Muchos casos de infracción del RGPD apuntan al error humano

Recomendados.... » Tendencias TI 2023 y factores que influirán en su despliegue  Webinar » Administración Pública Digital: progreso y vanguardia On Demand » Digitalización y seguridad, motor de innovación del sector financiero  Informe

La entrada en vigor del Reglamento General de Protección de Datos (RGPD) en mayo de 2018 sentó las bases para una nueva era de legislación dirigida a la mayor protección de los consumidores. Principios básicos como el consentimiento inequívoco, la minimización de los datos, la limitación de la finalidad y el derecho de oposición habían incorporado a la legislación las mejores prácticas en materia de datos. Desde entonces, los reguladores europeos han mostrado las consecuencias del incumplimiento del reglamento.

Como señalan desde Validity, “cuatro años después de la entrada en vigor de la RGPD, estamos asistiendo de forma lenta pero segura a una acumulación de sentencias y jurisprudencia en materia de privacidad de datos, y los responsables y encargados del tratamiento de datos deberían prestar mucha atención porque ahora estamos recibiendo interpretaciones jurídicas firmes de lo que significan realmente muchos de los requisitos más confusos”.

Por ejemplo, la Agencia Española de Protección de Datos (AEPD) sancionó este año a Google LLC con una multa récord de 10 millones de euros por dos infracciones muy graves, como son ceder datos a terceros sin legitimación y obstaculizar el derecho de supresión de los ciudadanos, que también es conocido como el derecho al olvido. En España, en torno al 30% del total de reclamaciones registradas por AEPD hacían referencia a la desatención de alguno de los derechos previstos en la normativa de protección de datos, y un 7% de esas reclamaciones se vinculan con el derecho al olvido en buscadores.

En Irlanda, el regulador impuso una multa de 17 millones de euros a Meta (Facebook) por no contar con los mecanismos técnicos y organizativos adecuados para cumplir con el RGPD, mientras que Clearview AI, una empresa de reconocimiento facial, ha sido multada con 20 millones de euros por la agencia de protección de datos de Italia y con otros 9 millones de euros por la Oficina del Comisario de Información del Reino Unido (ICO) por el tratamiento ilegal de datos personales biométricos y de geolocalización. Por su parte, TikTok podría enfrentarse a una multa de 27 millones de libras tras una posible infracción de las leyes de protección de datos del Reino Unido por no proteger la privacidad de los niños al utilizar la plataforma.

Todos estos casos han salido a la luz porque los consumidores se han quejado. Los ciudadanos conocen ahora mejor sus derechos en materia de privacidad de datos y están dispuestos a ejercerlos si creen que sus datos personales se están utilizando de forma indebida.

Muchos casos de infracción de la RGPD apuntan en gran medida al error humano y/o a la formación inadecuada, y presentan un argumento convincente a favor de la aplicación de prácticas de "Protección de datos desde el diseño y por defecto", tal como apunta el artículo 25 del RGPD. Por esta razón, es recomendable que las empresas desarrollen procesos sólidos para minimizar el incumplimiento del reglamento.

De momento, no se ha sancionado a ninguna empresa con multas de una “cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior”. Aunque ninguna empresa quiere enfrentarse a una violación de la privacidad, hay factores atenuantes que se tendrán en cuenta si se produce, entre ellos si se trata de una primera infracción, la gravedad de la infracción, si fue deliberada o accidental, la notificación proactiva a la autoridad de control y las medidas adoptadas para reducir el impacto sobre los interesados. Los reguladores suelen ser más indulgentes con las empresas que son transparentes en cuanto a lo que ha fallado, cooperan en la investigación y se mueven rápidamente para poner en marcha medidas que eviten que se repita.