Un artículo sobre la RGPD.
¿Vaya coñazo, no?
No te vayas. En serio, sigue leyendo. Esto te interesa.
Si eres autónomo, dueño de una PYME o simplemente te preocupa si tu empresa cumple con la ley, quédate. Este artículo está diseñado para ti.
En 2019 se realizó una encuesta a más de 700 líderes de pequeñas empresas en Europa sobre el cumplimiento del RPGD en países como España, Reino Unido, Francia e Irlanda y se observó que aproximadamente la mitad de las empresas incumplen el RGPD en dos puntos cruciales, con los riesgos que ello conlleva.
Las grandes empresas normalmente tienen equipos dedicados a estas cuestiones, pero para negocios más humildes el conocimiento y cumplimiento adecuado de estas normativas puede ser lioso y un verdadero quebradero de cabeza.
Esto será un artículo práctico sobre la RGPD en 2025.
¿Qué es la RGPD?
El convenio Europeo de los derechos humanos declaró en 1950:
"Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y su correspondencia."
Como resultado de la llegada de la era digital, las interacciones de las personas y la forma en la que llevamos a cabo nuestra vida cotidiana se han visto profundamente transformadas.
En este contexto, de constante evolución, la privacidad ha adquirido un papel todavía más significativo, lo que requiere de una reexaminación de las antiguas leyes y marcos regulatorios que se habían establecido para abordar los recientes y complejos problemas que surgen del nuevo mundo digital.
La legislación sobre privacidad está evolucionando rápidamente en respuesta a los desafíos de la era digital, mientras la tecnología avanza a un ritmo imparable.
Este cambio, ha dado lugar a un aumento meteórico en el número de canales utilizados para la recolección, análisis y difusión de datos privados, lo que genera tensiones y oportunidades críticas que exigen una acción urgente para proteger nuestra privacidad.
La RGPD (Reglamento General de Protección de Datos) de la UE entró en vigor el 25 de mayo de 2018, sustituyendo al anterior marco jurídico con fecha de 1995.
Aunque conserva el enfoque regulatorio general de su predecesor, el RGPD incluyó nuevas obligaciones de cumplimiento, y la severidad de las sanciones aumentó.
Principios de la RGPD
El RGPD establece un marco legal de amplio alcance para tratar de garantizar la privacidad y los derechos de las personas al tratar sus datos en la era digital.
Veamos los principios un poco más en detalle para tener una comprensión más matizada, aunque por motivos prácticos seguirá siendo un acercamiento resumido y superficial.
Principio de Responsabilidad Proactiva o Accountability
El RGPD no solo actualiza la legislación anterior, sino que introduce un enfoque completamente renovado en la protección de datos a nivel Europeo.
Este reglamento, al ser de aplicación directa en todos los Estados miembros, asegura una interpretación homogénea de sus normas a través de la jurisprudencia del Tribunal de Justicia de la UE.
Entre las principales novedades, destacan la regulación de consentimiento (artículos 4 y 7), el derecho al olvido y la portabilidad (artículos 17 y 20), los principios de privacidad desde el diseño y por defecto (artículo 25), la figura del delegado de protección de datos (artículos 37 y 39), y la obligación de realizar evaluaciones de impacto en el tratamiento de datos (artículos 35 y 36).
Una de las incorporaciones claves es el principio de responsabilidad proactiva, definido en los artículos 5.2 y 24.
Este principio exige a los responsables del tratamiento implementar medidas técnicas y organizativas para asegurar que sus prácticas cumplen con el reglamento.
En definitiva, el principio de responsabilidad proactiva va más allá de cumplir con la normativa vigente, exige que el responsable de datos pueda demostrar en todo momento que está actuando de forma diligente.
Como bien ha señalado la Asociación Española de Protección de Datos (AEPD): "no incumplir ya no será suficiente".
Principio de Licitud, Lealtad y Transparencia
El principio de licitud, transparencia y lealtad implica que los datos deben ser tratados de forma lícita, leal y transparente para el interesado.
Licitud: El principio de licitud se desarrolla en el artículo 6 de la RGPD, donde se establecen seis condiciones que justifican el tratamiento de datos personales, siendo el consentimiento la primera y una de las más relevantes.
Transparencia: El responsable del tratamiento de datos debe ser completamente transparente sobre cómo y por qué va a usar los datos del usuario. De forma clara, fácil de entender y accesible.
Lealtad: El tratamiento de los datos debe llevarse de manera justa y honesta, protegiéndose los intereses del titular y su expectativa de privacidad.
Principio de Minimización de Datos
El principio de minimización de datos implica tratar sólo los datos que sean estrictamente necesarios para cada propósito específico.
Es decir, aplicando medidas técnicas y organizativas para reducir la cantidad de datos recopilados, limitar el tiempo durante el cuál se conservan y restringir el acceso a los mismos solo a quienes realmente lo necesiten.
