Noticias y Novedades

LAS MULTAS DE LA AEPD EN 2020 CRECIERON UN 27%, POR ENCIMA DE LOS 8 MILLONES DE EUROS AUNQUE EN 2021 SERÁN MAYORES

La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria 2020, que recoge de forma exhaustiva las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. Una memoria que se ha hecho pública con más celeridad ante la salida de su actual directora Mar España, una vez ya concluido su mandato de cinco años, estando a la espera del relevo en lo que ahora será la presidencia de la AEPD, entidad que también contará con un adjunto, tras su nueva composición. En un año diferente, este 2020, marcado por la pandemia del Covid-19 y las primeras multas importantes impuestas a entidades financieras y de telecomunicación por la aplicación del Reglamento General de Protección de Datos (RGPD), los expertos consultados por Confilegal señalan que este 2021 será un año en el que superen los registros de multas y sanciones respecto al año anterior.  Queda por conocer el informe de la AEPD sobre la aplicación Radar Covid para rastrear el coronavirus y el pronunciamiento del regulador sobre Mercadona y su sistema de reconocimiento facial, a punto de concluir la investigación  que previsiblemente sabremos este año.

Las denuncias se internacionalizan

Por su parte, Leandro Nuñez, socio del despacho Audens, habla de cambio de tendencia de la AEPD. En el 2018 y 2019 fueron años de transición por la entrada del RGPD. Ahora parece algo más asentada esta normativa. Se siguen cifras similares a nivel de reclamaciones. “El importe de este año 2020 es menos que en el 2018 aún. Lo que llamó la atención fue la bajada de las sanciones en el 2019”. Núñez explica que “este 2021 ya tenemos tres sanciones que suman más de 20 millones. La de Vodafone más alta que las multas totales del año pasado”. Los focos sancionables siguen siendo las habituales, “entidades financieras y empresas de telecomunicación son los objetivos. Principalmente por los ficheros de morosos, los primeros, y los segundos por contratos fraudulentos y malas prácticas de marketing. Junto a ellos, energía también es otro sector a nivel de contratación fraudulenta”.
Para este jurista, “las empresas deben interiorizar la protección de datos y deben tener claro lo que deben hacer. Cumplir con la protección de datos debe ser estratégico es fundamental. Creo que las empresas deben de mantener la protección de datos desde el diseño”, subraya. Desde su punto de vista, a nivel de internacional es donde está el salto más importante de la AEPD “el motivo es que en el 2019 la AEPD resolvía muchos procedimientos administrativos de la Ley Orgánica de Protección de Datos antigua, el RGPD empezó a aplicarse en mayo del 2018 y tenia dos años para resolver los expedientes”. Esto hace que 2020 es el año donde la mayor parte de esos expedientes corresponden al RGPD y su problemática, “estos expedientes si son transfronterizos afecta a varios países dentro de la Unión Europea. Si hay un problema se tienen que coordinar las autoridades. En estos asuntos donde la AEPD colaboró crecieron un 114%”. Este experto señala que estas cifras están en la línea de lo que la AEPD esperaba antes de la entrada en vigor del Reglamento Europeo, “en una de las sesiones anuales del regulador se indicó que los procedimientos internacionales iban a ser sobre el 10% del total y en esa tendencia están. 1200 denuncias de más de 10.000 recibidas”. Respecto a la influencia del Covid-19 en temas de privacidad, “la AEPD ha tenido una posición más divulgativa y crítica con determinadas noticias que surgían. Lo que ha tratado es manifestar el derecho de la protección de datos en materia de pandemia y criticar aquellas circunstancias en las que se estaba vulnerando ese derecho. En su blog hay mucha información sobre este tema y ha sido muy activa”.

