Nos siguen preguntando con bastante frecuencia eso de “¿puedo coger direcciones de e-mail publicadas en internet para enviar a la gente, comunicaciones publicitarias?”.

Por supuesto que NO.

Comprendemos perfectamente que el correo electrónico es un medio cómodo –y encima gratuito- para hacerte publicidad y dar a conocer tu negocio. De hecho, tal y como están las cosas, es el único medio que muchos pueden permitirse.

Pero ten muy claro que si recopilas, sin más, e-mails de páginas webs, o de fuentes accesibles al público como los listados de colegios profesionales o repertorios telefónicos, para enviar publicidad, estás infringiendo la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), y puedes ser sancionado.

RGPD y LSSICE

En este punto, la mayoría de la gente confunde algunos preceptos del RGPD con la LSSICE. Pero son dos normas distintas que protegen también cosas distintas.

La LSSICE, en lo que aquí nos interesa, lo que pretende es poner freno al SPAM, es decir, a la publicidad no deseada que se realiza por medios electrónicos y en particular, por e-mail.

Y no hay excepciones en función del destinatario, porque sea persona jurídica, un profesional o porque tenga publicado su e-mail en internet.

Y la LSSICE es muy clara en su artículo 21.1, en el que SE PROHÍBE:

“…el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.”

Salvo que (artículo 21.2 LSSICE):

“…exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.”

Fuera de esos supuestos, el envío de e-mails publicitarios no procede y podrá ser sancionado.

Sanciones AEPD

Puedes comprobar lo que estamos diciendo en la siguiente Resolución (y hay muchas en el mismo sentido) de la Agencia Española de Protección de Datos, pinchando aquí:

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2014/common/pdfs/PS-00681-2013_Resolucion-de-fecha-18-03-2014_Art-ii-culo-21-LSSI.pdf

En ella se dice justo lo que estamos comentando, y se multa a una empresa con 1.800 euros por infracción leve.

La empresa multada lo que hizo fue enviar un e-mail a otra entidad ofertando unos cursos, cuando esta última había manifestado expresamente que no quería seguir recibiendo publicidad.

La denunciada alegó:

• que se trató de un error informático
• que, en todo caso, la dirección de e-mail se encontraba publicada en internet,
• y además dicha dirección empezaba con “info”, lo que se podía entender como una invitación a recibir publicidad.

Son muchos los errores que se cometen en este tema, y si eres uno de ellos, deberías saber que estás asumiendo un riego bastante alto de ser sancionado por la Agencia Española de Protección de Datos.

Así que los envíos de boletines de noticias, recopilación de noticias, comunicaciones comerciales, circulares informativas o como prefieras llamarlos según tu caso (piensa que una felicitación navideña también está dentro de estos supuestos), puedes encontrarte con no pocos problemas si actúas con desconocimiento de la normativa que regula esta materia y que es la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE).

También puedes ver la Resolución nº 2307/2013, de 30 de septiembre de 2013, dictada en el Procedimiento Sancionador nº 322/2013.

En ella un particular denunció a la empresa DIRECTO A CASA VENTA DIRECTA, SL porque recibía de la misma una “newsletter”, a pesar de haber pedido la baja de su e-mail para que no le enviaran más comunicaciones.

La empresa denunciada, tras recibir la solicitud de baja, respondió al solicitante diciéndole que se accedía a tal baja a través de una lista de distribución donde la dirección de e-mail del denunciante era visible para el resto de miembros.

Hay un par de párrafos de los fundamentos jurídicos de la Resolución de la AEPD, que resumen muy bien el mensaje que todos los que envían comunicaciones comerciales electrónicas deben tener en cuenta:

Actualmente se denomina “spam” a todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se entiende por “spam” cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es el correo electrónico.

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Os aconsejamos que antes de iniciar cualquier campaña por vía electrónica destinada a colectivos de clientes, solicitantes u otros, os asesoreis debidamente.

