La Agencia Española de Protección de Datos ha comenzado a sancionar a aquellas organizaciones que, tras más de un año de vida conjunta del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), no han procedido a adaptar sus empresas a las nuevas realidades en materia de privacidad.
Con la entrada en vigor del nuevo RGPD, se promulgaron una serie de principios de obligada observancia por los responsables del tratamiento para el tratamiento de los datos personales. Entre otros, el artículo 5 RGPD establece que “los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. Este último principio, el de transparencia, exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible, fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento.
Así pues, para dar forma y cumplir con el deber de informar, el propio Reglamento establece en el artículo 13 la información básica que debe de presentarse de forma directa por el responsable del tratamiento en el momento del recabado de los datos. Este artículo ve su reflejo en las llamadas “Políticas de Privacidad” que presentan la gran mayoría de páginas webs y que sirven para informar a los usuarios de qué se va a hacer con sus datos personales. La AEPD ya advertía en septiembre de 2018 que los documentos que detallan las políticas de privacidad son demasiado extensos y no facilitan que un usuario medio finalice su lectura ni que la comprenda y que incluso se ha detectado que no se mencionan o no se explican correctamente las bases que legitiman el tratamiento de datos personales en cuestión.
Con estos antecedentes, la AEPD ha impuesto una sanción a una web de una empresa de cerrajería, por no cumplir íntegramente con los mandatos establecidos en el artículo 13 RGPD dado que el Responsable tiene un formulario de contacto donde recaba datos personales y no facilita la información necesaria establecida en el citado artículo. Entre otras infracciones, la web en cuestión declaraba que “los datos de carácter personal que puedan ser facilitados […] a través de su web, serán incorporados a un fichero llamado “Clientes”, […] con la finalidad de gestionar la relación con nosotros y mantenerle informado de nuestros productos y servicios en el sentido de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal” añadiendo posteriormente el ejercicio (incompleto) de los Derechos ARCO, sin completar con los recogidos en la nueva normativa, como son los de Portabilidad y Limitación.
Como puede comprobarse, la URL en cuestión presentaba una escueta Política de Privacidad que obviaba en su contenido la información relativa a la identificación completa del responsable del tratamiento, la finalidad del tratamiento, los plazos de conservación, si están previstas las cesiones de los datos, etc. Incluso, nombraba la derogada ley 15/99 y su obligación de la creación del fichero de datos correspondiente. En este punto, la AEPD considera estos hechos dentro de lo establecido en el artículo 74.a) RGPD en relación con el artículo 83.5 del mismo cuerpo legal, relativo a las infracciones leves. Tras ponderar una serie de posibles atenuantes, la Agencia impone finalmente una sanción de 1.500€ a la sociedad titular de la web en cuestión.
Como hemos advertido en el inicio, tras más de año y medio de vida de normativa europea de protección de datos, la AEPD comienza a sancionar a pequeñas y medianas empresas que no hayan hecho un ejercicio de responsabilidad en lo que a la adaptación y adecuación al RGPD se refiere, entrando en este caso en detalles importantes como la página web de la organización, como puerta de entrada de datos personales de clientes.
En ÉGIDA nuestra misión es adaptar a las empresas, instituciones y organismos públicos a la normativa de protección de datos; esto supone para las empresas una mejor forma de gestionar y tratar la información, optimizar los recursos de acceso a la información, incrementar la seguridad de los datos y simplificar la forma de relacionarse con clientes, proveedores y personal y en última instancia, evitar sanciones por el incumplimiento de la ley.
Si deseas más información, estaremos encantados de atenderte en nuestra dirección de correo electrónico info@egida.es o en el número de teléfono 968-935009.