Un cambio de tendencia notable

Por su parte, Francisco Pérez, vocal de la Junta Directiva de ENATIC y socio de Ecixgroup, revela que “en el año 2020 se ha vuelto a superar la importante cifra de 10.000 reclamaciones presentadas, y a su vez se muestra un incremento muy destacable de la actividad de oficio, lo que denota la proactividad de la agencia en determinadas materias”. “Además, la productividad ha aumentado, reflejando el esfuerzo que se ha realizado durante este complejo año y demostrando que el teletrabajo no ha afectado a la capacidad de resolución de los inspectores de la agencia”. “Especialmente a la vista de que ha disminuido el número de archivos de actuaciones previas de investigación, lo que supone un aumento del número de resoluciones tras el procedimiento sancionador del 16% respecto a años anteriores, con el consiguiente esfuerzo adicional de mantener abiertos más procedimientos, lo que habla muy bien del ente”.
Este jurista indica que “haciendo una valoración de los resultados de las resoluciones, se observa cómo aumenta en un alto grado tanto las multas como los apercibimientos, y disminuyen los archivos de las actuaciones”. La explicación de este cambio de tendencia no parece encontrarse en el volumen de reclamaciones ya que, como hemos visto, la tendencia de 2020 ha sido a la baja. A su juicio, “podría responder a, de un lado, un mayor nivel de exigencia por parte del regulador en lo que respecta al cumplimiento de la normativa y, de otro lado, a un incremento de la complejidad regulatoria, que exige cada vez más y mayores obligaciones en materia de protección de datos”. En su opinión, “el cambio de tendencia también lo ha sido respecto del número de resoluciones sancionadoras, que aumenta casi un 50% respecto de 2019 y el importe de las multas, que sí se ha visto incrementado de una manera destacable”. A su juicio, «parece poder afirmarse que se va a reforzar el carácter disuasorio de las sanciones y equiparar la actividad sancionadora española con la tendencia europea de imponer mayores sanciones a las infracciones con mayor impacto”. “Y todo ello sin contar las recientes sanciones a Caixabank y a Vodafone, y algunas otras sanciones millonarias que ya se ha anunciado serán publicadas durante 2021, y que hará elevar más estos resultados de cara a la próxima memoria de la AEPD”, señala. Finalmente, Francisco Pérez señala que esta Memoria de 2020 “destaca la actividad en todos aquellos aspectos relacionados con el Covid-19, lo que tiene sentido a la vista de los problemas con los que se han encontrado las empresas a la hora de tratar la información de salud de empleados y clientes y lograr equilibrar esta necesidad con las obligaciones de prevención de riesgos laborales”. Este jurista recuerda que la actividad normativa en esta materia ha sido inusitada durante el año 2020. «El aluvión de normas aprobadas o en proyecto, durante 2020, hace prácticamente imposible para cualquier empresa poder estar al día de todas las novedades, criterios interpretativos y obligaciones que les resultan de aplicación”. Desde esta perspectiva, “contar con servicios externalizados especializados en estas materias (no solo de apoyo al DPD, sino especialmente en seguridad de la información y ciberseguridad), se ha convertido en prácticamente obligatorio si se quiere mantener un nivel de cumplimiento normativo aceptable”.

Resoluciones con apoyo judicial notable

Francisco González-Calero, legal advisor de Govertis, señala que las sanciones y sectores investigados siguen la tónica de los últimos años. “Cabe destacar que la AEPD continua utilizando la previsión de la LOPDGDD de remitir con carácter previo al inicio del procedimiento sancionador las reclamaciones a responsables y encargados y que continúan resolviéndose ventajosamente para los mismos en un alto porcentaje de las mismas”, aclara. Esta cuestión “conlleva dos ventajas, resolución en un plazo no superior a 90 días muy inferior al plazo de finalización de un sancionador y si la solución propuesta convence a la AEPD evitar la apertura de procedimiento sancionador”. En su opinión, “sin duda este alto porcentaje de resoluciones satisfactorias se debe al buen hacer de los DPD y su labor de fomentar la cultura de la privacidad en las organizaciones y trabajar en aras de la mejora continua de la privacidad en las organizaciones en las que prestan servicios”. “En estos supuestos la AEPD valora bastante las medidas técnicas y organizativas implementadas no solo para resolver esa reclamación en concreto sino también las adoptadas para evitar reclamaciones similares en el futuro”, apunta este jurista. También se observa un incremento en las sanciones impuestas (16%) y un cambio de tendencia en la cuantía de las sanciones que se inició a finales del año pasado con la sanción a BBVA y que ha continuado este año con las sanciones a La Caixa y Vodafone. “Nada hace indicar que esta tendencia no continúe máxime cuando el resto de autoridades europeas de protección de datos están imponiendo grandes sanciones en aplicación de la norma común que es el RGPD”, comenta. Destaca “el escaso índice de resultado de los recursos contencioso administrativos formulados contra resoluciones de la AEPD en primera instancia ante la Audiencia Nacional (el 73% fueron inadmitidas o desestimadas) y en segunda instancia ante el Tribuna Supremo (95% de las sentencias fueron favorables a la AEPD)”. Este abogado señala que “en el apartado de brechas de seguridad, debe perderse el miedo a declararlas puesto que solo el 6% de las brechas notificadas han requerido actuaciones de inspección posteriores”. La AEPD solo utiliza este mecanismo cuando duda de la existencia de medidas de seguridad adecuadas que hubieran sido implementadas previamente a la brecha de seguridad o que las medidas técnicas y organizativas adoptadas para contener el incidente o evitar incidentes similares en el futuro no sean las adecuadas. Para este jurista, “finalmente el Covid ha planteado retos en privacidad a lo largo del año pasado, desde la necesidad de garantizar la seguridad en entornos de teletrabajo para los que las organizaciones públicas y privadas no se encontraban preparados y las tomas de temperatura a empleados y clientes”. “Las de empleados no plantearon problemas al legitimarse en la normativa de prevención de riesgos laborales. Por el contrario, las tomas de temperaturas a clientes y usuarios si que tuvieron controversia el año pasado”, recuerda este experto. Fuente: confilegal.com https://confilegal.com/20210407-las-multas-de-la-aepd-en-2020-crecieron-un-27-por-encima-de-los-8-millones-de-euros-aunque-en-2021-seran-mayores/