Publicidad no deseada

La Agencia Española de Protección de Datos publicó en la web un artículo sobre la publicidad no deseada, que se puede leer aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

Se trata de una cuestión que afecta a diario tanto a particulares, como a empresas, y ante la que muchas veces no sabemos reaccionar de forma correcta.

Recordemos que la publicidad con las que nos bombardean -un día sí y otro también- tanto por teléfono como por e-mail, no se adapta a la legislación vigente cuando no ha sido expresamente consentida por nuestra parte con carácter previo (salvo que hayas contratado un servicio o producto antes y te envíen publicidad sobre servicios o productos similares).

Sugerencias de la AEPD para defender nuestros derechos:

1º. Inscribirse en la lista Robinson (se puede hacer online):

Las empresas que van a realizar campañas publicitarias deben antes consultar esta lista para no dirigirse a quienes estén inscritos en ella.

2º. Utilizar las fórmulas anti publicidad que proporcionan las propias empresas que la envían:

Marcación de la casilla específica de exclusión de publicidad o baja de publicidad a través de e-mail o web habilitada al efecto son las más habituales.

3º. No dar consentimiento para envíos publicitarios:

Muchas veces lo estamos dando de forma expresa al participar en concursos, aceptar ofertas o registrarnos en webs. Y ojo que el RGPD es mucho más duro con la forma de prestar el consentimiento, que deberá ser siempre expreso.

4º. Revocar:

El consentimiento que dimos inicialmente para recibir publicidad, es revocable en todo momento. Hay que tener en cuenta que puedes cambiar tu voluntad al respecto cuando quieras, comunicándolo así al emisor de la publicidad.

5º. Ejercitar el derecho de oposición:

Es un derecho expresamente reconocido por la normativa vigente y sirve para oponerte a que tus datos se usen con una determinada finalidad (por ejemplo: enviarte publicidad).

6º. Ejercitar el derecho de cancelación:

Es otro derecho reconocido por Ley y es más tajante que el anterior. Se trata de pedir que eliminen nuestros datos, de forma que no puedan volver a dirigirse a nosotros.

7º. Solicitar que los datos no aparezcan en las guías telefónicas:

Se le solicita al operador que hayamos contratado y deben hacerlo efectivo.

8º. Denunciar ante la Agencia Española de Protección de Datos:

Cuando las demás fórmulas no sean eficaces, siempre se puede recurrir a este organismo, presentando la correspondiente denuncia.

La entrada SPAM Y FUENTES ACCESIBLES AL PUBLICO se publicó primero en Gestiona Abogados.

¿Te han incluido en un grupo de WhatsApp sin tu consentimiento?

Que sepas que ello infringe la normativa en protección de datos, pues infringe los principios de:

• limitación de la finalidad
• integridad
• y confidencialidad.

El RGPD tipifica la infracción en el artículo 83.5.a) del RGPD y es considerada muy grave en el artículo72.1.d) e i) de la LOPDGDD.

Caso real

En el Procedimiento sancionador 195/2019, la AEPD analiza la inclusión de una persona en un grupo de whatsapp sin su consentimiento, por parte de una inmobiliaria.

El texto de la resolución lo podéis encontrar pinchando en el siguiente enlace:

https://lnkd.in/eK8Vg5H.

En este caso, el hecho de contratar a una empresa especializada en protección de datos y de remitir una carta de disculpa al afectado, supone que la denuncia finaliza con un apercibimiento a la empresa responsable de los hechos.

Legislación aplicable

El artículo 5 del RGPD establece que los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»);

f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”

Resolución del caso

Según dispone la AEPD, debe prestarse especial atención a:

• la naturaleza, gravedad y duración de la infracción
• su carácter intencional
• medidas tomadas para paliar los daños y perjuicios sufridos
• grado de responsabilidad o a cualquier infracción anterior pertinente
• forma en que la autoridad de control haya tenido conocimiento de la infracción
• cumplimiento de medidas ordenadas contra el responsable o encargado
• adhesión a códigos de conducta
• cualquier otra circunstancia agravante o atenuante.

