El Reglamento General de Protección de Datos (RGPD) se hizo de obligado cumplimiento en el 2018. Desde ese momento, se ha producido un aumento considerable en el número de sanciones impuestas por las autoridades de protección de datos de la UE.

En España, la Agencia Española de Protección de Datos ha impuesto casi 300 sanciones en 2022 por un importe de unos 23 millones de euros. Las más cuantiosas han recaído en las grandes tecnológicas, como Google, que fue multada con 10 millones de euros por no gestionar de forma adecuada las solicitudes de derecho al olvido de los usuarios.

El aumento de las sanciones en este ámbito es uno de los aspectos que más preocupa a las empresas. El Reglamento General de Protección de Datos las separa en dos rangos, dependiendo de los artículos que las contengan. Las más bajas son de 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior (la cifra que sea de mayor cuantía). Por su parte, las más elevadas ascienden a 20 millones de euros o el 4% del volumen de negocio total anual de ejercicio financiero anterior. Además, el Código Penal en España tipifica ciertas conductas graves relacionadas con un inadecuado tratamiento de datos personales. Por lo tanto, las empresas no solo están expuestas a sanciones administrativas, sino incluso también a responsabilidad penal.

El RGPD separa las sanciones en dos rangos: 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior y 20 millones de euros o el 4% del volumen

A pesar de lo llamativo de las sanciones, los expertos explican que este modelo es más flexible y proactivo que el anterior, y no está tan focalizado en las multas. Juan Manuel Valiente, responsable del área jurídica de Secure&IT: “Este modelo de cumplimiento, en algunos casos, permite corregir posibles errores o incumplimientos sin necesidad de imponer una sanción económica por parte de la autoridad de control. Ahora bien, en cualquier caso, es necesario que las empresas sean diligentes y que puedan demostrar esa diligencia, lo que se conoce como responsabilidad proactiva; de no ser así, estarán más cerca de ser sancionadas económicamente”.

Con todo esto, es importante ser consciente de la necesidad de evitar este tipo de penalizaciones económicas que obligan a la empresa a desembolsar cuantías considerables. Así, Secure&IT, plantea siete claves para adoptar correctamente la normativa de protección de datos en la compañía y evitar sanciones:

• Responsabilidad proactiva (diligencia). Las organizaciones tienen la obligación de demostrar el cumplimiento de la normativa. Esto significa que no solo hay que cumplir, sino que es necesario poder demostrar que se está cumpliendo.
• Aplicar las medidas organizativas y técnicas necesarias para evitar brechas de seguridad. La normativa recoge la necesidad de mejorar la capacidad de prevenir y minimizar riesgos derivados del tratamiento de la información. Es decir, las redes y los sistemas de información deben ser capaces de resistir ante acontecimientos accidentales o ataques que puedan comprometer los datos personales. Es importante empezar por un análisis de riesgos que determine, por un lado, los riesgos que existen para la propia organización y, por otro, para los derechos y libertades de los interesados.
• No enviar comunicaciones sin el consentimiento del interesado, salvo las excepciones que ya planteaba la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico: que exista una relación contractual previa y que los productos o servicios que se publiciten sean similares a los contratados.
• Aplicar el principio de transparencia. Esto supone que los usuarios deberán ser informados, de forma clara y precisa, y con un lenguaje entendible, del tratamiento que se va a hacer de sus datos.
• Respetar los derechos digitales de los trabajadores. Los trabajadores cuentan con una serie de derechos digitales, entre los que se encuentran, principalmente, el derecho a la desconexión digital (fuera de su horario laboral, los trabajadores no están obligados a utilizar dispositivos electrónicos con motivos profesionales) y el derecho a la intimidad en el uso de los dispositivos corporativos.
• Figura del delegado de protección de datos. Las organizaciones deben analizar la necesidad de tener un delegado de protección de datos (DPD), ya que no es obligatoria en todos los casos. Pero, la normativa recoge infracciones graves para aquellas empresas que estén obligadas a contar con esta figura y no lo hagan.

Respetar y aplicar los derechos de los afectados (Derechos ARSOPOL). Es necesario contar con procedimientos para gestionar de una manera adecuada los derechos de los interesados que son: acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento y oposición a ser objeto de decisiones individuales automatizadas.