El Reglamento Europeo de Protección de Datos (RGPD) trajo consigo la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), que entró en vigor hace tres años para proporcionar mayor seguridad a los particulares cuando por una u otra razón dan sus datos personales a las empresas, que siempre deben hacer un uso correcto y responsable de los mismos. Ahora bien, ¿Todas las empresas tienen la obligación de cumplir esta normativa? ¿Los autónomos también se incluyen en este grupo? ¿Son muy elevadas las sanciones? 

Índice de contenidos

En Álvarez Real somos de los primeros profesionales de Galicia en obtener la certificación de Delegado De Protección de Datos acreditada por el Esquema de Certificación  de la Agencia Española de Protección de Datos, la mejor garantía y acreditación oficial para asesorar sobre cualquier tema o duda relativa a los derechos y obligaciones de las empresas y personas físicas en materias tan delicadas como la seguridad y privacidad.

A menudo el desconocimiento y las lagunas legales están detrás de los incumplimientos de pymes y autónomos. Para evitar errores  y cumplir la ley vigente el mejor consejo que podemos darte es que te informes bien.

¿QUÉ EMPRESAS ESTÁN OBLIGADAS A CUMPLIR LA LOPD?

Desde la multinacional de renombre hasta la más humilde de las pymes, todas las empresas y organizaciones -independientemente de su tamaño- que en el desarrollo de su actividad posean y traten datos personales están obligadas a hacerlo. Los autónomos tampoco no se quedan fuera de la norma. ¿El motivo? Porque la simple petición a un cliente de su correo electrónico o número de teléfono genera la obligación de cumplir con la LOPD.

En líneas generales deben cumplir la normativa de protección de datos de carácter personal:

  • Sociedades mercantiles (pymes y grandes empresas)
  • Autónomos.
  • Organismos públicos.
  • Administraciones públicas.
  • Asociaciones.
  • Comunidades de bienes.
  • Comunidades de propietarios.
  • Entidades sin ánimo de lucro.

¿A QUÉ TIPO DE SANCIONES ME ENFRENTO?

La ley establece tres tipos de multas: leves, graves y muy graves.

SANCIONES LEVES: 

La cuantía va desde los 900 a los 40.000 euros. Se consideran infracciones leves, entre otras, son las siguientes:

  • No solicitar la inscripción del fichero en la Agencia Española de Protección de Datos (AEDP)
  • Recopilar datos personales sin informar previamente.
  • No atender a las solicitudes de rectificación, cancelación, supresión o limitación del tratamiento o portabilidad de los datos cuando no se requiera la identificación del afectado.
  • No cumplir con la obligación de informar al afectado de los destinatarios a los que se haya comunicado la rectificación, supresión o limitación del tratamiento.
  • Informar tarde o de forma incompleta a la AEPD de una brecha de seguridad.
  • El envío de correos a clientes sin usar el sistema de copia oculta se considera una infracción leve.

SANCIONES GRAVES:

Las cuantías oscilan entre los 60.000 y 300.500 euros.  Se consideran infracciones graves, entre otras, son las siguientes:

  • Dejar documentos con datos personales en la vía pública (ejemplo, currículos o datos bancarios)
  • Comunicaciones comerciales sin consentimiento expreso de los interesados por email, SMS o Whattsap sin haber tenido la entidad ninguna relación comercial con dichos interesados.
  • Publicar datos de la plantilla laboral en las redes sociales.
  • Publicar datos médicos de los clientes por error a través de hipervínculos.
  • Difusión por internet de CV de un empleado en una red social profesional.
  • No inscribir los ficheros en la AGPD.

SANCIONES MUY GRAVES:

Las cuantías por cometer una sanción muy grave son entre 300.500 y 600.000 euros. Estas son algunas de ellas. 

  • Crear ficheros para almacenar datos especialmente protegidos.
  • Recoger datos de manera engañosa o fraudulenta.
  • Recabar datos especialmente protegidos sin la autorización del afectado.
  • No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación.
  • Comunicación o cesión de datos si no ha sido permitido.
  • No atender de forma sistemática los requerimientos de la AGPD.
  • Transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización.

La AEPD SANCIONA: 23 MILLONES DE EUROS EN MENOS DE UN AÑO

Desde finales de 2020 y mayo de 2021, la Asociación Española de Protección de Datos (AEPD) ha interpuesto sanciones por más de 23 millones de euros, entre ellas, multas millonarias a multinacionales como Vodafone o grandes empresas como Mercadona. En el listado de infractores multados no se libran los pequeños negocios. Estos son algunos ejemplos de multas que el organismo público ha impuesto en los últimos meses:

  • 1.000 euros a una comunidad de propietarios por instalar una cámara de vigilancia y por no tener el correspondiente cartel de aviso.
  • 2.000 euros de multa a una empresa por no contestar a una persona que envió su currículo por WhatsApp solicitando un empleo.  El candidato denunció que la compañía en cuestión no se había puesto con él y por tanto tampoco le dijo qué uso haría de sus datos. La AEPD consideró que la empresa vulneró la ley por no haber enviado un mensaje a esta persona explicándole cómo iba a tratar sus datos personales recogidos en el CV.
  • 4.000 euros por agregar a un grupo de WhatsApp sin permiso. La Agencia Española de Protección de Datos impuso una sanción de 4.000 euros -infracción leve- a un club deportivo que añadió a un exsocio a un chat dejando a la vista su contacto. Lo había hecho sin su permiso.
  • 4.000 euros por enviar un correo comercial a más de 400 personas sin autorización ni en copia oculta. Es el conocido email-marketing que le salió muy caro a un taller mecánico al enviar un correo masivo sin permiso y sin ocultar la identidad de los receptores. Una de las personas que recibió el correo lo denunció. Alegó, entre otras cuestiones, que aparecía su nombre completo asociado a su dirección de correo y los otros destinatarios tenían sus datos sin que él hubiese consentido su uso.
  • 10.000 euros de sanción por enviar correos no deseados. El reclamante interpuso reclamación ante la AEPD, el día 20 de junio de 2020, contra una serie de empresas que le mandaban correos no deseados. Este solicitó en reiteradas ocasiones la baja de estos hasta que recibió un mensaje por parte de una de las empresas comunicándole la supresión de este servicio. Doce días después volvió a recibir correos. 
  • 2,5 millones de multa a Mercadona por grabar en tiendas a los clientes con un sistema de videovigilancia que permitía identificar a personas con sentencia firme y orden de alejamiento de sus supermercados. Era un proyecto piloto que se había instalado en 48 establecimientos.
  • 8 millones de euros a Vodafone, la multa récord. Por vulnerar hasta tres normas relacionadas con la protección de datos y por no respetar la confidencialidad de sus clientes. 

Lorena Vázquez
Álvarez Real Consultoría

Leave a Reply