En este caso concreto, se ha acreditado en virtud de los documentos aportados por la entidad denunciada el 12 de julio de 2019, que al contratar a una empresa  especializada en protección de datos, y remitir carta de disculpa al afectado, de fecha 25/01/2019, se han adoptado las medidas requeridas en el acuerdo de inicio del procedimiento, consistentes en:

«La supresión de los datos del reclamante del grupo de WhatsApp de la entidad denunciada de conformidad con los principios de finalidad, integridad y confidencialidad».

La denuncia finaliza con un apercibimiento a la empresa responsable de los hechos.

La entrada GRUPOS DE WhatsApp se publicó primero en Gestiona Abogados.

La obligación del registro de la jornada, que ya existía para los trabajadores a tiempo parcial, se extiende a todos los trabajadores, desde  el 12 de mayo de 2019.

¿Cómo deberá realizarse el registro de la jornada?

• -el registro incluirá el horario concreto de inicio y fin de cada jornada de trabajo.
• -obliga a la empresa de conservar los registros durante 4 años, en los que deberán estar a disposición de los trabajadores, representantes legales e Inspección de Trabajo.
• -a través de negociación colectiva o acuerdo de empresa, se puede organizar y documentar el registro de la jornada, y también por decisión del empresario, obviamente.

¿Qué regula y controla el registro de jornada laboral?

El control y registro de jornada laboral a llevar a cabo de forma obligatoria, por todas las empresas que cuenten con empleados en nómina, solo obliga a contar con un sistema que homologue el momento de entrada y salida de cada empleado, ya sea de forma presencial, o a distancia si se trata de teletrabajo , o registros fuera de la oficina.

Con ello, el único interés de la norma es poder comprobar que, empresarios y empleados, cumplen con las horas de trabajo recogidas en los contratos,  y que éstos últimos, no realizan horas extra más allá de las permitidas.

La única información recogida por estos sistemas, y que desde Inspección de Trabajo reclamarán,  será exclusivamente el horario de entrada y de salida.

De esta forma, no se entra a regular ni se exige controlar, otros aspectos relativos a la productividad, como los descansos, los horarios de comida, etc.

¿Qué impacto tiene este registro en materia de protección de datos?

1. Principio de información.

Debemos cumplir, en todo caso, con el principio de información,  e informar al trabajador, acerca de cómo van a ser tratados sus datos.

Entre la información a facilitar, deberá indicarse que el registro horario deberá conservarse durante un plazo mínimo de 4 años, y este deberá estar a disposición de los representantes de los trabajadores y de la inspección de trabajo y seguridad social.

2. Legitimación.

Como en todo tratamiento de datos personales, es fundamental contar con una base jurídica que haga ese tratamiento de datos personales lícito.

En consecuencia, resulta necesario analizar cuál es la base legitimadora que permite tratar los datos de los trabajadores para poder llevar el registro.

Para ello, debemos prestar atención a que la finalidad del tratamiento de los datos de los trabajadores será, en este caso,  cumplir con la llevanza del registro de su jornada.

¿Puedo llevar un registro de jornada laboral mediante huella dactilar?

Es necesario partir de la base de que los datos biométricos (como es el caso de la huella dactilar) han pasado a ser considerados como una categoría especial de datos

El tratamiento de la huella dactilar, para el control de acceso por los trabajadores, podría considerarse una medida de control amparada en el artículo 20Enlace añadido por la extensión vLex del Estatuto de los trabajadores por lo que, en principio, no resultaría necesario recabar el consentimiento del interesado.

En cualquier caso, es necesario aplicar el principio de minimización para implementar esta medida, es decir, deberá limitarse a los supuestos en que se considere realmente necesaria, para que el control sea eficaz.

Partimos de la premisa de que los datos biométricos sólo pueden usarse de manera adecuada, pertinente y no excesiva, lo que conlleva una evaluación de la necesidad y de la proporcionalidad del tratamiento.

Por ello, aplicando el criterio fijado por la AEPD en varios Informes jurídicos y resoluciones (Informe 0065/2015, Resolución R/00900/2018), para comprobar si una medida supera el juicio de proporcionalidad, hay que constatar que cumple los siguientes requisitos o principios:

Idoneidad:

Si tal medida es susceptible de conseguir el objetivo propuesto, y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión.

