Muchos están relajando la observancia del RGPD

Las denuncias de los clientes son la causa de las multas que reciben los autónomos por protección de datos

Los consumidores suelen estar muy al día de la ley de protección de datos y la mayoría de las multas que reciben los autónomos provienen de denuncias de sus clientes por hacer un mal uso de su información personal.

Protección de datos para autonómos ¿es obligatorio?
Las denuncias de los clientes son la causa de las multas que reciben los autónomos por protección de datos

La Agencia Española de Protección de Datos (AEPD) acaba de multar con 3.000 euros a una asesoría por equivocarse y enviarle un email a un cliente adjuntándole la documentación de otro. El caso surge a raíz de la denuncia de una de las personas afectadas, que puso en conocimiento de la AEPD el error y la mala gestión de su información de carácter personal. Y es el ejemplo de como mientras que las empresas se despreocupan por el cumplimiento de esta normativa y descuidan los procesos, los clientes hacen cada vez más acopio de los mecanismos de protección incluye la legislación en vigor.

La abogada del área Mercantil y especialista en temas de Protección de Datos del despacho AGM Abogados, Vanesa Herrero Sanz, explicó que casos como el mencionado anteriormente se repiten con “moderada frecuencia, aunque la mayoría de ellos no llegan a hacerse públicos. Y cuando se hace es por la singularidad del mismo y para que sirva a modo de ejemplo”.

De esta forma, como aseguró esta experta, la mayor parte de las sanciones que está imponiendo en estos momentos la AEPD suelen partir de una denuncia, principalmente de clientes al negocio o entidad que hizo un mal uso de su información personal. “Los medios con los que cuenta la Agencia son limitados y no les permiten inspeccionar de forma general a un gran volumen de empresas, ni hacer campañas por sectores. No son Hacienda” apuntó Herrero.

Según esta abogada hay dos formas para que la AEPD te imponga una sanción en materia de protección de datos: o bien porque alguien lo haya denunciado ante el organismo; o bien porque hay una sospecha fundada, clara y pública de que se está cometiendo una infracción en protección de datos.

Los clientes están concienciados, pero las empresas no

A falta de un par de meses para que se cumplan tres años de la entrada en vigor del Régimen General de Protección de Datos (RGPD), el próximo 25 de mayo, la especialista en temas de Protección de Datos del despacho AGM Abogados, Vanesa Herrero Sanz, está detectando un gran problema entre las empresas y es el “descuido” de esta normativa. “Cuando entró en vigor en 2018 tuvimos un montón de llamadas de autónomos y pequeños negocios que querían ponerse al día, sabían de la repercusión que podían tener a nivel de sanciones (pueden alcanzar hasta los 20 millones de euros) y les inquietaba bastante. Pero después de ese boom, sí que es cierto que podría decir que la normativa ha quedado un poco en el olvido” lamentó la abogada.

Se trata de una cuestión que también revela el estudio de la empresa de marketing digital GoDaddy, titulado 'Radiografía de las pequeñas empresas y autónomos españoles'. El documento señala como la mitad de los autónomos no aplican el RGPD en su negocio. Según la encuesta, un 50% de los encuestados aseguró no aplicar esta normativa. De entre ellos, un 25% afirmó estar familiarizado con ella, pero sin aplicarla. Otro 18% reconoció haber oído hablar de ella, pero sin conocerla en profundidad y un 7% manifestó su total desconocimiento sobre la misma.

Si bien muchas empresas tienen, como dijo la experta, la protección de datos “olvidada en un cajón”, quien no la tiene son los clientes que sí hacen uso de ella. “Mientras que las empresas no están muy concienciadas con el cumplimiento del RPGD, el consumidor sí que lo está y denuncia. El hartazgo de los consumidores por el bombardeo publicitario que reciben es cada vez más alto y por eso son más conocedores de sus derechos y activos” señaló la abogada. Lo que más buscan los consumidores es cortar con la publicidad que no han consentido, apuntó.

En este sentido, la experta rompió una lanza a favor de las pequeñas empresas digitales. Contó que las startups son las más interesadas en estos momentos por la protección de la información de sus clientes y son sobre las que frecuentemente reciben cuestiones. “Muchas empresas han dejado de tenerle miedo a las sanciones que recoge el RGPD y que pueden alcanzar los 20 millones de euros. En estos momentos, la mayoría de consultas que recibimos de protección de datos son principalmente de startups. Pero para el resto, ésta es una cuestión que dejan olvidada en el cajón” afirmó la experta del despacho AGM Abogados.

Sanciones de hasta 20 millones de euros

El Reglamento General de Protección de Datos (RGPD) establece unas cuantías máximas de sanción que pueden ser de 10 millones para los incumplimientos más leves y de 20 millones de euros para los más graves. “Luego categoriza el tipo de incumplimiento y, a partir de ahí, da las facultades para que la autoridad competente – en España es la Agencia Española de Protección de DAtos (AEPD)- imponga las sanciones que considere” detalló la experta.

De hecho, una de las características de esta norma es la posibilidad de modulación de importe de sanción. “La AEPD tiene una gran horquilla para imponer sanciones” apostilló. Las cuantías que se imponen como sanción varían drásticamente, hasta el punto de que puede ocurrir que tras el proceso de análisis de la infracción no se imponga una multa. 

“Para llegar a sufrir una sanción millonaria tienen que darse una serie de circunstancias recurrentes, que valoren y aconsejen la imposición de esta cuantía. Por ejemplo, que la empresa sea consciente de ese daño y no actúe para repararlo, que sea reincidente, que afecte a muchas personas… Tienen que ser actuaciones que sean muy graves y de una gran trascendencia para que motiven esa sanción. En otros casos, esa labor inspectora puede quedarse en una recomendación y advertencia” explicó Herrero.

¿Qué actos sancionados por RGPD se puede cometer sin querer?

En las memorias de la AEPD referentes a 2019, la última publicada, recogen las diez actividades empresariales que más procedimientos sancionadores recibieron. Estas son: videovigilancia, servicios de internet, publicidad a través de email o teléfono móvil, telecomunicaciones, Administración pública, asociaciones, federaciones y clubes, contratación fraudulenta, ficheros de morosidad, comercio, transporte y hostelería; y suministros de gas, electricidad y agua.

Para la abogada del área Mercantil y especialista en temas de Protección de Datos del despacho AGM Abogados, Vanesa Herrero, la gran parte de estas multas vienen por incumplimientos tan generales como “no informar correctamente al afectado de que tenemos sus datos y que los vamos a utilizar. Y el fin”.

Es decir, que un autónomo suscriba un contrato con un tercero y conozca sus datos, no implica que pueda utilizarlos para incluirlos en la base de datos de boletines informativos. “La información no puede ser utilizada para una labor comercial a no ser que se dé el consentimiento” aseguró Herrero. Apuntó que “el deber de información es algo que muchos autónomos obvian en sus relaciones laborales, clientes, proveedores etc. Es un incumplimiento muy típico de la norma en protección de datos”.