Archivo de la etiqueta: gdpr

¿Son realmente altas las multas que impone la AEPD?

Posted on por
Responder

La pregunta realmente es, si una empresa (especialmente una multinacional) es sancionada por la AEPD en España, ¿esta empresa cambiará sus procesos, o incluso su negocio y su forma de tratar los datos personales para proteger a sus clientes desde un punto de vista de la privacidad y cumplir con la normativa, además de así evitar nuevas sanciones?

O por el contrario, esta empresa no va a invertir ni tiempo ni dinero en cambiar nada, va a tratar el tema como si de un peaje que hay que pagar se tratara, y así todos contentos.

Las estadísticas dicen que la AEPD es con diferencia la Autoridad de protección de datos europea más activa, pero sin embargo, en líneas generales, las multas que impone son bajas y no hacen que las empresas cambien su forma de tratar los datos o corrijan sus deficiencias. Incluso para empresas que reinciden una y otra vez (caso de VODAFONE ESPAÑA), la AEPD parece ser muy benevolente con estas.

Si además, estas empresas ya tienen un seguro de protección de datos que les cubre estas pequeñas “contingencias”, el tema se agrava.

Veamos una cifras:

España

La multa más alta impuesta por la AEPD es de 10 millones de euros a GOOGLE. Teniendo en cuenta que esta empresa en 2022 facturó unos 75.000 millones de euros, la multa no llega ni al 0,013% de lo facturado.

Es decir, es como si tú ganas 50.000 euros al año, y te ponen una multa de 5 euros. Nada grave.

VODAFONE ESPAÑA fue multada con 8 millones de Euros. Ingresó 4.180 millones de euros en 2022, según su web. La multa es del 1,9% del volumen de negocio.

Es decir, que si ganas 30.000 euros al año, la multa es de 570 euros. Esto ya “pica” un poco más, pero desde luego no es una multa ejemplar.

Tengamos en cuenta que, al menos, VODAFONE ESPAÑA ha sido multada 83 veces desde 2019, con pequeñas multas entre 20.000 y 60.000 euros, y otras no tan pequeñas, de entre 120.000 y casi 4 millones de euros.

Por tanto, con semejante constante incumplimiento de la normativa, y teniendo en cuenta que la AEPD puede multar con hasta el 4% del volumen de negocio de la compañía, ¿Está la AEPD imponiendo multa altas?

Veamos qué pasa en otros países europeos:

Irlanda

META (Facebook) fue sancionada con 1.200.000.000 de euros. Más de un billón sí parece que empezamos a ver sanciones razonables y proporcionales al volumen de negocio.

Otras multas anteriores impuestas a META: 405 millones, 390 millones, 265 millones…

WHATSAPP fue sancionada con 225 millones.

Luxemburgo

AMAZON EUROPA fue sancionada con 746.000.000 de euros. No está mal.

Francia

GOOGLE fue multada con 90 millones de euros y con 60 millones en otra ocasión.

META con 60 millones.

Alemania

H&M fue sancionada con más de 35 millones.

Italia

La empresa de teleco TIM fue multada con casi 28 millones.

Grecia

La empresa CLEARVIEW fue multada con 20 millones.

Para más claridad, veamos los siguientes gráficos:

Ranking de número de multas impuestas por países dentro de la Unión Europea.

Primera posición: España con 733 multas, muy por encima del resto de puestos (más del doble respecto al segundo puesto). Sin embargo, respecto al importe recaudado por multas impuestas, España no aparece hasta el sexto puesto:

Que cada cual saque sus propias conclusiones.

Datos sensibles

Posted on por
Responder

Se consideran datos personales sensibles (también llamados categorías especiales) aquellos datos que revelen:

1.- El origen étnico o racial.

2.- Las opiniones políticas.

3.- Las convicciones religiosas o filosóficas.

4.- La afiliación sindical.

5.- El tratamiento de datos genéticos.

6.- Los datos biométricos.

7.- Los datos de salud.

8.- Los datos relativos a la vida sexual u orientación sexuales.

