¿Sabes que tu empresa puede ser sancionada si no informas acerca del uso de los datos de tus clientes?
Ya sea por desconocimiento o por ignorar el RGPD, las sanciones impuestas a pymes por la AEPD cada vez están más a la orden del día, por eso te explicamos en este artículo como evitar sanciones de la Agencia Española de Protección de Datos. Uno de los principios fundamentales del RGPD es el de Transparencia, ¿y esto qué implicaciones tiene?, pues básicamente que desde el momento inicial debes mantener informados a tus clientes acerca de lo que haces con sus datos personales.
El artículo 13 del Reglamento General de Protección de Datos (Reglamento 2016/679) establece que debes informar a tus clientes acerca de la identidad de la empresa que recoge los datos, las finalidades para las que la empresa va a tratar sus datos, los destinatarios de estos, los datos de contacto del Delegado de Protección de Datos (si lo ha designado), el plazo durante el cual se conservarán los datos y la existencia de decisiones automatizadas o transferencias internacionales entre otros aspectos. La información deberá facilitarse en el momento inicial de la toma de datos de modo que pueda acreditar que les has informado.
Esta información es la que habitualmente nos encontramos en coletillas de formularios en papel o en los de registros online, pero lo cierto es que en la mayoría de las ocasiones es incompleta o no se adecúa a la realidad del tratamiento de datos. Por ello es cada vez más habitual que nos encontremos con sanciones de la Agencia Española de Protección de Datos (AEPD).
Ejemplo de sanción real
En septiembre de 2021 la AEPD sancionó a una agencia inmobiliaria en el procedimiento sancionador PS/00618/2021 con 5.000 euros por no informar “convenientemente” a sus clientes de los fines para los que se destinarían los datos personales obtenidos de ellos.
Una clienta de la inmobiliaria interpuso una reclamación en la que informaba que, tras realizar una reserva para la compra de un inmueble, no había sido informada acerca del tratamiento de sus datos personales. Como prueba aportó el documento de oferta del inmueble en el que aparecían los datos personales de la afectada, así como, los datos de la inmobiliaria. Sin embargo, en el referido documento no se recogía ningún tipo de información acerca del tratamiento que se iba a realizar con los datos de la interesada.
La AEPD admitió a trámite la reclamación y ordenó incoar el correspondiente procedimiento sancionador a la parte reclamada, por la presunta infracción del art. 13 del RGPD, al existir indicios de la falta de información ofrecida a la clienta sobre el tratamiento de sus datos personales.
Finalmente, tras haber constatado los hechos, además de obligar a la inmobiliaria a implementar un mecanismo en la gestión de los servicios realizados donde se informe a los clientes del tratamiento que se realizará de sus datos personales, la AEPD termina imponiendo a la mercantil reclamada una multa de 5.000 euros, por la infracción del art. 13 del RGPD, “al no informar convenientemente a los clientes, de los fines a los que destinan los datos personales obtenidos de ellos”.
¿Cómo lo evitamos?
Las sanciones de estas características son cada vez más habituales, por ello no es suficiente con incorporar una simple coletilla informativa a cualquier formulario, sino que, es necesario identificar adecuadamente de forma previa el tratamiento que vamos a realizar con los datos del cliente, las finalidades para las que utilizaremos esos datos, el tiempo durante el que los conservaremos, qué terceros podrán tener acceso a los mismos, etc.
Por ejemplo, si vamos a utilizar los datos de nuestro cliente para llevar a cabo acciones promocionales, además de para la gestión administrativa y contable, es necesario que le informemos desde el momento inicial e incluso que solicitemos su consentimiento en determinados casos.
Es importante también que, de forma previa al tratamiento de los datos, hayamos definido el plazo de tiempo durante el que los vamos a conservar en función de lo establecido por la normativa o por la finalidad que hayamos definido (los datos no se pueden conservar por tiempo indefinido), de modo que podamos informar adecuadamente al cliente desde el momento inicial.
¿Y qué pasa con el resto de los datos personales que tratamos?
La obligación de informar no se circunscribe exclusivamente a los datos de clientes, sino que el principio de transparencia es aplicable a todo tratamiento de datos de carácter personal, por tanto, siempre que nuestra empresa trate datos de estas características estamos obligados a informar al interesado.
Existen múltiples situaciones en las que tratamos datos de carácter personal como ocurre con datos de abonados, de pacientes, de alumnos, de trabajadores de la plantilla, de huéspedes, etc., datos que no se utilizan exclusivamente para la gestión administrativa, sino que pueden emplearse para otras finalidades, de modo que se debe informar adecuadamente al interesado de todos los aspectos exigidos por el artículo 13 del RGPD.
Datos de caracter interno
En relación con los datos de trabajadores de la plantilla y de candidatos que presentan currículums, debemos hacer una mención especial. Es muy habitual que la recogida de currículums se lleve a cabo sin ningún tipo de protocolo específico y que no se informe adecuadamente a los interesados cuando son candidatos y tampoco cuando pasan a formar parte de la plantilla.
Al igual que con los clientes, el artículo 13 del RGPD es aplicable a la recogida de currículums y al tratamiento de datos de trabajadores. En ambos casos el tratamiento de los datos no requiere de un consentimiento previo ya que existe una relación precontractual y contractual que ampara dicho tratamiento, pero lo que si es exigible es facilitar la información exigida al interesado en ambos casos.
En el procedimiento sancionador PS/00237/2021 la AEPD sancionó a una empresacon 2.000 € por no responder con la información adecuada a la recepción de un currículum. En la página web de la empresa se publicó una oferta de empleo a la que el candidato contestó a través del teléfono que constaba en el anuncio y remitió su currículum por WhatsApp. La entidad no le facilitó información relativa al tratamiento que efectuaría con sus datos personales ni tampoco de la posibilidad de ejercitar los derechos ante el responsable del tratamiento.
En definitiva, una vez más queda probado que cualquier empresa, con independencia de su tamaño, debe cumplir con lo previsto en el RGPD, si no quiere ser sancionado por la AEPD ante cualquier denuncia.
LegalTech dispone de un equipo de consultores especializados en Derecho TIC, con amplia experiencia, tanto en el ámbito público como privado, que acompañará al responsable del tratamiento en los proceso de adecuación para cumplir la normativa de Protección de Datos, así como el servicio de Delegado de Protección de Datos, figura esencial que informa, asesora y supervisa el cumplimiento por parte de las empresas, todas las organizaciones pueden optar por integrar la figura del DPD, con el que garantizarán el cumplimiento de la normativa de protección de datos.