Cuantos menos datos se recopilen, menor será el riesgo de daño, abuso o pérdida de privacidad, un ejemplo: no será procedente adquirir datos sobre el estado civil para un proceso de selección de trabajadores.
Principio de Exactitud
El principio de exactitud exige que los datos sean precisos y estén actualizados.
Es necesario que se tomen medidas para corregir o eliminar los datos erróneos de inmediato, evitando que los datos inexactos se utilicen para fines para los que no son adecuados.
Principio de Limitación de la Finalidad
El principio de limitación de la finalidad establece que los datos deben ser recopilados para fines claros, específicos y legítimos.
Su uso posterior debe ceñirse únicamente a esos fines, y no pueden ser tratados de manera que contradigan esos objetivos iniciales.
Principio de Limitación del plazo de Conservación
El principio de limitación del plazo de conservación marca un límite temporal, por lo que los datos no deben guardarse más tiempo del necesario para cumplir con el propósito para el que fueron recogidos.
Es decir, sólo se pueden conservar mientras sean necesarios para fines específicos.
Posteriormente, deben ser borrados, bloqueados o, en su defecto, anonimizados.
Principio de Integridad y confidencialidad
Las empresas deben asegurar la protección adecuada de los datos personales para prevenir accesos no autorizados, pérdidas o daños.
El principio de integridad y confidencialidad garantiza la seguridad de los datos, protegiéndolos contra tratamientos no autorizados o ilegales, así como de pérdidas, destrucción o daños accidentales.
Para lograrlo, se deben implementar medidas técnicas y organizativas apropiadas, considerando el riesgo asociado a los datos que manejan, el estado de la tecnología, los costos de implementación y los fines del tratamiento.
Sanciones RGPD
El cálculo de la cuantía de la multa queda a discreción de la autoridad de control, tal y como estipula el RGPD.
En el caso de España, la autoridad de control es la Agencia Española de Protección de Datos (AEPD).
El RGPD exige que el importe cumpla los principios de eficacia, proporcionalidad y disuasión, entremos a detalle a continuación.
Proporcionalidad
El principio de proporcionalidad requiere que las sanciones económicas aplicadas no superen los límites de lo apropiado con respecto a los objetivos perseguidos.
Por lo tanto, el importe de la multa impuesta debe ser proporcional a la infracción, considerada en su conjunto y, en particular, la gravedad de la misma.
Vale la pena mencionar que, como consecuencia del principio de proporcionalidad, se puede considerar reducir la sanción económica sobre la base del principio de incapacidad de pago en casos excepcionales mediante pruebas objetivas, para evitar poner en peligro la viabilidad económica de la empresa.
Eficacia
El principio de eficacia considera que una multa o sanción económica es efectiva si logra los objetivos con los que se impuso.
El artículo 148 del RGPD considera:
"A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento."
En general, una multa o sanción se considera efectiva si restablece el cumplimiento de las normas o castiga las conductas ilícitas (o las dos).
Disuasión
Por último, la multa o sanción económica debe ser de carácter disuasorio, tanto de de forma general (disuade a otros de cometer la misma infracción) como específica (disuade al que recibe la sanción económica de volver a cometer la misma infracción).
Cuantías por sanción
El Comité Europeo de Protección de Datos (CEPD) establece que hay tres elementos esenciales que sirven como punto de partida para determinar la cuantía de una sanción:
I. La naturaleza de la infracción: El RGPD clasifica las infracciones en distintos niveles de gravedad según los apartados 4 a 6 del artículo 83. Es decir, no todas las vulneraciones se tratan igual.
II. La gravedad del incumplimiento: No es lo mismo un descuido puntual que una vulneración sistemática y deliberada. Esta evaluación está más detallada en el apartado 4.2 del documento.
III. El volumen de negocio de la empresa: Aquí entra en juego la proporcionalidad. A mayor capacidad económica, mayor puede ser la sanción, siempre con el objetivo de que la multa cumpla con los principios descritos anteriormente.
Es importante mencionar, tal y como se señala en las directrices WP253, que el RGPD no adjudica cuantías fijas a vulneraciones concretas.
El RGPD, siguiendo con la tradición general del Derecho de la UE en materia de sanciones establece límites máximos superiores.
En el artículo 83, del apartado 4 al 6, del RGPD, se recogen y se prohíbe a las autoridades de control imponer sanciones económicas que superen los límites superiores fijados.
Cuantía máxima estática
El artículo 83, apartados 4 a 6, del RGPD, establece los límites superiores máximos de sanción económica.
En el apartado 4 se fijan cuantías de hasta 10 millones de EUR por vulneración de las obligaciones establecidas, mientras que en el apartado 5 y 6 se contemplan multas de hasta 20 millones EUR.
Cuantía máxima dinámica
En el caso de una empresa, el límite superior puede variar en función del volumen de negocios.