Estos datos para considerarse personales y sensibles deberán poder asociarse a una persona concreta de forma unívoca.

Como norma general, el tratamiento de estos datos está prohibido.

Las únicas excepciones que permiten que una empresa pueda tratar este tipo de datos, son las siguientes:

  • El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales.
  • El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social.
  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no pueda dar su consentimiento.
  • El tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, y siempre que los datos personales no se comuniquen fuera de estas organizaciones sin el consentimiento de los interesados.
  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido.
  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsa­bilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros.
  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Es muy importante tener en cuenta que estas excepciones se deben aplicar sobre la base del Derecho de la Unión o de los Estados miembros, el tratamiento siempre debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

Guía para reclamación de deudas, y consentimiento para uso de datos por parte de reclamadores

Posted on por
Responder

Frecuentemente escuchamos  a deudores quejarse, muchas veces con razón, de que están siendo “acosados” por sus acreedores, y de que usan sus datos sin su consentimiento, o que no saben quién les reclama ni por qué.

En este sentido, para entender mejor qué puede hacer y qué no puede hacer un acreedor para reclamar el pago de una deuda, puedes consultar la siguiente Guía, teniendo en cuenta que España es uno de los pocos países de la Unión Europea que no tiene una regulación específica para este tipo de reclamaciones:

1.- Por lo general, el acreedor está legitimado para contactar con el deudor, utilizando aquellos datos facilitados por el propio deudor. Para ello, el acreedor NO necesita el consentimiento del deudor y, por ese mismo motivo, el que el deudor lo revoque no tiene ningún efecto. También se podrá actualizar los datos de localización por parte del acreedor cuando hayan cambiado, aplicando las garantías respecto a la fiabilidad de esos datos.

2.- El punto 1 se justifica así porque la base legal de tratamiento no es el consentimiento. Aparte del interés legítimo del acreedor en cobrar la deuda, la base legal de tratamiento de los datos es la ejecución y desarrollo del contrato del que trae origen la deuda (por ejemplo un préstamo, un contrato de telefonía móvil o una hipoteca), que aún sigue vigente.

3.- Por lo general, es recomendable no contactar telefónicamente con un deudor fuera del siguiente horario: de 9:00 horas  a 21:00 horas, ni hacerlo de forma muy continuada (varias veces al día o todos los días de forma seguida), de manera que se pueda considerar que el deudor está siendo acosado. Una mala práctica en este sentido no solo no permitirá el objetivo (cobrar la deuda) ya que el deudor se siente acosado y perseguido, y el acreedor podrá tener problemas de ámbito penal.

4.- El acreedor, siempre que lo informe debidamente, podrá grabar las llamadas. Además, deberá informar de forma clara, al menos, de quién es el responsable del tratamiento de los datos, cómo ejercitar los derechos de protección de datos, base legal de tratamiento y facilitar el acceso a la política de privacidad o cláusula informativa de conformidad con el artículo 13 del RGPD.

5.- El acreedor, podrá contactar por otros medios, como SMS, mensajería instantánea, carta, visitas concertadas.

6.- El acreedor podrá contactar con personas del entorno del deudor (familiares, amigos, compañeros de trabajo…), siempre y cuando sea exclusivamente para localizar al deudor. Además, nunca podrá revelar el propósito de la llamada ni la condición de deudor de la persona que intenta localizar. Por último, téngase en cuenta que las personas del entorno del deudor pueden ejercer su derecho de oposición a recibir llamadas, por lo que en ese caso el acreedor no podrá volver a contactar con ellas.

7.- El deudor, aunque obviamente puede ejercitar su derecho de oposición o de supresión de sus datos, por lo general, y si la deuda sigue pendiente, es probable que no se acceda a su petición, si el acreedor entiende que prevalece su derecho a cobrar la deuda.

