Motivos por los que la agencia de protección de datos puede sancionar a los pequeños negocios
Todos los negocios que traten, dentro de su actividad, datos de carácter personal de terceros están obligados al cumplimiento de Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Es decir, que deben seguirla todos los autónomos, empresas, organizaciones, entidades y organismos públicos que lleven a cabo cualquier tratamiento de datos personales en desarrollo de su actividad, tanto negocios físicos como digitales.
Sin embargo, no es infrecuente que los trabajadores por cuenta propia desconozcan por qué motivos pueden ser sancionados y las multas a las que pueden verse expuestos si cometen infracciones en este ámbito, “que pueden llegar a ser altamente cuantiosas”, como explicaron a este medio desde el despacho jurídico Atico34, expertos en protección de datos, cumplimiento normativo y propiedad intelectual. En concreto, pueden superar los 300.000 euros.
Así, dependiendo del tipo de datos que traten los negocios -no es lo mismo una pequeño negocio que lo único que trata son datos de sus trabajadores y sus clientes, que una pyme que se dedica a enviar publicidad- y de su volumen, tendrán que cumplir unas exigencias más o menos exhaustivas.
Las sanciones más graves para los negocios pueden superar los 300.000 euros
En función de su gravedad, las sanciones se dividen en infracciones leves, graves y muy graves.
Aquellas consideradas muy graves -como pueden ser la vulneración de los principios básicos de protección de datos, o infringir o dificultar el ejercicio de derechos de Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición-, se sancionan con una multa mínima de 300.000 euros. Estas sanciones pueden elevarse, en su grado máximo, a la cantidad más elevada entre 20.000.000 de euros y el 4 % del total de la facturación global anual del ejercicio financiero anterior.
Las infracciones consideradas como graves, -como no adoptar medidas técnicas y organizativas apropiadas para aplicar la protección de datos desde el diseño, incluyendo las garantías necesarias en el tratamiento- contemplan multas que van, como mínimo, de los 40.001 euros a 300.000 euros y, como máximo, el importe más elevado entre 10.000.000 de euros y el 2% del total de la facturación global anual del ejercicio financiero anterior.
Por último, las infracciones leves, -que pueden ser no disponer de un Registro de Actividades de Tratamiento completo o que la notificación de una brecha de seguridad sea incompleta- tendrán una sanción de un máximo de 40.000 euros, sin mínimo establecido.
¿Por qué motivos puede sancionar a los autónomos la Ley de Protección de Datos?
La LOPDGDD fue modificada por última vez en mayo de 2023. El cambio trajo consigo pequeñas novedades, como el aumento de nueve a doce meses de la duración máxima del procedimiento sancionador, y de doce a 18 meses las actuaciones previas de investigación.
Como detallaron desde Atico34, tanto el Reglamento (RGPD) como la Ley Orgánica estatal (LOPDGDD) obligan al cumplimiento de una serie de obligaciones en materia de protección de datos. Estos incumben a todo negocio o empresa que, independientemente de su tamaño o facturación, realice un tratamiento de datos personales dentro del desarrollo de su actividad, “entendiendo por aquellos desde unos datos básicos como un nombre, un teléfono, correo electrónico, cuentas bancarias, hasta datos de categoría más sensible, ya sea el autónomo o negocio Responsable del tratamiento o Encargado del tratamiento”.
Cabe apuntar que, en el caso de los autónomos y pymes, las exigencias establecidas pueden ser menos duras que las que tienen que cumplir las grandes empresas, “principalmente debido a que el tratamiento de su volumen de datos se supone menor”, aclararon desde el despacho.
Así, entre las obligaciones que deben cumplir, se encuentran, a grandes rasgos:
- Informar a los interesados sobre el tratamiento de sus datos.
- Determinar una base jurídica que legitime el tratamiento.
- Adoptar medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos de carácter personal que maneje.
- Cumplir con los plazos de conservación.
- Notificar brechas de seguridad a la Agencia Española de Protección de Datos (AEPD).
- Llevar un Registro de Actividades del Tratamiento.
Según apuntaron, tanto el Reglamento General de Protección de Datos como la LOPDGDD, establecen un régimen sancionador según la gravedad que se pueda atribuir a las circunstancias que rodeen el incumplimiento de las normativas.
Por ejemplo, serían objeto de sanción el incumplimiento del deber de confidencialidad o infringir las disposiciones sobre los principios relativos al tratamiento, impedir u obstaculizar el ejercicio de derechos, incumplir un requerimiento de la AEPD, no adoptar medidas técnicas y organizativas apropiadas para el tratamiento de datos, no notificar a la AEPD sobre una brecha de seguridad o no disponer de un Registro de Actividades del Tratamiento completo.
Concretamente, entre las reclamaciones planteadas con mayor frecuencia y los procedimientos más sancionados se encuentran los siguientes, aportados por la Agencia Española de Protección de Datos (últimos datos de 2022):
¿Qué institución u organismo es el encargado de sancionar a los negocios por incumplimiento?
En el caso de incumplimiento de la normativa de protección de datos, el organismo encargado de imponer sanciones en esta materia sería la Autoridad de Control nacional en protección de datos que, en el caso de España, se trata de la Agencia Española de Protección de Datos. “Esta es la entidad encargada de velar por el cumplimiento de la normativa de protección de datos, así como controlar su aplicación”, explicaron desde el despacho.
¿Pueden los propios empleados de un negocio, llegado el caso, denunciar estas malas prácticas en su empresa?
Según explicaron desde Atico34, sí, cualquier persona que disponga de pruebas o indicios que puedan acreditar un incumplimiento por parte de su empresa puede informar o interponer una reclamación ante la AEPD en su Sede Electrónica.
