Balanç després d’un any de vigència del nou Reglament Europeu de Protecció de Dades (RGPD)

Durant l’any passat, CINC va informar detalladament dels canvis normatius que s'acostaven amb l'entrada en vigor del Reglament General de Protecció de Dades (RGPD) i de la nova LOPD-GDD. Un any després de ser plenament aplicable el Reglament europeu, és un bon moment per fer un primer balanç de les conseqüències que ha comportat la seva entrada en vigor.

 

Ja sabem quins aspectes cal tenir en compte a l'hora d'aplicar la nova normativa (deure d'informar, requisits de la videovigilància, documents d'anàlisi i seguretat, protocols, contractes amb empleats i proveïdors, etc.). A continuació, parlarem sobre què passa si un professional o una empresa incompleix aquestes obligacions.

 

El deure de les empreses d'informar és, alhora, el principal dret dels interessats. I la normativa exigeix informar sempre que s'obtinguin o cedeixin dades personals. Aquest dret afecta de la mateixa manera a Internet com als documents en format paper, o a qualsevol format a través del qual s'obtinguin i tractin dades personals.

 

Doncs bé, segons l'Agència Espanyola de Protecció de Dades (AEPD), que va realitzar un estudi sobre el grau de compliment de les empreses respecte al deure d'informació a Internet (Informe "Polítiques de privacitat a Internet", de setembre de 2018) i va analitzar les pàgines de diverses empreses pertanyents a sectors tan diversos com l'hostaleria, les assegurances o els transports, la meitat de les empreses espanyoles no compleixen amb l'obligació d'informar sobre la base jurídica del tractament de dades, i la resta tampoc informa de forma precisa, clara i concisa sobre les polítiques de privacitat de la companyia.

 

En tot l'any 2018, l'AEPD va rebre un total de 14.146 reclamacions per vulneració de la normativa de protecció de dades, el que suposa un increment del 33% respecte a l'any anterior, quan encara no estava en vigor el RGPD.

 

D'aquestes reclamacions rebudes l'any que va ser conegut com "Any de la Protecció de Dades", el 11% corresponien a litigis de videovigilància, i el 7% eren relatives al sector de la sanitat. Altres sectors que van tenir un percentatge molt alt de reclamacions van ser el d'assegurances i el de les telecomunicacions.

 

Segons l'AEPD, que publica les estadístiques de forma oberta i transparent, durant el que va d'any 2019 fins a la data, només a Espanya s'han notificat 688 bretxes de seguretat, és a dir, incidents amb les dades personals que consisteixen en (1) l'esborrat o la pèrdua de dades, (2) l'accés il·legítim a les dades i (3) la modificació no autoritzada de dades personals. Recordem que, des de l'entrada en vigor del RGPD, els incidents de seguretat que afectin a dades personals han de ser notificats a l'AEPD, a través de la seva seu electrònica, llevat que els riscos que comporti l'incident siguin d'escàs risc i puguin ser mitigats al moment o en un termini de temps raonable.

 

Aquestes 688 violacions de seguretat notificades fins a la data no són les úniques que s'han succeït, és clar: moltes empreses encara no hauran complert amb l'obligació de notificar qualsevol incidència que tinguem amb la seguretat de les dades. De fet, si analitzem les estadístiques publicades per la mateixa Agència, observem que gairebé el 80% de les fugues d'informació han estat notificades per empreses o negocis privats, mentre que la resta correspon a les administracions públiques. D'altra banda, al voltant d'un 40% dels incidents han tingut un context intencionat, mentre que el 60% restant es refereix a infraccions que han tingut com a origen una fallada de la pròpia organització o empresa.

 

Gairebé el 70% dels casos han tingut a veure amb la confidencialitat, és a dir, amb un accés il·legítim o no autoritzat, mentre que un 35% aproximat de notificacions es referien a incidents amb dades de categoria especial (com són les dades relatives a la salut). Finalment, dir que gairebé un 5% dels incidents notificats presentaven un risc molt alt per als drets dels afectats.

 

Com a conseqüència de tot això, i encara que pugui semblar que no han arribat les multes que tant amenaçaven quan va entrar en vigor el RGPD, la veritat és que l'AEPD ja ha imposat moltes sancions per incompliment de les normes i els principis de la normativa de Protecció de Dades. De fet, en el que portem d'any, les multes imposades per l'Agència ja sumen gairebé un milió d'euros.