En el artículo 83, apartado 4, del RGPD, se establece un límite máximo superior del 2% y, en los apartados 5 y 6, un límite máximo superior del 4% del volumen de negocios de la empresa.
Estas cuantías máximas dinámicas basadas en el volumen de negocio se aplican si en el caso específico, se supera el limite máximo superior estático.
Por ejemplo, si el volumen de negocios total anual de una empresa en el ejercicio anterior es de 600 millones EUR, se aplicaría una cuantía máxima dinámica (2 o 4%) en lugar de la estática, puesto el importe es mayor.
Casos de sanciones por incumplimiento
La ley está para cumplirla.
En caso de no hacerlo, nos exponemos al riesgo de sufrir una sanción.
A día de hoy, son ya múltiples los casos de multas millonarias a empresas por diversos motivos relacionados con las regulaciones en materia de privacidad.
Por ejemplo, el DPC (Comisión de Protección de Datos) de Irlanda impuso una multa a TikTok por valor de 340 millones de euros por no implementar suficientes garantías para los usuarios que fueran menores de edad en su plataforma.
Esto, además de la muta económica, también afectó a su reputación como empresa a pesar de que hubo una respuesta y se corrigió el "error" relativamente rápido.
Aún así, está lejos de llevarse el primer puesto, que lo ostenta Meta, el DPC impuso una sanción histórica de 1.200 millones de euros por violar las normas Europeas de protección de datos.
Otras empresas que también han sufrido sanciones relacionadas con la RGPD son el gigante tecnológico Amazon (740 millones de euros de sanción), Linkedin (310 millones de euros), Uber (290 millones de euros) e incluso Google (90 millones de euros).
Aunque la mayoría de los ejemplos de estas sanciones han caído sobre gigantes tecnológicos, también existen multitud de sanciones a empresas más pequeñas que no se vuelven mediáticas, en el ámbito nacional tenemos casos más modestos como la sanción de 5 millones de euros impuesta al BBVA por el envío de un SMS promocional sin contar con la autorización de los destinatarios.
LOPDGDD
Uno de los motivos que más dudas frecuentes suscita es:
¿Qué distingue a la LOPDGDD de la RGPD?
La entrada en vigor del Reglamento General de Protección de Datos (RGPD) supuso el fin de la antigua normativa española, la ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que había regido vigente durante casi dos décadas.
Para adaptarse a este nuevo marco, en Diciembre de 2018 se aprobó la Ley Orgánica de 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en Diciembre de 2018.
Aunque la RGPD no necesita norma de transposición, como ocurre en el caso de las directivas, eso no significa que los países no tengan que mover ficha.
Como hemos visto, el reglamento general se aplica en todos los Estados miembros, pero deja cierto margen para que cada país regule ciertos aspectos por su cuenta.
La LOPDGDD cumple precisamente esa función: adaptar y complementar el RGPD dentro del marco jurídico español.
LOPDGDD sanciones
La LOPDGDD establece sanciones para las empresas que no cumplan con la regulación y sus obligaciones en materia de protección de datos.
La cuantía varía dependiendo de la gravedad y la naturaleza de la infracción y respeta las cuantías máximas superiores fijadas por el RGDP.
La LOPDGDD categoriza las sanciones en leves, graves y muy graves.
Sanción leve
Las infracciones leves pueden incluir diversas vulneraciones que revierten un menor daño y gravedad, tal y como se expone en el Artículo 74 de la LOPDGDD y tiene un período de prescripción de un año.
El importe de la sanción económica puede oscilar entre los 10.000 y los 40.000 euros, aunque también existe la posibilidad de advertencia o apercibimiento.
Se puede consultar qué vulneraciones puede suponer un riesgo de sanción leve en este enlace.
Sanción grave
Las infracciones graves pueden incluir diversas vulneraciones que afectan de forma relevante a los derechos de los interesados, tal y como se expone en el Artículo 73 de la LOPDGDD y en este caso el período de prescripción es mayor, de 2 años.
El importe de la sanción económica puede oscilar entre los 40.000 y 300.000 euros.
Se puede consultar qué vulneraciones puede suponer un riesgo de sanción grave en este enlace.
Sanción muy grave
Las infracciones muy graves pueden incluir diversas vulneraciones que afectan de forma grave a los derechos de los interesados y ponen en riesgo la seguridad de datos a gran escala, tal y como se expone en el Artículo 72 de la LOPDGDD y el período de prescripción es de 3 años.
El importe de la sanción económica es superior a los 300.000 euros hasta los 20 millones de euros, siendo el límite superior máximo 20 millones de euros o un 4% del volumen anual de negocios de la empresa, lo que sea mayor.
Se puede consultar qué vulneraciones puede suponer un riesgo de sanción muy grave en este enlace.
Por supuesto, hay que tener en cuenta que además de multas o sanciones económicas las empresas también pueden verse expuestas a otras consecuencias negativas derivadas, como el daño a la reputación u otras responsabilidades.