La Agencia Española de Protección de Datos (AEPD) puso en 2020 sanciones económicas por un total de 8 millones de euros, un 27% más que el año anterior, a entidades privadas por incumplir la Ley de Protección de Datos Personales (LOPD) y el Reglamento General de Protección de Datos (RGPD).
Además de las multas al sector privado, las sanciones a la Administración pública pasaron de 15 en 2019 a 39 en 2020 (un aumento un 160%), aunque no se le imponen multas económicas, solo apercibimientos. Pese a ello, el sector público agrupa el 10% de las resoluciones con conclusión sancionadora.
Dos de los últimos procedimientos sancionadores que ha abierto la AEPD a la Administración son sobre la aplicación de rastreo Radar Covid por una posible vulneración del reglamento europeo en esta materia (RGPD, como explicamos en Newtral.es.
A partir de ahora, este procedimiento ante posibles incumplimientos puede durar hasta nueve meses para comprobar las actuaciones de la Secretaría de Digitalización e Inteligencia Artificial, y valorar posibles medidas correctoras. Lo que sí se sabe es que la AEPD no va a imponer una multa económica al organismo competente en caso de infracción. Te contamos por qué pasa esto.
Suben un 160% las sanciones a la administración
En 2020 bajaron un 35% las reclamaciones que recibió la AEPD sobre asuntos relacionados con la Administración pública. Pero las resoluciones sancionadoras han aumentado un 160%, de 15 sanciones a 39, según los datos recogidos en sus memorias anuales.
Para Verónica Alarcón, abogada y socia de ePrivacidad.es, “es lógico que se opte cada vez más por reclamar ante esa autoridad de control”, aunque la agencia no puede imponer sanciones económicas al sector público.
La mera resolución de la Agencia declarando que la Administración ha cometido una infracción y requiriéndola para que cese o adopte las medidas para corregir su conducta “bastará para que la persona reclamante acuda a los tribunales solicitando una compensación económica por la vulneración de su derecho a la protección de datos de carácter personal”, explica la abogada.
El tratamiento de los datos, lo que más infringe la administración
Sobre las infracciones más cometidas, la Administración infringe en su mayoría artículos del reglamento europeo (RGPD). El mayor número de sanciones se producen por incumplimientos del artículo 5.1f) sobre principios relativos al tratamiento, según recoge la Agencia.
En este artículo se indica que el tratamiento de los datos personales debe garantizar “la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
Otros artículos que se repiten en los expedientes sancionadores son el 6, sobre la licitud del tratamiento como no contar con el consentimiento de la persona; el 5, sobre principios relativos al tratamiento, que exige que se traten los datos personales de manera lícita, leal y transparente, la limitación del plazo de conservación de estos datos, entre otros detalles; y el 37, sobre la designación del delegado de protección de datos y atendiendo a cualificaciones profesionales así como su conocimiento sobre protección de datos.
Apercibimiento sin multa económica
“No existe un verdadero incentivo al cumplimiento mientras se mantenga exclusivamente este apercibimiento”, comenta a Newtral.es Sergio Carrasco Mayans, abogado encargado de la denuncia en nombre de la ONG Rights International Spain a la AEPD por la posible vulneración del reglamento por parte de la app Radar COVID.
A raíz de varias consultas, entre ellas la de Rights International, la AEPD ha abierto dos procedimientos sancionadores contra la Dirección General de Salud Pública, dependiente del Ministerio de Sanidad, y otro al Ministerio de Asuntos Económicos y Transformación Digital por Radar COVID.
Rubén Sánchez, el secretario general de FACUA, organización en defensa de los derechos de los consumidores, también pide que se “depuren responsabilidades entre políticos y técnicos” cuando se infringe la ley en términos de protección de datos.
Desde esta organización reclamaron ante la AEPD irregularidades cometidas por la Comunidad de Madrid en la difusión de los datos personales de trabajadores de centros de enseñanza. Ahora, la Agencia ha archivado el expediente al considerar que su actuación "fue proporcionada" y "ha tomado las medidas adecuadas para evitar que se vuelva a producir".
La ley pone multas a empresas, pero no a la Administración
La LOPD determina las sanciones que le corresponden a las administraciones públicas, pero en este caso no conllevan una sanción económica, sino que se realizan en forma de apercibimiento, actuaciones disciplinarias y publicación que impliquen el cese de la conducta o que se corrijan los efectos de la infracción cometida.
La Agencia no contempla la imposición de sanciones económicas a los organismos públicos, según sostiene la ley, algo que también confirman a Newtral.es desde el gabinete de prensa de la Agencia Española de Protección de Datos.
En cambio, si el infractor tienen naturaleza privada puede recibir tanto una sanción económica como un apercibimiento.
El sector más sancionado con multas económicas es el de entidades financieras/acreedoras, que aglutina cinco millones de euros en multas. Le sigue el de las telecomunicaciones, con un millón de euros. Ambos reúnen más del 70% de las sanciones de 2020, que aumentaron un 27%.
Respecto a las multas, se contemplan hasta un máximo de 10 millones de euros o un porcentaje de hasta el 2% máximo del volumen de negocio total anual global del ejercicio financiero anterior, en el caso de infracciones. Si se incumplen las resoluciones de la autoridad de control estas cuantías pueden ascender hasta los 20 millones de euros o hasta el 4% del volumen de negocio.
Fuentes
- Rubén Sánchez, secretario general de FACUA, organización en defensa de los derechos de los consumidores
- Verónica Alarcón, abogada y socia de ePrivacidad.es
- Sergio Carrasco, abogado en nombre de Rights International Spain
- Ley de Protección de Datos Personales y garantía de los derechos digitales (LOPD)
- Reglamento General de Protección de Datos (RGPD)
- Memorias anuales de actividad de la Agencia Española de Protección de Datos (AEPD)
Deberíais aclarar que son "sanciones de apercibimiento", es decir, que no se ha impuesto ni una sanción económica a ninguna Administración Pública.
El juzgado de paz puede abrir un sobre que viene de otro juzgado y leerlo y que luego lo de a la policia y lo traiga con un sobre que no es de juzgados gracias
Acabo de recibir una resolución por falta muy grave contra una administración pública por la que se incoa expediente sancionador. Y la administración en este caso se va de rositas, ¿ni siquiera una sanción disciplinaria contra el responsable de esa cesión de datos?, ¿no habíamos quedado que la ley es igual para todos?, a la vista queda que el papel lo aguanta todo. Una auténtica vergüenza, un desincentivo para denunciar.
En mi localidad el ayuntamiento creo un grupo de WhatsApp, en lugar de una lista de distribución, con centenares de números de teléfonos, en principio con el fin de informar de la situación por covid. Tras casi año y medio en el que todos los miembros del grupo hemos tenido acceso,entre otra información, a los números de teléfonos incluidos en el grupo y tras la reclamación correspondiente ante la agencia estatal de protección de datos que no hizo absolutamente nada si no decir que yo debía tramitarlo a nivel autonómico, cosa que se ha hecho, ningún apercibimiento ni sanción se ha comunicado al ayuntamiento.
Es una auténtica vergüenza que una entidad pública vulnere los derechos a la privacidad y no se actúe.
Se han hecho publicas fotografías de menores, imágenes relativas a la condición sexual, religiosa, política, etc...
Y todo ésto sale totalmente gratis. Ni tan siquiera se depuran responsabilidades.
Lo dicho, una vergüenza.