 

I això, tenint en compte que, probablement, si no hi ha hagut més sancions a dia d'avui, és sobretot per dos motius: la manca de mitjans personals de la pròpia AEPD, i perquè molts altres procediments sancionadors iniciats per l'Agència de control han acabat amb un advertiment previ com a sanció (la qual cosa no comporta una multa econòmica).

 

És a dir, l'AEPD ha actuat fins ara de forma més aviat paternalista, imposant prevencions en lloc de sancions econòmiques, però ja ha avisat que passat un temps prudencial en el qual les empreses hauran tingut més que temps d'estar degudament adaptades, començarà a sancionar aquelles conductes que fins ara només han estat objecte de "baralla".

 

Doncs bé, algunes de les sancions imposades per l'AEPD en el que va d'any són les següents:

 

• Sanció a una clínica ginecològica de Bilbao per penjar històries clíniques dels seus pacients a través del programa eMule, fent una difusió no consentida de milers de dades: 150.000 euros.

• Sanció a una empresa de gestió de crèdits i morositat per requerir el pagament pendent d'un crèdit a una persona a través d'un compte corporatiu de la seva feina a la UAB: 60.000 euros (Procediment PS / 00121/2019).

• Sanció a la Lliga Nacional de Futbol Professional (LNFP) per instal·lar micròfons en l'app de la Lliga sense informar adequadament: 250.000 euros (Procediment PS / 00326/2018).

• Sanció a una empresa de serveis que va instal·lar càmeres a l'establiment per gravar un empleat sense avisar prèviament: 9.600 euros (Procediment PS / 00411/2019).

• Sanció a una empresa telefònica per enviar comunicacions a través d'SMS, tot i que l'interessat havia sol·licitat la supressió de les dades personals a la companyia: 27.000 euros (Procediment PS / 00411/2018).

• I l'última i més recent, referent a la sanció de 150.000 euros a una coneguda cadena de supermercats, per difondre unes imatges d'un personatge públic robant uns cosmètics.

 

En les estadístiques que ofereix la pròpia AEPD, destaca un fet important: el sector que s'emporta el premi a les multes més elevades és el d'Internet i Telecomunicacions, amb un muntant sancionador de gairebé 400.000. I, lluny d'aquests imports però com a detall important pel gran nombre de farmàcies que utilitzen aquest sistema, destaca que les multes imposades per una mala aplicació de la videovigilància ascendeixen a gairebé 40.000 euros. Curiosament, els mesos en els quals l'Agència ha imposat més sancions són juny i juliol, és a dir, en ple estiu.

 

Tot això, tenint en compte que aquestes xifres són provisionals, ja que analitzen els procediments sancionadors resolts entre gener i setembre, així que fins al gener no sabrem el còmput anual definitiu de sancions imposades per part de l'AEPD en aquest any 2019.

 

Com veiem, és un fet que les sancions per incompliment de la normativa de Protecció de Dades ja estan arribant, encara que és cert que a Espanya encara no s'ha arribat a l'important volum de sancions que s'han imposat en països com Alemanya o Portugal, on ja han recaigut diverses multes fins i tot a empreses del sector sanitat (per exemple, a una clínica per llençar documents amb historials clínics en un contenidor de la via pública).

 

Pel que fa al sector legal, afortunadament no hem estat dels sectors que hagin estat en el punt de mira de l'AEPD, i això pot ser degut al fet que una part de les assessories ha fet els deures i s'han adaptat a les noves normes relatives a la protecció de dades. Així que, certament, de moment no són moltes les reclamacions que hagin anat en contra d'un negoci jurídic-legal, de la mateixa manera que són poques les bretxes de seguretat que hagin hagut de ser notificades per alguna empresa del sector.

 

Però també és cert que el nostre sector no ha estat un dels inclosos en el Pla Estratègic de l'AEPD fins ara, és a dir, que l'Agència ha centrat les seves inspeccions a empreses i negocis d'altres sectors. Així que no cal descartar la possibilitat que, abans o després, el nostre gremi sigui un dels afectats per les temudes inspeccions.

 

Així doncs, des de CINC no podem deixar d'insistir en la necessitat que totes les empreses estiguin adaptades i compleixin amb la normativa de Protecció de Dades. I no només per evitar inspeccions, denúncies o sancions, sinó perquè al cap i a la fi, un negoci que compleixi amb les exigències normatives prestarà un millor servei al client, i com a conseqüència, també a la societat.