Por ejemplo, si los datos almacenados en la base de datos del servidor se guardaran en una tarjeta, resultaría menos excesivo ya que estarían en poder del propio interesado.

Necesidad: 

Si no existe otro método más moderado para conseguir la finalidad propuesta con la misma eficacia.

Proporcionalidad:

Se ha de evaluar si hay un medio menos invasivo de la intimidad para alcanzar el fin que se desea.

Por ejemplo, algún método que no almacene datos para fines de autenticación, o el uso de tarjetas inteligentes que porten los interesados de forma que el sistema únicamente almacene la información referida al uso o no uso de accesos, sin que en ningún momento se refleje el algoritmo de la huella. 

Así, para dar cumplimiento a este juicio de proporcionalidad, será necesario realizar una evaluación de impacto sobre la protección de datos a la vista de las circunstancias concretas en las que se lleve a cabo el tratamiento.

En definitiva, el sistema podría implementarse siempre que el mismo cumpliera las garantías suficientes de seguridad, cumpliendo en todo caso los principios de información y minimización que rigen en materia de protección de datos, y habiendo documentado previamente la correspondiente evaluación de impacto sobre la protección de datos.

Conclusiones

Para que este tipo de sistemas no entre en conflicto con la nueva normativa de Protección de Datos, hay que tener en cuenta las siguientes claves:

• Se debe informar a los trabajadores previamente sobre la nueva obligación de registro de jornada, de forma individual, detallando qué tipo de datos se proporcionan, por qué vía se van a recoger, cuál va a ser su uso y cómo se va a hacer el tratamiento de estos.
• En el caso de que se utilice una aplicación en el móvil, además de lo anteriormente indicado, debe permitir el derecho a la desconexión digital del trabajador. De forma que, si ya no está en periodo laboral, pueda evitar la geolocalización.
• Además, los datos recogidos deben respetar el principio de minimización o proporcionalidad. Es decir, deberán recogerse sólo los datos estrictamente necesarios, y estos deberán estar justificados.

Sanciones

La simple inexistencia de dicho registro, o la presencia de irregularidades que perjudiquen a los trabajadores, podrán ser objeto de sanción, cuya cuantía oscilará entre 626 € y 6.250 €.

El registro en papel suele ser el que más incidencias genera, ya que es un formato manipulable y susceptible de irregularidades.

Algunas prácticas habituales y que desaconsejamos son: la firma al inicio de la jornada del horario de entrada y salida, poner el mismo horario de entrada y salida todos los días, etc. Este tipo de acciones generan desconfianza en Inspección, porque sugieren cierta manipulación desde la empresa.

Además, hay que tener en cuenta las posibles sanciones en protección de datos, al realizar el control horario, que pueden llegar a ser de hasta un 4% sobre el total de facturación anual.

La entrada REGISTRO DE LA JORNADA LABORAL se publicó primero en Gestiona Abogados.

Las sanciones se imponen al responsable del tratamiento.

Si hacemos un análisis de las brechas de seguridad, que se han conocido desde el 25 de mayo, veremos que un gran número de ellas, han tenido su origen en el proveedor que trataba los datos.

En el momento de distribuir las responsabilidades, veremos que, el incumplimiento de las obligaciones del proveedor encargado del tratamiento, puede afectar al responsable del tratamiento que ha contratado sus servicios.

El responsable del tratamiento tiene la obligación de contratar proveedores que ofrezcan garantía suficientes (culpa in eligendo) y controlar su actividad, llegando a auditarlos en el caso de los proveedores críticos (culpa in vigilando).

En la práctica, la empresa responsable del tratamiento, será la que tendrá que hacer frente a las reclamaciones de los interesados, por ser la que tiene legitimación pasiva en virtud del contrato suscrito con ellos.

EL ENCARGADO, COMO RESPONSABLE DEL INCUMPLIMIENTO

El problema surge cuando el responsable del tratamiento quiere repercutir al encargado del tratamiento las sanciones de la AEPD y las indemnizaciones pagadas a los interesados,

Puede encontrar limitaciones de responsabilidad en el contrato, o limitaciones de cobertura en la póliza de seguros del proveedor.

