Jueves, 21 de Noviembre de 2024
Pulsa ENTER para buscar
Club Empresas Infonif Podcast Rankings Eventos Revistas
Generalitat ayudas DANA

Paz Martín, CEO de Legal Things: «No se puede evitar al 100% incumplir la LOPD»

Desde la entrada en vigor en 2018 de la última Ley Orgánica de Protección de Datos (LOPD), las sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) superiores a un millón de euros y cometidas por personas jurídicas son publicadas en el Boletín Oficial del Estado (BOE). De entre estas multas, a menudo aquellas de mayor cuantía o que afectan a firmas conocidas, acaban abriéndose paso a los titulares.

Es el caso de las recientes multas millonarias que los juzgados imponían a CaixaBank (5 millones), a Iberdrola (3 millones) y a su filial i-DE Redes Inteligentes (3,5 millones), por no proteger de forma adecuada la confidencialidad de los datos personales de sus clientes.

Paz Martín, CEO de Legal Things: «No se puede evitar al 100% incumplir la LOPD»

¿Qué objetivo persigue publicar las sanciones de la AEPD? ¿Cumple una función pedagógica o puede suponer un castigo doble para los infractores? ¿Están las empresas desprotegidas ante la conocida como «pena de telediario»? Charlamos acerca de todo ello con Paz Martín, socia directora de Legal Things Abogados.

Un error que cualquiera puede cometer

-¿Qué persigue conseguir realmente este tipo de medidas?

Hay dos cuestiones a tener en cuenta: puesto que la publicación está contemplada en la LOPD, es una obligación legal y, por tanto, toda sanción que cumpla estos requisitos se publica, sin más. Probablemente en la mente del legislador estaba que sirviera de ejemplo para otras entidades y también por el efecto de interés público general.

No solamente ocurre con las sentencias sobre protección de datos, sino también con las sentencias del Tribunal Constitucional (TC). Existe una expectativa de interés general sobre el objeto de la sanción.

Lo que sucede es que realmente hay que preguntarse si se consigue ese efecto con la publicación de la sanción en un mundo comunicado. Puestos que las sanciones de la AEPD se publican en internet, no es extraño encontrar sanciones que no llaman tanto la atención, ya sea porque son empresas o importes mucho más pequeños, pero que resultan muy didácticas y elocuentes para saber cuán fácil es incumplir la normativa de protección de datos.

Te pongo un ejemplo: algo tan habitual como puede ser mandar un correo electrónico a varios destinatarios, cuando se hace con copia abierta a gente que no tienen nada que ver entre sí, estamos ante una cesión no consentida de datos. En este caso la sanción no llegaría a importes tan llamativos, pero es un error que cualquiera podría cometer, y por ello puede resultar muy didáctica para comentar y aprender.

Dar ejemplo con el BOE

-¿Tiene por tanto una función didáctica?

Correcto. Normalmente los profesionales cogemos estas sanciones y las comentamos en redes sociales. No por hacer sangre, porque aquí no se trata de eso, sino para remarcar que le puede pasar a cualquiera. Hay un efecto ejemplificador que lleva a los profesionales a ver que no hace falta ser una gran entidad para incumplir la normativa de protección de datos.

Es irrelevante que se publiquen las sanciones, ya nos encargamos los demás de darle eco a las resoluciones más interesante

Muchas empresas piensan que no tienen la entidad de un banco, una empresa de telecomunicaciones o una red social…pero no hace falta, esto no ocurre solo en las grandes empresas, una pyme también comete errores y tiene fallos de seguridad. Estos errores también pueden desembocar en incumplir la ley y en una sanción. Es irrelevante que se publiquen las sanciones, ya nos encargamos los demás de darle eco a las resoluciones más interesante.

Sanciones impuestas por la AEPD: una pena «de telediario»

-Estamos en un mundo hiper comunicado, para bien o para mal. ¿Puede tener este tipo de medidas consecuencias negativas para las empresas?

Estas resoluciones provocan un daño reputacional que en ocasiones se queda simplemente en eso. Pongamos el caso de Meta, firma que ha recibido la mayor sanción en estos seis años en vigor de la LOPD, con 1.200 millones de euros. Más allá de que la compañía deba ajustar sus políticas y modelos de cumplimiento, en el fondo aquel que quiere utilizar redes sociales no va a dejar de hacerlo por esta multa. Lo mismo ocurre con nuestro banco o nuestra compañía energética…

Es más el perjuicio reputacional puntual, la denominada «pena de telediario», que realmente aquello que se logra. ¿A quién puede realmente afectar esto? Pues a lo mejor a una empresa no tan grande que tiene menos medios para hacer frente a este daño y gestionar la reputación mediática.

No obstante, en un mundo donde las noticias se quedan obsoletas prácticamente conforme se publican, a veces todo esto es flor de un día.

Evitar el daño reputacional

-En el caso de este tipo de empresas más pequeñas, ¿cómo pueden evitar este tipo de daño reputacional?

En el momento en que eres sancionado y apareces en la página web de la AEPD, cualquiera puede publicarlo. Llegado a ese punto habría que actuar en varios frentes: en primer lugar es importante trabajar sobre el propio perjuicio reputacional y contrarrestarlo en su ámbito de acción, comunicándonos con nuestros clientes y proveedores… En ocasiones basta con dar una explicación de lo que ha sucedido y exponer las medidas que se han adoptado para que la situación no se repita.

Luego es necesario pasar a la acción y asegurar que «ha ocurrido esto, pero no va a volver a pasar». En muchas ocasiones los incidentes en los que se incumple la norma son muy previsibles, pero también hay fallos que claman al cielo. Un ejemplo es el de las cámaras de videovigilancia. Hoy en día toda comunidad de vecinos o toda tienda tiene una cámara de seguridad que requiere unos requisitos concretos.

El punto tercero es prevenir. No se puede evitar al 100% tener incumplimientos de la norma, pero sí se puede corregir el posible impacto. Hay una labor preventiva importante por llevar a cabo y para eso vienen muy bien estas sanciones. Saber que una tienda que tiene una cámara y no pone el cartel preceptivo, puede ser sancionada. Es una cosa muy sencilla, pero mucha gente no lo hace.

Actuar con carácter previo es lo más importante, formar a los equipos y establecer medidas de seguridad. Todo ello bajo una supervisión adecuada.

¿Un arma arrojadiza?

-¿Puede darse el caso de que este tipo de sentencias se utilice como arma arrojadiza entre empresas?

El que esté libre de culpa que lance la primera piedra. No se libra nadie de este tipo de multas. Las sanciones más elevadas en España han sido impuestas a empresas de primer nivel, que cotizan en bolsa y cuentan con grandes equipos al cargo… y aún así caen.

Por tanto, sería un error utilizar estas sanciones como herramienta arrojadiza. Hablamos de sistemas con una complejidad tal que hace muy complicado estar fuera de toda duda al 100%, aunque cuenten con departamentos y equipos blindados de gran nivel profesional.

Sin embargo, la publicación en el BOE no añade ni quita. Ha servido para evangelizar, pero principalmente porque se comentan y sirven de ejemplo a los profesionales. Las personas jurídicas pequeñas, que tienen menos medios y otras prioridades, pueden no sentirse representadas por la experiencia de las grandes firmas, pero sí pueden aprender de casos ocurridos a empresas similares que no ocupan titulares. Generan un debate.

Camara de Castellon Foro Inteligencia competitiva 2024
Rent Bis Adelanto de tus locales
Labora ayudas sin tramites
REDEGAL oportunidad de inversion para visionarios
Labora ayudas sin tramites
Generalitat ajudes DANA

Dejar una respuesta