SANCIÓN DE 5 MILLONES DE EUROS POR INCUMPLIR EL RGPD

La Agencia Española de Protección de Datos (AEPD) acaba de sancionar con 5 millones de € a una entidad bancaria española. Esta sanción supone sin ninguna duda, un antes y un después en materia de cumplimiento de protección de datos.

Contexto general:

La Agencia Española de Protección de Datos es una de las más activas en Europa a efectos de interponer sanciones por incumplimiento del Reglamento General de Protección de Datos (RGPD), que acaba de interponer la mayor sanción por protección de datos hasta la fecha en España, lo que supone un cambio de ciclo en materia de privacidad.

Si echamos la vista atrás convendría señalar tres aspectos:

  • Ya alertamos desde 25/5/2018 que ya se podía sancionar con hasta 20 millones de euros o el 4% de la facturación mundial anual por cuestiones que antes de dicha fecha alcanzaban importes de 600.000€ (había en España resoluciones sancionadoras de mayor cuantía, pero es que acumulaban infracciones).
  • La AEPD también sancionaba a pequeñas empresas (por ejemplo, a una PYME que facturaba 51.000€ la habían sancionada con 50.000€ por no tener DPO; a otro con 10.000€ rebajados a 6.000€ por enviar un e-mail no publicitario sin copia oculta).
  • En otros países de Europa las sanciones por RGPD ya llegaban a las decenas de millones de €.

Pero en España -hasta esta sanción- la máxima sanción por incumplimiento de RGPD era de 250.000€.

La resolución publicada el pasado 11 de diciembre es de un gran interés técnico por numerosas razones jurídicas pero, sobre todo, la AEPD “cruza el Rubicón” y demuestra y transmite el mensaje de que será dura. Ya lo era con las pymes pero, en general, actuaba bajo cierta moderación respecto a su capacidad sancionadora total, incluso cuando mencionaba que había agravantes. Ahora esto se ha acabado.

La propia resolución:

La sanción imputa 3 grandes incumplimientos normativos:

La AEPD considera que: (i) la información sobre protección de datos no está correctamente ofrecida a los clientes; (ii) el consentimiento de los clientes no cumplía los altos estándares del RGPD y (iii) se realizaban una serie de tratamientos conforme el interés legítimo sin respetar los requisitos más relevantes respecto de la “evaluación meticulosa” del mismo.

Algunos de los aspectos más interesantes de esta resolución (que probablemente será recurrida en tribunales) que queremos resaltar son:

  • Cómo cinco denuncias se han traducido en una investigación que le ha generado 5 millones de € sanción a la entidad bancaria infractora.
  • La severidad con la que se ha valorado el uso del “interés legítimo” para poder realizar tratamientos (quizá uno de los puntos más interesantes de esta resolución).
    Los principales reproches de la AEPD son (i) la falta de una “evaluación meticulosa” del mismo (que la AEPD llega a apuntar que se podría haber puesto a disposición del interesado junto a las Evaluaciones de Impacto implicadas); (ii) se considera que la información que aporta la entidad a sus clientes al respecto no es clara (la AEPD considera que no se sabe ni el concreto interés legítimo alegado ni los tratamientos exactos amparados por el mismo); (iii) el tratamiento es considerado excesivo por tipología de datos, escala, utilización de datos recabados por terceros sin correcta información al interesado; (iv) el alto número de afectados, cantidad de datos y combinación ilimitada de datos; (v) la “posición dominante” respecto a sus clientes y (vi) la ausencia de garantía adicionales.
  • La dureza con que se ha sanciona un consentimiento “premarcado” para finalidades del tratamiento no imprescindible respecto a la finalidad principal.
  • Si el ejercicio -reconocido- del derecho de oposición debe implicar -o no- que no se solicite nuevamente el consentimiento para el mismo tratamiento.
  • La severidad con la que se ha calificado como falta de transparencia el uso de cierto tipo de expresiones en los documentos informativos al usuario.
  • El envío “manual” de comunicaciones comerciales por parte de empleados que no verifican que el destinatario ha ejercido su derecho de oposición.

Por ello, podemos concluir inicialmente:

  1. Verdaderamente hay un cambio de actitud en la capacidad de sanción de la AEPD.
  2. Dureza aplicable en la exigencia de claridad en los documentos informativos a los interesados sobre los tratamientos de sus datos personales.
  3. No cumplir con los múltiples requisitos del RGPD a efectos de obtener el consentimiento puede ser sancionado de manera tan dura como no haber hecho nada para obtener el consentimiento.
  4. Se constata la relevancia de generar evidencia (y quizás publicar algunas) del “análisis meticuloso” obligatorio previo al tratamiento de datos por interés legítimo.

Para poder analizar de forma práctica la forma de reducir riesgos ante este nuevo ciclo, le invitamos a nuestro próximo Webinar.

Webinar "Sanciones RGPD: Análisis práctico para reducir riesgos