La empresa responsable del tratamiento puede verse entonces atrapada, entre las reclamaciones de los perjudicados, y las limitaciones de responsabilidad del proveedor que ha incumplido el RGPD y ha causado el perjuicio a los interesados.

PROBLEMAS PARA DERIVAR ESA RESPONSABILIDAD

EL CONTRATO

La primera barrera, es decir, la limitación de responsabilidad por vía contractual puede ser de tres tipos:

1. Cuantitativa: establecida en una cantidad determinada o en el resultado de multiplicar el coste del servicio por una cifra.
2. Cualitativa: basada en la exclusión de unos supuestos determinados de responsabilidad.
3. Indirecta: derivada del incumplimiento de otros requisitos o provocada de facto por la insolvencia del proveedor.

LIMITACIONES DE LA PÓLIZA DE SEGURO

En el caso de que no existan limitaciones contractuales, o éstas sean anuladas tras una negociación con el proveedor o por vía judicial, aparece la segunda barrera, consistente en las limitaciones de la póliza de seguros de responsabilidad civil o en la de ciberriesgo.

La limitación de responsabilidad en este caso también puede ser de tres tipos:

1. Cualitativa: supuestos excluidos de la cobertura.
2. Cuantitativa individual: límite por siniestro.
3. Cuantitativa anual: límite por la suma anual de siniestros.

Un ejemplo, de supuesto excluido de la cobertura del seguro de responsabilidad civil, son las sanciones de la AEPD, que acostumbran a formar parte de la cobertura del seguro de ciberriesgo.

SOLVENCIA ECONÓMICA DEL PROVEEDOR

La tercera barrera sería la solvencia económica del proveedor.

«CURARSE EN SALUD»

El análisis de la existencia, y la dimensión, de las tres barreras que pueden impedir la repercusión al proveedor de las sanciones impuestas por la AEPD, y de las cantidades pagadas a los interesados en concepto de indemnización por daños y perjuicios, debe hacerse en la fase de selección y homologación de proveedores, es decir, en la fase previa a la contratación.

Si la empresa no hace sus deberes en esa fase previa, tendrá que hacerlos en un momento en que puede ser demasiado tarde:

1. Durante la fase de negociación del contrato con el proveedor seleccionado.
2. Durante la vigencia del contrato, tras una auditoría contractual, o de seguros, que evidencia la existencia de limitaciones a la responsabilidad.
3. Tras la brecha de seguridad o el incidente o incumplimiento que ha causado el perjuicio, negociando una distribución adecuada de responsabilidades, en función del nivel de implicación en las causas del incidente, o por vía judicial.

Una vez constatado el papel de los proveedores en las brechas de seguridad, y en las infracciones del RGPD que se han producido hasta el momento, las empresas responsables del tratamiento deberán revisar su metodología de:

• -selección
• -homologación
• -contratación
• – y control continuado de los proveedores que traten datos personales

Y todo ello con el fin de introducir medidas, que permitan una distribución adecuada de las responsabilidades.

Estas medidas deberán incluir una revisión:

• -del contrato.
• -de la cobertura del seguro
• -de la solvencia del proveedor

Y todo ello con el fin de identificar, gestionar y tener en cuenta, en el proceso de toma de decisiones a aplicar, en la fase de selección, las limitaciones que puedan existir a la responsabilidad del proveedor.

La entrada LAS SANCIONES SON PARA EL RESPONSABLE se publicó primero en Gestiona Abogados.

No solo las grandes organizaciones recaban datos a diario que hay que saber gestionar y tratar, sino que también los autónomos y pymes tratáis a diario con este tipo de información. Lo hacéis cuando abrís fichas con los datos de vuestros clientes, cuando pedís vía telefónica información personal o cuando solicitáis la identificación de un cliente en vuestra página web.

