Cinco años lleva la abogada Paz Martin al frente de su boutique Legal Things Abogados, especializada en derecho digital y privacidad. Reconoce que su estancia en la plataforma LexGoApp le ha servido para ganar visibilidad y una forma de recibir asuntos sobre esta compleja materia.
“Es importante dedicarle tiempo a tus clientes y asumir aquellos proyectos que realmente puedas asumir. El trabajo se ha incrementado estos años con la entrada en vigor del RGPD Europeo y la nueva LOPDGDD española. Ahí les decimos a nuestros clientes que no bajen la guardia y que mantengan la proactividad de demostrar que respetan la normativa actual”.
Para esta abogada experta en privacidad “los clientes tienen cierto temor ante lo que se avecina. Es posible que asistamos a una ralentización del mercado. Es muy peligroso tener esa mentalidad negativa, aunque a nivel de cumplimiento normativo en materia de privacidad no puedes bajar los brazos”.
A su juicio, tras la entrada en vigor del RGPD en mayo del 2016 “ya tenemos un camino recorrido para saber qué realmente piden los reguladores de protección de datos en España la AEPD en materia de protección de datos. Hasta el momento nuestro regulador ha sabido imponer sanciones proporcionadas a las pymes y más cuantiosas a las grandes compañías”.
Paz nos aclara que “la exigencia de cumplimiento es la misma pero el contexto es diferente y la sanción igual. Esto implica que las organizaciones no se puedan relajar ni siquiera en verano en este tipo de actividad. Todas están obligadas a seguir la ley y a demostrar el principio de proactividad del RGPD que habla de que podemos demostrar que seguimos la normativa vigente de privacidad”.
Una de las primeras cosas que hay que saber es que la AEPD en nuestro país actúa por denuncia que recibe “las reclamaciones que recibe aumentaron un 35 por cien en el 2021, unas 14000. Las más planteadas con mayor frecuencia por los ciudadanos corresponden a servicios de internet, videovigilancia, recepción de publicidad e inserción indebida en ficheros de morosidad”.
Por sectores esta jurista nos aclara que “las áreas de actividad con mayor importe de multas impuestas son la publicidad, telecomunicaciones, entidades financieras/acreedoras, ficheros de morosidad, contratación fraudulenta y asuntos laborales, que aglutinan más del 90% de la cifra global de sanciones”.
En cuanto a los motivos de denuncia más habitual “se centran en realizar tratamientos de datos sin el consentimiento del afectado que luego denuncia a la AEPD; o un mal tratamiento de datos; las pérdidas de confidencialidad lo que supone que hayan aparecido los datos en cualquier lugar, bien porque la entidad sufrió una brecha de seguridad o un descuido en ese tratamiento y en tercer lugar las comunicaciones o falta de transparencia. Se recogen los datos para finalidades concretas, pero no le dice al cliente que le está haciendo un perfilado exhaustivo de mis hábitos de compra”.
Al final, nuestra interlocutora señala que “el ciudadano tiene conciencia de sus propios datos y lo que quiere es transparencia absoluta. Quiere saber que se hacen con sus datos. Lo que no queremos es que sin conocerlo nos hagan, como muchas entidades financieras lo hacen, análisis de solvencia, trajes a medida o pronósticos de si somos merecedores de un seguro. Todo eso nos lo tienen que contar. Eso hace que se generen muchas denuncias”.
Respetar un derecho fundamental
Para esta jurista “es evidente que hay mayor conciencia por parte de los ciudadanos de respetar este derecho fundamental. La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental reconocido en los artículos 18.4 de la Constitución española, 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el 16.1 del Tratado de Funcionamiento de la Unión Europa”.
Este derecho fundamental implica a juicio de esta jurista “que somos soberanos de nuestros datos. Las empresas deben cumplir con la normativa vigente, una cuestión que tampoco es demasiado complicada si cuentan con los medios y los profesionales adecuados que gestionen esos datos. Eso no quita que en determinadas ocasiones se produzcan fallos en la organización y tengamos que afrontar un requerimiento de la AEPD”.
Desde su punto de vista, “recibir un requerimiento de la AEPD, habitualmente por sede electrónica, que es el mismo camino que siguen las notificaciones de la AEAT requiere un tratamiento especial en su gestión. Si la empresa tiene un Delegado de Protección de Datos (DPD) lo recibirá ese profesional en su dirección electrónica. Todavía es sorprendente que haya empresas que no contesten a dicho requerimiento lo que abre la puerta directamente a que seamos sancionados”.
Sobre dichos requerimientos “son muy parecidos en su estructura y redacción. Normalmente te dicen lo que ha pasado y que tienes una denuncia de alguien externo que se queja que sus datos personales no se han utilizado de la forma adecuada. Desglosan en el comunicado una serie de cuestiones que te reclaman para comprobar si has cometido esa infracción”.
