Es necesario saber cuáles son las multas por la GDPR, y esto va más allá de conocimiento general, ya que todo el que procese datos personales de individuos de la Unión Europea debe estar al tanto del impacto que tiene este Reglamento en el almacenamiento, acceso y procesamiento de datos, entre otras cosas.
No importa si tienes una empresa de agua, gas, un servicio de salud, un restaurante o una página web, todos, absolutamente todos, grandes y pequeños, debemos cumplir con este Reglamento.
Recuerda que desde que entró en vigencia (mayo de 2018) se han aplicado en Europa más de 7.000 millones de euros en multas, siendo España el que más sanciones ha tenido. Las empresas españolas que mayormente han sido sancionadas son Telefónica, Vodafone y Orange.
Sin embargo, esto trasciende a grandes empresas, también han sufrido multas pequeños negocios y particulares, es por ello que hablaremos sobre el Reglamento para páginas web de centros y clínicas de salud, su funcionamiento, importancia y qué hacer para cumplir con él y evitar sanciones.
Qué es la GDPR, cómo funciona y para qué sirve
El Reglamento General de Protección de Datos (GDPR) fue elaborado por el Consejo de la Unión Europea, la Comisión Europea y el Parlamento Europeo, con la idea de garantizar la protección de datos de las personas de la Unión Europea (UE), así como de la exportación de datos personales fuera de la UE.
Dicho Reglamento fue adoptado el 27 de abril de 2016 y entró en vigencia en el 2018 con el objetivo de darle control a los residentes y ciudadanos sobre el uso de sus datos personales y es importante conocerlo ya que muchas organizaciones y personas han sido multadas por la cantidad de hasta 20 millones de euros.
Ejemplos sobran, Marriott International, British Airways, Google LLC, Facebook Irlanda y muchas otras. Lo que es peor a veces por desconocimiento podemos incurrir en filtraciones de datos y obtener multas de GDPR, de allí la importancia de conocer la Ley y sus implicaciones.
Cómo funciona la GDPR
Como explicamos anteriormente, toda información personal de un individuo debe ser protegida y en esto están incluidos:
- Los identificadores online (política de cookies, direcciones IP, web legal).
- Identificación indirecta o directa que determine la identidad de una persona (datos económicos, o aspectos genéticos, fisiológicos, sociales, psíquicos y culturales).
- Es aplicable en todos los ámbitos (laboral, público y privado).
Toda empresa u organización debe implementar medidas técnicas y organizativas adecuadas para garantizar la protección de datos, agregándolos a sus productos y servicios, entre ellas:
- La capacidad de garantizar confidencialidad, integridad y disponibilidad de los sistemas de manera continua.
- Cifrado o seudonimización de datos personales.
- Contar con un proceso periódico de evaluación y pruebas para hacer seguimiento de la efectividad de estos sistemas.
- Tener la capacidad de restaurar el acceso y disponibilidad de los datos cuando ocurra un incidente físico y técnico.
- Es absolutamente necesario requerir del consentimiento de la persona cuyos datos van a ser tratados, es decir, que el interesado acepta mediante acción afirmativa o declaración, su voluntad en el tratamiento de datos. La empresa que obtiene los datos debe a su vez dar información sobre la identidad de la organización, el tratamiento de los datos, la base jurídica y el tiempo de duración de los datos, entre otras.
Como puedes ver, son diversos datos y medidas que deben ser conocidas y aplicadas para evitar multas por el GDPR, si deseas obtener mayor información puedes consultar la página de la Unión Europea.
Para qué sirve la GDPR
La GDPR sustituyó a la Directiva de Protección de Datos (DPA) de la Unión Europea y sirve para otorgarle mayor control a las personas sobre sus datos personales y regula lo que las organizaciones pueden hacer con estos.
En resumen, el GDPR tiene como objetivo el de cuidar y proteger a todos los ciudadanos de la Unión Europea que realizan actividades en línea. De esta forma, todos podemos saber cómo son utilizados nuestros datos y a su vez, las empresas tienen un marco jurídico sobre la manera en que deben operar.
La idea es que no utilicen los datos sin permiso para dárselo a terceras personas o para perjudicar a los clientes y que a su vez se cuiden para no ser sancionadas.
Algunos puntos claves en páginas web y correo
Cuando se trata de gestionar datos de usuarios en bases de datos de correo electrónico y páginas web, es fundamental tomar en cuenta estos puntos claves:
- La razón social, domicilio y nombre de la empresa o de la persona física o jurídica encargada de los datos debe constar o estar presente.
