomendable es siempre contar con el asesoramiento y ayuda de una consultoría especializada en protección de datos, como Grupo Atico34; nuestro equipo de expertos no solo evitará que infrinjas la normativa, también te ayudará a implantar las medidas técnicas y organizativas adecuadas para evitar las brechas de seguridad y sus peores consecuencias.