Tipos de sanciones del RGPD

El régimen sancionador del RGPD es aplicable cuando el tratamiento de los datos de carácter personal que maneja la empresa, no se adecua a la norma . En su artículo 83.2 se especifica que las multas se establecerán en función a la infracción de que se trate.

Multas administrativas

Según la infracción, las multas administrativas que se contemplan pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global.

Para establecer la cuantía de las sanciones se atenderá al caso particular y se tendrá debidamente en cuenta:

1. La naturaleza, gravedad y duración de la infracción, estudiando la naturaleza, alcance o propósito de la misma, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido.
2. La intencionalidad o negligencia en la infracción.
3. Cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados.
4. El grado de responsabilidad del encargado del tratamiento de los datos, habida cuenta de las medidas técnicas u organizativas que hayan aplicado para salvaguardar la información.
5. Toda infracción anterior cometida por el responsable o el encargado del tratamiento.
6. El grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción.
7. Las categorías de los datos de carácter personal afectados por la infracción.
8. La forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida.
9. Que el responsable o el encargado de que se trate, en relación con el mismo asunto, ya haya sido sancionado, entre otras, con una advertencia o apercibimiento al cumplimiento de dichas medidas.
10. La adhesión a códigos de conducta o a mecanismos de certificaciónaprobados con arreglo al articulado del propio RGPD.
11. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

Por poner algún ejemplo, ahora la cesión de datos a un prestador de servicios sin que se haya suscrito previamente el correspondiente acuerdo, con las medidas de seguridad necesarias y establecidas por el RGPD, que actualmente es castigado con hasta 300.000€, pasará a ser multado hasta con 10 millones de euros o un 2% del volumen de negocio total anual del año anterior.

Sanciones Penales

Esta nueva normativa también establece, por primera vez, la posibilidad de que los Estados miembro puedan instaurar sanciones penales por el incumplimiento del RGPD, trascendiendo la vía administrativa.

Indemnizaciones

Además, el afectado que haya sufrido daño y/o perjuicio, ya sea material o inmaterial, como consecuencia de una infracción de su articulado, tendrá derecho a recibir una indemnización del encargado o responsable del tratamiento de los datos.

El no ponerte al día con esta normativa puede traerte consecuencias muy negativas. En Gestiona Abogados podemos ayudarte.

La entrada ¿Sigues sin implantar el RGPD?: Las sanciones pueden llegar a los 20 millones de euros se publicó primero en Gestiona Abogados.

Que nadie se ofenda, pero quienes defendemos un trabajo profesional debemos crear espacios colaborativos y de difusión conjunta para multiplicar el mensaje y trasladar una imagen correcta y nítida del trabajo de adecuación a la LOPD.  Hay muchas empresas que son el alimento perfecto de los oportunistas de la LOPD .

¿Cuánto crees que vale la protección de datos de las personas que confían que ti?

Si en este momento, una empresa decide que quiere adecuar su negocio a la LOPD y busca en Google servicios de protección de datos, encontrará tanto contraste de precios  que no sabrá cuál elegir.

Cuando un buen profesional tiene que competir con estas empresas “low cost” puede que piense que debería dedicarse a otra cosa, pero lo cierto es que alguien que crea que un trabajo de implantación profesional cuesta menos de 150€ no es mi cliente ideal, porque eso que llaman adecuación a la LOPD y que cuesta 150€ desde luego no lo es, así que antes de emplear 150€ en algo que no te servirá en nada, utilízalos para irte a un viaje de fin de semana, y será mejor inversión.

Ningún trabajo que pretenda analizar de manera rigurosa tu negocio, valorar todos los flujos de información que manejas, investigar todas las vicisitudes que pueden surgir  respecto a los datos personales que gestionas (propios y te terceros) y ofrecerte una solución para cada caso no puede costarte 150€ o menos. Contratar una “low cost” en protección de datos es tirar el dinero de tu negocio.