- Debe quedar claro el fin al cual se van a destinar los datos recogidos. Si por alguna razón existen varios motivos, el usuario debe aceptarlos todos. También es importante informar el período de tiempo en que se conservarán esas cookies.
- Los avisos legales tienen que ser simples y legibles para que el usuario los entienda.
Da igual la envergadura de tu proyecto (desde la página web de un pequeño centro de fisioterapia hasta un multisite de una cadena de centros de estética), aunque no monetices debes cumplir con el Reglamento, así que recuerda que debes estar pendiente si:
- Posees formulario de contacto, comentarios o suscripción.
- Tienes u ofreces servicios en la página.
- Vendes algún producto o servicio.
- Tienes sistema de afiliados.
- Utilizas publicidad.
La Agencia Española de Protección de Datos (AEPD)
La AEPD es el organismo encargado de velar por el cumplimiento de la normativa de protección de datos y garantizar aquellos de carácter personal.
Fue creada en 1993 y, aunque su sede se encuentra en Madrid, su actuación se extiende a todo el territorio español.
Tiene como función principal la de hacer cumplir la legislación sobre protección de datos, así como la de controlar su aplicación, en especial en lo que se refiere a los derechos de información, rectificación, acceso, oposición y cancelación de los datos.
Esta agencia actúa por denuncia de algún afectado o por inspección de oficio. Si consideran que existe infracción, puede aplicar una multa según lo establecido en el GDPR.
Las 5 violaciones de GDPR más comunes
Cuando la seguridad de los datos es vulnerada, ya sea de manera intencional o no, y se ve que existe un riesgo que afecta la libertad o derechos de una persona, entonces estamos ante una violación. Los casos más comunes en los que existe una violación de datos son:
- Cuando la comunicación de datos no está autorizada. Esto ocurre cuando se transmiten datos de manera ilícita a un destinatario, cuando se vulnera el secreto profesional o en aquellos casos en que se publican imágenes sin autorización. Pero también se incurre en violación al enviarse correos electrónicos sin copia oculta y al realizar una transferencia internacional de datos sin garantías o sin una decisión de suficiencia de la UE.
- Acceder a datos sin autorización. En este caso es importante no tener un acceso indiscriminado a fotocopiadoras, impresoras, sistemas informáticos o a información confidencial no autorizada como embargos, currículos o nóminas, entre otras.
- Alteración de datos. Incurrimos en violación si modificamos datos, hacemos una inadecuada recuperación de datos de respaldo o los modificamos de forma malintencionada. Esto sucede cuando se roba o sustrae información, se pierden los soportes, se desinstalan aplicaciones informáticas, no se usan soportes digitales o destructoras de papel, entre otras.
- No contar con un sistema de consentimiento. No contar con un sistema de consentimiento. Los datos del usuario pueden utilizarse siempre que éste de una respuesta afirmativa, es decir, que de su consentimiento.
- No tener una política interna del uso de los datos. Esto es imprescindible, ya que si por error o desconocimiento, alguien usa el dato de un cliente para una actividad distinta la empresa podría ser sancionada.
Todas estas violaciones pueden producirse por no tener las medidas de seguridad adecuadas, por ello es importante contar con:
- Seudonimización, antispam, antivirus, cifrado, fireware, antiransomware y antimalware.
- Algún mecanismo de seguridad para acceder al sitio con datos personales.
- Autentificación e identificación en el acceso a sistemas informáticos.
Lo importante es cumplir con las reglas establecidas para evitar multas por el GDPR.
Ejemplos de multas en España
Desde que entró en vigencia el Reglamento han sido multadas numerosas empresas en Europa por no tener la política de privacidad actualizada. En España, la Agencia de Protección de Datos ha intervenido en múltiples procedimientos. Veamos algunos ejemplos para entender la envergadura de esto:
- Vodafone.
Infracción: artículos 5 y 6 de la GDPR.
Multa: 75.000€.
Fecha: el 20 de Enero de 2020.
Esta empresa incumplió con la base legal del procesamiento de datos y ha sido multada en distintas oportunidades. En uno de los casos un cliente antiguo, cuyo contrato había finalizado, siguió recibiendo avisos de factura. La empresa alegó error técnico en la emisión de avisos. Fue multada el 19 de noviembre de 2020 por la cantidad de 36.000 euros puedes ver la sanción en este enlace. En otro de los casos a la compañía procesó los datos personales de un cliente sin base legal, la persona recibió cientos de llamadas y mensajes SMS que no había solicitado, el resultado, la empresa fue multada el 09 de enero de 2020 por la cantidad de 75.000 euros https://www.enforcementtracker.com/ETid-389. - Dr. Marín Cirugía Plástica S.L.P
Infracción: Artículo 13 de la GDPR.
