El próximo 25 mayo el RGPD cumplirá 6 años de vida práctica entre nuestras organizaciones y empresas. Es decir, ya son 6 años en los que las empresas y organizaciones han tenido que cumplir con las obligaciones impuestas por esta normativa de protección de datos para evitar ser sancionadas.
Pero, a pesar del tiempo que ya ha transcurrido, la realidad nos demuestra que este cumplimiento está lejos de ser el ideal o, al menos, el que debería ser hoy en día.
Recientemente la AEPD ha publicado su memoria anual de actuación del año 2023 y, por tercer año consecutivo, se ha detectado un incremento en las reclamaciones, por presuntos incumplimientos de esta normativa por parte de empresas y organizaciones, llegándose a contabilizar un total de 21.590 reclamaciones. Este dato supone un incremento de las reclamaciones de un 43% respecto al año 2022 y un 55% respecto del año 2021.
Este dato no se trata sino de un indicador de que las personas están cada vez más interesadas y preocupadas por su privacidad y por su derecho a la protección de datos, lo que aumenta la presión a la que se encuentran sometidas las organizaciones respecto de esta normativa.
Las reclamaciones planteadas con mayor frecuencia por los ciudadanos durante el año 2023 corresponden a la recepción de publicidad no deseada (+114%), servicios de internet (+30%), videovigilancia (+29%), comercio, transporte y hostelería (+66%) y las relacionadas con entidades financieras/acreedoras (+78%).
A nivel de multas, los incumplimientos de la normativa de protección de datos que mayor importe económico sancionador han provocado están relacionados con la mala gestión de brechas de seguridad en los datos personales (que ha provocado sanciones por más de 12 millones de euros), malas praxis en la gestión de las solicitudes de ejercicios de derechos (sanciones por 2,6 millones de euros) y contrataciones fraudulentas sin legitimación para el tratamiento de datos (sanciones por 2,5 millones de euros).
Viendo la actividad sancionadora de la AEPD, junto con el incremento de reclamaciones que se viene dando durante los últimos años, y teniendo en cuenta el duro régimen sancionador de la normativa de protección de datos, que puede llegar a sanciones de hasta 20.000.000 €, es importante que todas las organizaciones y empresas revisen que el cumplimiento de la normativa de protección de datos de su entidad sea el adecuado para evitar los sustos y problemas legales que les podría suponer una reclamación por incumplimiento de la normativa de protección de datos.
Para evitar esta situación tan comprometida que se puede llegar a provocar en vuestra entidad, desde el área LegalTech de Softwariza3, os recomendamos que verifiquéis que estéis cumpliendo con el siguiente decálogo de obligaciones.
DECÁLOGO DE CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS
1. ELABORARÁS Y ACTUALIZARÁS UN REGISTRO DE ACTIVIDADES DE TRATAMIENTO
Debes tener claro la información personal que se gestiona en tu organización, la finalidad para la que la utilizas, qué tipo de datos vas a emplear o a quién se los puedes llegar a comunicar. Todo esto se debe documentar.
2.EVALUARÁS LOS RIESGOS A LOS QUE TE ENFRENTAS
Resulta imprescindible que realices una evaluación de riesgos para identificar y valorar los riesgos de seguridad a los que se enfrenta tu organización en el tratamiento de datos que realizas.
3. APLICARÁS MEDIDAS DE SEGURIDAD
Una vez valorados e identificados los riesgos a los que te enfrentas en tu organización, deberás aplicar las medidas de seguridad más adecuadas que te permitan evitar que estos se materialicen y te causen un grave perjuicio.
4. LEGITIMARÁS LOS TRATAMIENTOS DE DATOS QUE REALICES
Tendrás que comprobar que cuentas con bases de legitimación suficientes para poder tratar los datos personales que manejas en tu organización en el día a día.
5. INFORMARÁS A LAS PERSONAS INTERESADAS
Deberás verificar que estas informando correctamente a las personas interesadas sobre el tratamiento que vas a realizar de sus datos personales, en el momento inicial de la recogida de sus datos, cumpliendo en todo momento con los requisitos fijados por la normativa de protección de datos a este respecto.
6. GESTIONARÁS TUS QUIEBRAS DE SEGURIDAD
Se establecerá un protocolo interno de gestión de brechas o quiebras de seguridad que afecten a datos personales, asegurándose que la plantilla de tu empresa lo conozca y sepa cómo aplicarlo o quién reportar una potencial quiebra de seguridad que pueda afectar al funcionamiento normal de la organización.
7. ATENDERÁS LOS EJERCICIOS DE DERECHOS
Se deberán gestionar correctamente todas las solicitudes de derechos que se lleguen a recibir. Es importante que la respuesta a estas solicitudes se haga en tiempo y forma y que la plantilla de la organización conozca estos protocolos y se encuentre comprometida en su cumplimiento.
8. REGULARÁS LA RELACIÓN CON TUS PROVEEDORES
Hay que regularizar la relación contractual con los proveedores de tu organización que tendrán acceso a datos que se encuentran bajo vuestra responsabilidad, de modo que queden claramente fijados los deberes y obligaciones que estos proveedores tendrán que cumplir desde el punto de vista de protección de datos.
9. FIRMARÁS ACUERDOS DE CONFIDENCIALIDAD CON TU PLANTILLA
Por supuesto, habrá que firmar acuerdos de confidencialidad, que incluyan el deber de secreto y el cumplimiento de las políticas de seguridad de la organización, con la plantilla de personal de vuestra entidad. Es importante tener en cuenta que el factor humano suele ser el eslabón más débil de la cadena de seguridad y resulta básico vincular al personal de la entidad sobre este tipo de obligaciones y deberes.
10. REVISARÁS PERIÓDICAMENTE EL CUMPLIMIENTO DE LA NORMATIVA
Es importante realizar revisiones y auditorías periódicas del estado y efectividad de las diferentes medidas, protocolos y procedimientos de seguridad establecidos a nivel interno para el cumplimiento de la normativa de protección de datos, puesto que se podrán detectar desviaciones o incumplimientos que se solucionarán y corregirán antes de que lleguen a provocar un problema legal o técnico a la organización.
Si detectas que en tu organización o empresa no se cumplen los puntos de este decálogo o tienes dudas de que en algún momento se hayan establecido estos protocolos internos, debes ser consciente que te encuentras en una situación legal comprometida, que puede llegar a desembocar en una potencial sanción de protección de datos o en un problema de seguridad que dañe tu operativa diaria y la imagen de tu organización.
Por ello, si quieres verificar el nivel de cumplimiento de tu organización, ponemos a tu disposición a nuestro equipo LegalTech que, con más de 15 años de experiencia en este sector, te podrá ayudar a mejorar el cumplimiento de tu organización y evitar que puedas llegar a ser una de las empresas u organizaciones sancionadas por la AEPD.