Por otro lado, y pese a que la propia fundación tripartita ha difundido en sus canales el fraude que supone la practica conocida como “LOPD a coste 0” y las consecuencias que acarrean para las empresas contratantes, parece que hay empresas que todavía no se han enterado del riesgo que supone aceptar este tipo de canje. De coste 0 nada, estás canjeando los créditos asignados para la formación de tus trabajadores y que serán los que se embolse la empresa formativa (unos 420€ en una empresa con menos de 10 empleados), y todo ello, sin que te hagan una verdadera implantación.

Siempre que escuches la palabra “gratis”, “rápido” “barato” o “coste cero” aplicado a una oferta LOPD, puedes estar seguro que no estás ante una propuesta seria ni profesional.

Un trabajo de adecuación serio lleva mucha implicación y horas de estudio de tu empresa, debes involucrarte de pleno en el proyecto y no quedarte esperando a que te den un documento de seguridad que nunca vas  leer y que archivaras en un cajón, eso no es una implantación de la  LOPD, ¡a saber lo que es!

¿Cómo puedes identificar una empresa seria en materia LOPD?

Lo cierto es que para cualquier empresario supone un verdadero caos decidirse por una empresa o por otra. Ellos valoran en función de la empresa que menos tiempo y dinero les cobre. Y eso ¡si es que deciden adaptarse!

Pero podemos hacernos una pregunta muy simple: ¿Cada cuánto tiempo pasan estas empresas “low cost” a revisar que los clientes tienen al día toda la documentación? Que los contratos de acceso a datos están firmados, que se están recogiendo los consentimientos adecuadamente, que todos los empleados tienen firmados los compromisos de confidencialidad, que todos los soportes están inventariados.  Si tú, como buen profesional,  te preocupas de todo esto de forma regular, es muy difícil que una “low cost” te gane la partida; un buen profesional no abandona a su cliente; le atiende, se preocupa y luego… le pasa la factura. Una “lowcost” no lo acompaña cuando hay problemas. Al final ¿Quién sale más caro?

Desde Gestiona Abogados insistimos en la importancia de una correcta adecuación a la normativa de protección de datos, así como de unas medidas de seguridad adecuadas para los datos que se van a tratar.

Las implantaciones baratas tienen un coste muy superior. Os dejo unos cuantos ejemplos:

La AEPD multa a una empresa por dar datos «excesivos» en la negociación de un ERTE

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 15.000 euros a una empresa por proporcionar datos excesivos de sus empleados durante el proceso de negociación colectiva de un Expediente de Regulación Temporal (ERTE). En una de las reuniones de la comisión negociadora, los representantes de la compañía entregaron a los sindicatos unas memorias USB que contenían dos archivos relativos al personal afectado por el ERTE y al personal no afectado.

Ninguno de los trabajadores incluidos en dichos ficheros había sido consultado para ello, y tampoco se les había solicitado consentimiento alguno para la cesión de sus datos, por lo que tres de los representantes de los trabajadores de la comisión negociadora decidieron presentar una denuncia. Al no ser un ERTE por causas económicas, la resolución de la AEPD certifica que mucha de la información contenida en los archivos «no era necesaria para la negociación«, como el DNI, la dirección postal personal, el número de cuenta bancaria, su salario o el número de teléfono.

A pesar de que la empresa alegó que el deber de sigilo y de confidencialidad propio de la negociación colectiva, que no permite a los miembros de la comisión negociadora compartir con terceros o hacer un uso diferente de la información que en ella se proporciona, la Agencia estima que su actuación constituye una infracción grave por proporcionar «datos excesivos».

El organismo, finalmente, fijó la sanción en 15.000 euros apreciando que no existía intencionalidad de la empresa y, además, no era reincidente (que finalmente quedaría en 9.000 euros dado que la compañía se acogió al pago voluntario y al reconocimiento de responsabilidad).

Sanción de la AEPD a un gimnasio de Murcia por incumplir la normativa en Protección de Datos

La Agencia Española de Protección de Datos (AEPD) ha multado con la cuantía de 1.500 euros a un gimnasio de Murcia por incumplir con la normativa de protección de datos, tras la denuncia presentada por uno de sus socios.

