GDPR: sanciones en el nuevo Reglamento Europeo de Protección de Datos
La protección de datos personales se ha convertido en prioridad con el desarrollo del entorno digital, en el que es complejo verificar que el tratamiento de aquellos es el adecuado. Con el aumento exponencial de la cantidad de datos generados y compartidos diariamente, se hizo necesario contar con regulaciones que aseguraran la privacidad y la seguridad. Así es como en la Unión Europea, se implementó en mayo de 2028, el Reglamento General de Protección de Datos o GDPR por sus siglas en inglés. Este artículo se centra en las sanciones que impone y cómo las organizaciones pueden evitar penalizaciones cumpliendo con esta normativa.
¿Qué es el GDPR?
Comenzamos por ver qué es el GDPR. Se trata de un conjunto de regulaciones diseñadas para proteger la privacidad y los datos personales de la ciudadanía de la Unión Europea. Su propósito es garantizar que las empresas trabajan con datos personales de manera transparente y segura, y que ofrecen a los individuos un mayor control sobre su información personal. Este reglamento se aplica a todas las empresas que procesan los datos personales de personas dentro de la UE, con independencia de dónde se encuentren dichas empresas.
En cuanto a la definición de datos personales según esta regulación, se trata de cualquier información relacionada con una persona identificada o identificable. Esto incluye, pero no se limita a, nombres, direcciones, números de identificación, datos de localización, identificadores en línea y otros factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de una persona.
Principales sanciones del GDPR
El GDPR establece un marco regulatorio para la imposición de sanciones a aquellas organizaciones que no cumplan con sus disposiciones. Las sanciones pueden llegar a ser muy elevadas, con el objetivo de ser disuasorias, pero a la vez proporcionales a la gravedad de la infracción.
Tipos de infracciones
El GDPR, en su artículo 83, establece la cuantía de las multas a imponer, y las separa en dos categorías principales, cada una con sus correspondientes niveles de sanción:
– Infracciones de nivel inferior o graves. Estas pueden llevar a multas de hasta 10 millones de euros o a una cuantía equivalente al 2% del volumen de negocios global anual de la empresa en el ejercicio anterior. Se elegirá la mayor de las dos. Estas infracciones podrían ser, por ejemplo, la falta de notificación de una violación de datos a la autoridad supervisora y a las personas interesadas, así como el incumplimiento de las obligaciones de protección de datos desde el diseño y por defecto.
– Infracciones de nivel superior o muy graves. Estas sanciones pueden alcanzar los 20 millones de euros o el 4% del volumen de negocios global anual de la empresa en el ejercicio anterior. De nuevo, se elige la cuantía más alta. Algunos ejemplos de infracción son la falta de consentimiento adecuado para el procesamiento de datos, la violación de los derechos de las personas interesadas, como el derecho de acceso, rectificación y borrado, o la transferencia ilegal de datos personales a países fuera de la UE sin las medidas de seguridad adecuadas.
Ejemplos de sanciones aplicadas
– Google. En 2019, la Comisión Nacional de Informática y Libertades (CNIL) de Francia impuso a Google una multa de 50 millones de euros. La sanción se debió a la falta de transparencia, información insuficiente y la ausencia de un consentimiento válido para la personalización de anuncios.
– British Airways. En julio de 2019, la la Agencia Británica de Protección de Datos (ICO) anunció su intención de multar a British Airways con 183 millones de libras (aproximadamente 204 millones de euros) por una violación de datos que afectó a unos 500 mil clientes. El ataque se debió a fallos en la seguridad de la empresa que permitieron el acceso no autorizado a los datos personales de aquellos.
– Marriott International. El 30 de octubre de 2020, la misma agencia anterior, ICO, impuso a la cadena hotelera una multa de 18,4 millones de libras (20,5 millones de euros) por no utilizar medidas técnicas y organizativas adedcuadas para prevenir una brecha de seguridad de datos personales. La violación fue el resultado de fallos de seguridad tras la adquisición de Starwood Hotels por Marriott.
Cómo evitar sanciones bajo el GDPR
Para evitar sanciones, basta con seguir las indicaciones que marca este Reglamento. Pero debido a su complejidad y a que implica la modificación de diferentes procesos internos en una empresa, a continuación dejamos algunas medidas y prácticas recomendadas para garantizar el cumplimiento.
Medidas de cumplimiento
– Auditorías y evaluaciones de impacto. Realizar auditorías regulares de datos y evaluaciones de impacto sobre la protección de datos (DPIA) para identificar y mitigar riesgos asociados con el procesamiento de datos personales.
– Designación de un Delegado de Protección de Datos (DPO). Nombrar a un DPO en caso de que la empresa cumpla con ciertos criterios. Por ejemplo, si el procesamiento de datos es una actividad principal o si se manejan datos sensibles a gran escala. Esta persona supervisará el cumplimiento del Reglamento y actuará como punto de contacto con las autoridades de protección de datos.
– Consentimiento explícito. Se debe asegurar que el consentimiento para el procesamiento de datos sea explícito, informado y dado libremente. Para que sea así, hay que proporcionar información clara y completa sobre cómo se utilizarán los datos y obtener una afirmación inequívoca del consentimiento.
– Protección de datos desde el diseño y por defecto. Implementar medidas de protección de datos desde el inicio de cualquier proyecto (privacy by design) y establecer configuraciones predeterminadas de privacidad (privacy by default). De este modo, se asegura que solo se procesarán los datos necesarios para cada propósito específico.
Consejos y mejores prácticas
– Capacitación continua. Formar a todos los empleados sobre las obligaciones del GDPR y las políticas de protección de datos de la empresa. Toda la plantilla debe conocer la importancia de la privacidad y cómo tratar adecuadamente los datos personales.
– Políticas claras y accesibles. Desarrollar y mantener políticas de privacidad y procedimientos claros y accesibles. Estas deben explicar cómo se recogen, usan, almacenan y eliminan los datos personales.
– Utilizar una firma electrónica. La firma electrónica, como PortaSigma, es una forma inequívoca de obtener un consentimiento de la persona cuyos datos serán tratados. Existen diferentes tipos con sus respectivos niveles de seguridad, pero todos ellos con el sellado de tiempo y con total seguridad jurídica.
– Gestión de brechas de seguridad. Establecer procedimientos para la gestión de brechas de seguridad, como la notificación rápida a las autoridades y a los individuos afectados en caso de una violación de datos.
– Revisión de contratos con terceros. Asegurarse de que los contratos con proveedores y socios incluyan cláusulas específicas sobre la protección de datos y el cumplimiento del GDPR.
– Evaluación continua de riesgos. Realizar evaluaciones periódicas de riesgos y actualizar las medidas de seguridad según sea necesario para abordar nuevas amenazas y vulnerabilidades.
Para comenzar a tomar medidas preventivas de las sanciones y que permitan el cumplimiento del Reglamento, incorpora a tu empresa la firma digital de PortaSigma.
