Estos contenedores llenos de facturas con datos de los clientes de un negocio local aparecieron en una céntrica plaza de Granada el mes pasado. V. S. C.

Protección de Datos emite 20 infracciones desde 2017, la mitad contra administraciones

La agencia española sancionó también a varios bancos con multas de 60.000 euros por faltas graves

Miércoles, 8 de agosto 2018, 00:39

En el último año y medio de vigencia de la Ley Orgánica de Protección de Datos (LOPD) se dictaron 30 resoluciones en Granada de las cuales, 20 resultaron ser infracciones contra los derechos de los ciudadanos, según el registro de la Agencia Española de Protección ... de Datos (AEPD). La mitad de las irregularidades fueron cometidas por administraciones públicas. Esto ocurría en el ocaso de una ley que ha estado vigente desde hace 18 años hasta ser sustituida por el nuevo Reglamento General de Protección de Datos (RGPD) hace apenas dos meses. Esta normativa es más estricta en cuanto a los permisos de la cesión de datos personales, su tratamiento y al control que se hace sobre ellos. También armoniza en el espacio europeo todas las normativas existentes.

Publicidad

Los 30 ciudadanos que realizaron desde Granada sus reclamaciones ante la Agencia Española de Protección de Datos lo hicieron contra el Servicio Andaluz de Salud, Diputación, Guardia Civil, el Ayuntamiento de Granada y el de Zújar; y contra empresas privadas: BBVA, Santander, Wizink, Caja Rural, Telefónica, Google y Orange.

  • 60.000 euros es el importe por faltas graves; la mayoría se impusieron a entidades bancarias y de telefonía.

La antigua LOPD ya obligaba a entidades públicas y privadas a llevar a cabo determinados procedimientos, como por ejemplo, la destrucción de los documentos de papel. Pero, ¿se cumplía?

Una tarde del pasado mes de julio, en la céntrica plaza de Los Lobos, al alcance de cualquier viandante, había dos contenedores de obra rebosantes de archivadores; en cada uno de estos, cientos de facturas con datos como los nombres, apellidos, dirección y DNI de los clientes de una librería granadina. Podría suponer una infracción muy grave según la LOPD, «que habría sido sancionada con una multa de entre 600.000 a 900.000 euros», según explica Manuel Peña, del despacho Responsia Compliance y responsable del ámbito de Protección de Datos en el Colegio de Abogados de Granada.

El nuevo reglamento establece una sanción máxima de 20 millones de euros

Es una buena prueba de que no todas las empresas se han adaptado a la extinta LOPD tras 18 años en vigor. Con el nuevo RGPD que está llamado a armonizar las legislaciones de este ámbito en el territorio europeo, esta empresa debería pagar el 4% del volumen de negocio, por ser una entidad pequeña. Para las infracciones muy graves, las sanciones pueden ser de un máximo de 20 millones de euros.

Administraciones públicas

Las administraciones públicas recibieron en el último año y medio la mitad de los apercibimientos de la Agencia Española de Protección de Datos en Granada, que las conminaba a rectificar o corregir los procedimientos por los que incumplían de una forma u otra la LOPD. En el caso de Guardia Civil o el Servicio Andaluz de Salud, las reclamaciones más frecuentes se deben a que el ciudadano intentó acceder a su información y no lo consiguió. El nuevo reglamento también es más estricto en este sentido: el ciudadano puede acceder y pedir la omisión de sus datos salvo en algunos casos que por estar relacionado con una investigación judicial se desestimaría la reclamación.

Publicidad

El ámbito sanitario es el más rígido. El paciente tiene derecho a requerir su historial clínico. También puede reclamar la información acerca de quién y cuándo se ha accedido a sus datos sanitarios. De las tres resoluciones dictadas desde 2017 que conminan al SAS a aportar esta información al reclamante hay una que llama la atención porque es el propio Servicio Andaluz de Salud el que reconoce que «del 1 de octubre de 2011 al 31 de diciembre de 2014 aún no estaban implementadas las auditorías de consultas externas, por lo tanto no existen datos auditados de los accesos a la Historia de Salud Mental reseñada» en una segunda reclamación. Es decir, la propia administración admite la carencia de un sistema obligatorio para que, tanto la paciente del Clínico de San Cecilio reclamante, como otros pacientes, pudieran consultar si alguien había entrado de forma injustificada a su historia médica.

La banca no siempre gana

En el caso de la banca, el sector con más reclamaciones, la Agencia de Protección de Datos ha fallado a favor del ciudadano y ha sancionado con multas de entre 40.000 y 60.000 euros a diferentes entidades: Wizink, Santander, Caja Rural y BBVA.

Publicidad

El caso más repetido es el cobro de comisiones con las que el cliente no está de acuerdo y que dejan un descubierto en la cuenta. La entidad procede entonces a la inclusión del usuario en una lista de morosidad y cede los datos a otra empresa que se dedica al cobro de deuda. El ciudadano no ha dado consentimiento para esa cesión de datos. La insistencia mediante cartas y llamadas es un agravante porque se reitera el infracción. En la mayoría de los casos, el pago voluntario de la sanción de la entidad bancaria ha permitido que la empresa se ahorre un 20% de la multa.

En telefonía, los casos son muy similares: inclusión indebida en los ficheros de morosidad o el intento repetido de hacer pagar la factura de telefonía de otro usuario, y así, hasta 10 meses pese a los esfuerzos del reclamante para que la compañía corrigiera el error. También fueron sancionadas las empresas a pagar multas de entre 40.000 y 60.000 euros.

Publicidad

Cámaras

La vigilancia mediante cámaras es uno de los temas más recurrentes por los que los granadinos suelen enviar sus reclamaciones o consultar a un experto. El abogado, Manuel Peña llevó varios casos de este tipo en el último año. Entre las resoluciones por sistemas de videovigilancia hay algunas reclamaciones inadmitidas en este periodo porque el reclamante no ha podido probar que estuvieran infringiendo la ley o porque se han desestimado tras un cambio de orientación de las cámaras.

Entre las novedades del RGPD frente a la LOPD, hay dos principales: el derecho al olvido y el derecho a la portabilidad. Se mantienen y refuerzan el derecho al acceso, rectificación, cancelación y oposición. Algunos ejemplos sobre esa implementación es que la empresa debe minimizar los datos recabados y el tiempo que se almacenan; además, en caso de problema técnico que ponga en riesgo la seguridad de esta información debe comunicarlo a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.

Publicidad

El anterior reglamento establecía la posibilidad de apercibimiento antes de que se emitiera una sanción. Esto dependía y sigue dependiendo con el RGPD de contra qué empresa o quién se emita la reclamación. Por eso, el caso del concejal de un ayuntamiento de la provincia que publicó en su cuenta de Facebook datos personales, afiliación política y sueldo de los policías locales de ese municipio, quedó en un apercibimiento. El reclamado había infringido de forma muy grave la Ley Orgánica de Protección de Datos, pero al borrar la publicación no recibió ninguna sanción y la repercusión para la difusión de esa información fue mínima.

Según el abogado Manuel Peña, las empresas en Granada están mucho más concienciadas acerca de la protección de datos en este momento que hace 18 años cuando entró en vigor la LOPD. Sin embargo, los dos contenedores llenos de facturas con datos personales en plena calle son la prueba de que algunas empresas que ya tenían problemas para cumplir la LOPD, van a tener más difícil aún su adaptación al RGPD.

Este contenido es exclusivo para suscriptores

Suscríbete durante los 3 primeros meses por 1 €

Publicidad