En su denuncia, el socio exponía ante la AEPD que el gimnasio cambió el sistema de entrada al centro que anteriormente se realizaba mediante una pulsera con chip, por un sistema de huella dactilar, sin ofrecer otro medio alternativo. Según considera el denunciante, este medio es desproporcionado y asegura que no se le remitió un documento de conformidad para la recogida de sus datos biométricos. A su modo de ver, no se le puede obligar a proporcionar estos datos, por ser contrario a la LOPD.

La Agencia, al recibir la denuncia comenzó la investigación para determinar si hubo un incumplimiento de la LOPD. Para ello se puso en contacto con el gimnasio de Murcia para solicitarle documentación y consultar determinadas cuestiones: para qué actividades se emplean los datos biométricos, cómo se almacenan y cómo funciona el sistema.

Como expone la resolución de la Agencia,  el gimnasio respondió que la finalidad del sistema es la de obtener una plantilla numérica basada en algoritmos que sirva como medio personal e intransferible para acceder a sus instalaciones a través de la comparación de patrones elaborados por el sistema partiendo de la huella digital. Señaló que el almacenamiento de los datos, es gestionado, custodiado y administrado por otra empresa que no los comparte con ellos.

Respecto a la cuestión referente a la posibilidad de oponerse al tratamiento de la huella dactilar ofrecida a los socios y alternativas proporcionadas, indica que previamente a la hoja de adhesión de socio, se informa al cliente de los derechos y de los datos biométricos que se recogen. El único modo de acceder es dar dichos datos, si no está de acuerdo no se recogen los datos y por tanto no se le inscribe como socio.

En un primer momento la Agencia dictó una sanción de 5.000 euros al gimnasio murciano por incumplir el artículo 4.1 de la LOPD, que establece: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

Tras las alegaciones presentadas por el denunciado, finalmente la sanción queda reducida a 1.500 euros. La Agencia considera que el tratamiento de los datos de reconocimiento de huella de usuarios de gimnasio para control de acceso por su titular y siendo el único medio de acceder, el gimnasio utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas, incumpliendo así el citado artículo de la LOPD.

Sanción de la AEPD por no informar adecuadamente de “las cookies”.

Según esta resolución de la AEPD “ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI” .

Su resolución detalla que estos sitios utilizan un conjunto de servicios con sus cookies correspondientes: de analítica web (Google Analytics,  WordPress), información de visitantes (Automattic), medición de tendencias (Quantcast), inserción de vídeos publicitarios (Youtube) o de chat a través de la web (Zopim), entre otros.

Si bien en la propia resolución la AEPD considera que “la vulneración del requisito previo a la instalación de cookies no resulta sancionable” sí que considera constitutivo de infracción sancionable “utilizar cookies propias y de terceros (…) sin informar de forma clara y completa sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas“.

La Agencia Española de Protección de Datos investiga a DIA por sus cupones descuento

«Con la utilización de cualquier cupón durante el mes de agosto 2018 aceptas recibir publicidad de socios comerciales del Grupo DIA, así como se cedan tus datos a dichos terceros».

Esta leyenda, impresa en los cupones descuento de quienes formaban parte del club de fidelización de la cadena de supermercados, provocó quejas de muchos usuarios, que entendían que sus derechos estaban siendo vulnerados. Para poder ceder los datos a terceros es necesario un consentimiento que no se puede deducir en ningún caso por utilizar un cupón

La Agencia Española de Protección de Datos ha iniciado actuaciones de oficio en relación a este tema: Las sanciones por la cesión de datos a terceros con fines publicitarios se resuelven, en caso de que el expediente se resuelva en contra del denunciado, con una multa que puede ir desde los 40.000 euros hasta los 300.000 euros.

Cuida los datos de tu empresa, son lo más importante para ti.  Nosotros podemos ayudarte a conseguirlo con un servicio profesional y adaptado a tus necesidades.

LLámanos al 962915025, y uno de nuestros abogados estará encantado de atenderte.  También puedes contactar en el correo electrónico: protecciondatoscertificado@gmail.com

La entrada LOPD A COSTE CERO O «LOW COST» se publicó primero en Gestiona Abogados.