Una mala gestión puede provocar que una empresa tenga o cometa riesgos sobre la protección de datos personales, manchando así su reputación y deje como resultado la filtración de datos personales de sus usuarios.
¿Qué son los datos personales?
El concepto de datos personales es extremadamente amplio, ya que está definido por la CNIL como «cualquier información relacionada con una persona física identificada o identificable». La identificación se puede hacer directamente (apellido, nombre, dirección postal) o indirectamente (elementos físicos, identificador, dirección IP, número).
Es aquí donde se aplica una serie de sanciones y multas por el incumplimiento de protocolos de seguridad en materia de protección de datos.
Desde el año 2016 se ha incrementado los importes y sanciones sobre las empresas que no respetan el trato y uso adecuado de datos personales, cobrando multas que llegan a los 20 millones de euros, un aumento bastante radical en comparación a los 600 mil euros que se cobraban en el año 1999.
Por otro lado, los datos mediante la referencia cruzada de varios datos (fecha de nacimiento, sexo, ciudad, diploma, etc.) o el uso de diversos medios técnicos que permiten la identificación de una persona también se consideran como personales.
El reglamento recoge una serie de sanciones y actuaciones que le permiten llegar a concretar las conductas necesarias con respecto a la irresponsabilidad de la utilización de datos por parte de la empresa.
Cada multa se aplica de manera específica según sea la penalización requerida ante la irresponsabilidad de la empresa. Para eso han surgido varios sistemas para cumplir la ley, empresas como Pridatect han desarrollado software rgpd para gestionar de forma sencilla la protección de datos de las empresas y así adaptarse a la nueva legislación.
Las sanciones se dividen en leves, graves y muy graves:
Muy graves
Esta es aplicada en el incumplimiento del proceso de seguridad que denote en una consecuencia notable para los usuarios:
- El uso irresponsable con una finalidad diferente a la planteada por parte de la empresa.
- No informar acerca de la utilización o el riesgo de los datos del usuario afectado.
- Exigir un pago ante la petición del usuario de poder acceder a sus datos.
- Transferencias de datos e informaciones sin garantías en el ámbito internacional.
- Plazo de prescripción: tres años.
Graves
Las sanciones graves se efectuarán cuando se observe una vulneración sobre los procedimientos que ocurran con:
- Registrar datos de un menor de edad sin el consentimiento adecuado.
- No proceder con los métodos y técnicas apropiados para la protección adecuada de los datos.
- No tener un responsable o encargado en el sector de protección de datos.
- Plazo de prescripción: dos años.
Leves
A continuación observaremos todas aquellas medidas no contempladas anteriormente, como por ejemplo:
- No mantener la transparencia solicitada en la información del usuario.
- No informar al usuario si sus datos se han visto comprometidos de alguna manera.
- Falta de responsabilidad en el cumplimiento de las obligaciones del encargado.
- Plazo de prescripción: un año.
Agentes Responsables
- Los encargados de los procedimientos y protocolos.
- Los agentes encargados de los tratamientos.
- Los responsables y encargados de los tratamientos que no han sido establecidos dentro del territorio de la Unión Europea.
- Los entes de certificación.
- Los agentes encargados de la supervisión de los códigos establecidos para la conducta y desarrollo.
- Es importante entender la figura de los delegados en la protección de datos (DPO), que no pueden ser objetos de sanciones.
Importe de las sanciones RGPD – LOPD
Como se ha señalado anteriormente, la GDD y LOPD no determinan la consideración total de las sanciones, ya que remiten al RGPD para la conclusión de las determinaciones a seguir.
Los importes de las sanciones del RPGD son los siguientes:
Desacatos muy graves
Serán efectuadas multas administrativas que pueden llegar a los 20 millones de euros si se trata de una empresa con una cuantía equivalente al 4% en facturaciones.
Desacatos graves
Las sanciones efectuadas serán con multas a nivel administrativo que llegan a los 10 millones de euros, con una cuantía del 2% en las facturaciones.
Alegaciones
En el procedimiento de sanciones se encuentra una fase de alegaciones que ocurre antes con el fin de llegar a determinar los hechos y circunstancias exactas para que la AEPD pueda actuar mientras los tratamientos se investigan ante una cantidad masiva de datos.
La fase previa no puede superar los doce meses desde que se acuerde el trámite o la admisión, al menos que la AEPD actué por cuenta propia, o según lo comunicado por otro gobierno de Estado dentro de la Unión Europea.
En el momento de culminar la fase de alegaciones previas, la AEPD debe señalar el acuerdo para el inicio del procedimiento donde se manifestarán los hechos. Se identificará a la persona o ente a la cual se le está realizando el procedimiento y cuál será su sanción utilizando como base la infracción cometida.
La AEPD puede acordar la adopción de las medidas y procesos que sean necesarios para mantener el derecho a la protección de información y datos, obligando a la inmediata atención de los derechos solicitados.
El ambiente legislador establecido en estas sanciones para que las administraciones y empresas se vean con la obligación de cumplir con los protocolos normativos en la protección de datos, ya que las personas como ciudadanos de la Unión Europea tienen el derecho a la privacidad y al conocimiento transparente de la utilización de sus datos que deciden suministrar a empresas y compañías.
Por tal motivo, es importante velar por la concienciación y la privacidad de los empleados y encontrar las maneras más efectivas de mantener protegidos toda su información como la de los clientes en general. Esto ayudará a mantener la confianza en las compañías y empresas que desean avanzar a nivel tecnológico y administrativo.