A este respecto, recuerda que “pueden pedirte el registro de actividades de tratamiento que debes tener operativo, sobre la actividad que versa la denuncia en cuestión. Si la persona se queja que no se han garantizado ciertos derechos como el de supresión, te piden que expliques lo que ha sucedido, aunque puede convertirse en un procedimiento de tutela de derechos”.
Al final, con este tipo de requerimientos “la empresa puede demostrar que tiene la documentación al dia y que está haciendo las cosas conforme a lo que marca la normativa de protección de datos, que hacemos nuestra labor de informar a nuestros trabajadores de que tenemos una política activa de privacidad y respetamos su derecho a la intimidad”.
Habitualmente la respuesta de la AEPD “en el caso que recibas un requerimiento tienes un plazo de un mes para contestar al mismo, con posterioridad nuestro regulador contesta de nuevo en un plazo detallado parecido. Ahí sabremos si esas investigaciones se archivan o si se abre un procedimiento sancionador donde volveremos a plantear alegaciones”.
Paz es partidaria de “contestar de forma detallada a lo que nos pidan. Es muy importante en este tipo de situaciones que estemos asesorados por un abogado/a experto en privacidad que entienda lo que nos piden desde el regulador para que la respuesta sea lo más precisa posible”.
Precisamente “si la respuesta es lo suficientemente adecuada podremos desmontar esa denuncia y previsiblemente esa reclamación se archivará. En muchos casos si hay indicios es posible que tengamos una infracción, lo importante será que ese impacto sea el menor posible para nuestra compañía”.
De alguna manera el contestar a ese requerimiento de la AEPD “supone demostrar ese principio del RGPD que es el de responsabilidad proactiva o de accountability. Se trata de demostrar nuestra proactividad antes citada porque nuestra empresa cuenta con su plan de seguridad; con un DPD que gestiona la política de privacidad y podemos demostrar que a la persona que nos denuncia le contestamos adecuadamente en su momento”.
Gestionar bien relaciones con la AEPD
“En el caso que haya un incumplimiento se trata de minimizar dicho impacto en la privacidad de las personas. Todavía no hay procedimiento sancionador y nos piden información por algo que ha sucedido. Tenemos la oportunidad de ratificar que no hemos hecho nada malo, pero si realmente cometimos un error hay que procurar minimizarlo al máximo”.
Tras esa fase de investigación previa “desde la propia AEPD se decide si hay que abrir un procedimiento sancionador o se archiva realmente. En otro sentido, la AEPD suele contestar a esa investigación que se puso en marcha en su momento, por tanto, nunca nos encontraremos con ningún tipo de silencio administrativo que nos confunda”, apunta.
“En el caso que siga el asunto adelante se inicia un expediente sancionador donde la empresa podrá presentar sus alegaciones al tema en cuestión. Esas alegaciones tienen que ir en la dirección de que no ha habido incumplimiento que la propia AEPD señala y si hay incumplimiento minimizar la sanción con distintas justificaciones. Todo depende del caso en cuestión y de la gravedad de los hechos y del volumen de los datos tratados”.
Cuando se tiene la notificación de la sanción “hay un periodo voluntario de pago que como todas las sanciones administrativas supone un descuento del 20% del importe total de dicha sanción. Al mismo tiempo El apartado 4 del artículo 76 de la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos garantiza que aquellas sanciones de más de un millón de euros a personas jurídicas se publiquen en el BOE”.
Frente a este escenario, “la empresa puede recurrir en recurso de reposición a la AEPD sobre dicha sanción que no suele tardar mucho en resolver. Hay un plazo de un mes para interponer ese recurso y dos para ir a la Audiencia Nacional, vía judicial. Lo normal es interponer casi de forma simultánea los dos recursos a la vez para que no se pase el plazo”.
Paz señala que “habitualmente la AEPD se mantiene en sus criterios y el recurso no se suele estimar. Sirve para poco reclamar. La última solución es acudir a la Audiencia Nacional y su jurisdicción contenciosa que más o menos en el plazo de un año confirmará o no la sanción. De momento tiene un porcentaje elevado de confirmar las sanciones de la AEPD”.
Esta jurista nos aclara que “en el recurso que se plantea ante la Audiencia Nacional se puede aportar nuevas pruebas. Es un procedimiento donde se vuelve analizar todos los hechos que se han producido y plantear pruebas e informes periciales que puedan ayudar a defender la tesis de la empresa de que no hubo la infracción que la AEPD plantea”.
Sobre la reincidencia de la compañía en determinadas cuestiones, esta experta señala que “las multas podrán ser elevadas porque se demuestra que la empresa no tiene un mecanismo eficaz para garantizar los derechos de terceras personas. Si es la misma reclamación es evidente que algo estamos haciendo mal y que la sanción de la AEPD será más cuantiosa”.
Por @LuisjaSanchez, periodista jurídico y Paz Martin, experta en privacidad y socia y directora de Legal Things Abogados.