Multa: 2.400€
Fecha: 3 de diciembre de 2020.
En este caso la consulta de este médico incurrió en un cumplimiento insuficiente de las obligaciones de información para con el cliente. Aquí encontrarás su resolución. - Centro de Investigación y Estudio para la Obesidad, SL.
Infracción: Al incurrir en una infracción del artículo 6.1.
Multa: 50.000€
Fecha: 9 de octubre de 2020.
Otro caso es el de este centro a quien se le reclamó haber cedido los datos personales de un cliente a una entidad financiera, quien a su vez, los dio a otra institución. Puedes ver dicha resolución aquí. - Cafetería Nagasaki
Infracción: Artículos 5 y 6 de GDPR.
Multa: 1.500€
Fecha: 4 de Febrero de 2020.
Base legal insuficiente para el procesamiento de datos. Aquí puedes leer más sobre ello - Maloney´s Sports Bar.
Infracción: Artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d
Multa: 6.000€.
Fecha: el 19 de noviembre de 2019.
Así como las empresas grandes incurren en violación al Reglamento, también las empresas pequeñas o particulares pueden hacerlo. Para mayor información sigue el siguiente enlace.
Ejemplos sobran: procesamiento de datos de forma ilegal, instalación de cookies en dispositivos de clientes sin permiso, uso de vídeos de vigilancia para monitorear empleados, envío de mensajes publicitarios sin consentimiento y envío de correos electrónico a múltiples usuarios como CC y no como BCC, entre otros casos.
Cómo evitar multas por el GDPR
Es importante que todas las personas y organizaciones mantengan la política de privacidad y eviten sanciones y multas. Por ello es fundamental seguir alguno de estos consejos:
- Tener información cifrada. Se debe utilizar un algoritmo de cifrado que transforme el contenido de nuestra información. Además, con esto evitamos cualquier filtración en caso de robo o pérdida de los dispositivos. Para ello es necesario contar con sistemas de cifrado de disco completo, que nos permiten cifrar automáticamente cada vez que subimos, enviamos o descargamos documentos.
- Informar a los empleados. Para evitar cualquier demanda o problema futuro, los empleados deben estar al tanto de la política de protección de datos que tiene la empresa. Así podrán ejecutarla de la mejor manera.
- Tener procesos de consentimiento. Toda empresa está en la obligación de dar información detallada a los usuarios y clientes sobre el uso que le darán a los datos que están autorizando a usar. También es importante almacenar la información de manera estricta para responder a cualquier solicitud que realicen las personas.
- Contar con protección antiransomware. Para evitar el secuestro de datos o ser víctimas de ciberataques se necesitan soluciones que garanticen seguridad y estas deben basarse en Deep Learning.
- Dar repuestas rápidas. Debido a que el Reglamento establece notificar a la persona afectada por violación de datos dentro de las 72 horas en que se detectó dicha violación, la empresa debe contar con un plan de acción que garantice una rápida respuesta.
Son pequeños pero importantes consejos para que evites ser sancionado.
Cuándo el usuario puede denunciar
Cualquier persona puede realizar una denuncia ante la AEPD, sin embargo, nombraremos los casos más comunes:
- Cuando se tratan datos personales del afectado sin su consentimiento.
- Al revelarse datos personales enviando correos sin copia oculta.
- Si se usan fotografías de clientes sin su autorización.
- Enviando publicidad sin consentimiento de la persona.
- Utilizar los datos personales para fines distintos fines a los que fueron recogidos.
- No contar con los avisos legales y de privacidad correctos en la página web.
Como te habrás dado cuenta a lo largo del post, son muchos los casos en los que se puede incurrir en violación de la privacidad y, a veces, por desconocimiento, equivocación o imprudencia de un tercero ponemos en riego a las empresas y las mismas terminan con multas de GDPR.
Siempre recuerda que no es importante el tamaño de la empresa o del negocio, que todos debemos estar conscientes de la importancia de respetar las políticas de privacidad y evitar obtener alguna multa por violación a la Ley.
Mantente al día con las especificaciones que aparecen en el GDPR y evita malos ratos y sanciones.
Ahora solo espero que esta información te haya sido de gran utilidad y puedas mejorar aquellos aspectos que lo requieran, o que te pongas al día con tu página web y todo lo relacionado con las políticas de privacidad.
Si requieres de información adicional o deseas hacer algún comentario, puedes hacerlo con total confianza, estoy aquí para apoyarte. Buena suerte.