8.- El acreedor puede delegar la reclamación de deudas en empresas especializadas o despachos de abogados. En este caso, tampoco es necesario el consentimiento del deudor para transferir sus datos a estas empresas de recuperación de deuda, ya que estas actúan en calidad de encargados del tratamiento. Sin embargo, la empresa de recobro deberá informar correcta y claramente sobre quién es el acreedor inicial que actúa en calidad de responsable del tratamiento, además de lo previsto en el punto 4 anterior.

9.- Si el deudor ha pagado la deuda, o ha sufrido un fraude, o se le está reclamando un importe incorrecto, lo más recomendable es que se apresure en acreditar documentalmente todo lo que defiende, y se ahorre llamadas y discusiones maratonianas. En este sentido, si ha pagado la deuda, podrá acreditarlo mediante justificantes bancarios, si ha sufrido un fraude, siempre ayudará haber interpuesto la correspondiente denuncia a la policía.

10.- El acreedor, puede además dar de alta al deudor en ficheros de información crediticia (antes llamados de solvencia patrimonial y crédito), siempre y cuando se cumplan los requisitos previstos en el artículo 20 de la LOPDGDD.

Reconocimento facial y RGPD

Posted on por
Responder

De acuerdo con el RGPD, hay determinadas tecnologías que, por su novedad y/o falta de precisión, deben ser tratadas con especial cautela. Sobre todo si los datos tratados son considerados sensibles.

Este es el caso del reconocimiento facial, una tecnología que en algunos casos puede ser especialmente invasiva para la privacidad, y que en la mayoría de las ocasiones requiere una evaluación previa antes de implantarla en nuestra empresa o negocio.

Recientemente, la Autoridad sueca ha sancionado a un instituto de estudiantes que había decidido hacer una prueba piloto con esta tecnología, para un mejor control de la asistencia de sus alumnos.

En este caso, además de ser un proyecto piloto, el instituto había solicitado el consentimiento paterno de todos aquellos estudiantes que querían participar en el proyecto, lo que aparentemente se podría considerar que habían actuado diligentemente.

Sin embargo, y teniendo en cuenta esta tecnología de reconocimiento facial, la actuación correcta del instituto debería haber sido la siguiente:

1.- Realizar una evaluación de impacto en los derechos de los estudiantes respecto al tratamiento de sus datos, estudiando la posibilidad de utilizar métodos menos invasivos para su privacidad.

2.- Hacer una consulta previa a la Agencia de protección de datos sueca, para obtener en su caso el visto bueno de la misma.

Lamentablemente el instituto no realizó ninguna de estas acciones.

Por esta razón, antes de utilizar nuevas tecnologías en las que se tratan datos personales, siempre es recomendable seguir los pasos anteriores.

Por último, la AEPD ha publicado una lista de posibles tratamiento que necesariamente exigen la realización de una evaluación de impacto, y que puedes encontrar aquí.

Consentimiento y datos personales de empleados

Posted on por
Responder

Recientemente se ha sancionado a una empresa en Grecia (PwC) por una mala elección respecto a la base legal de tratamiento de los datos personales de sus empleados.

El esencial error que ha cometido esta empresa (que paradójicamente presta, entre otros servicios, el asesoramiento legal en protección de datos) es basar el tratamiento de datos de trabajadores en el consentimiento expreso de estos, mediante la firma de un documento. Y se entiende que es un error porque, con el nuevo Reglamento Europeo de Protección de Datos, existen bases legales mucho más fuertes y justificadas para el tratamiento de datos que el consentimiento, el cual deber quedar relegado únicamente a aquellos casos en lo que no es aplicable otra base legal.

En concreto, para el uso de datos personales de trabajadores, la base legal de tratamiento más correcta es el desarrollo y cumplimiento de un contrato entre la empresa y estos, y el cumplimiento de obligaciones legales (alta en Seguridad Social, por ejemplo).

Ante estos hechos, en PwC Grecia se dio la absurda situación en la que, al haber escogido una base legal como es el consentimiento, en aquellos casos en los que los empleados se han negado (o se han olvidado) de firmar el documento, se entiende que PwC estaba usando estos datos sin autorización, lo que ha desembocado en una sanción de 150.000 Euros.