Ver especial completo sobre compliance
Los organismos europeos (Grupo del Artículo 29 y el Comité Europeo de Protección de Datos) han aportado guías para la aplicación “coherente y armonizada” de esas normas sobre aplicación de protección de datos. Además se refrendaron, entre otros, diferentes documentos con las Directrices sobre aplicación y determinación de multas administrativas en el marco del RGPD, directrices sobre DPD, sobre Portabilidad en el RGPD, sobre Transparencia, Notificación de Violaciones de Seguridad o sobre el Marco de Adecuación en el RGPD.
En la Memoria de 2018, la AEPD destaca que las sentencias del TJUE más relevantes de ese año refieren supuestos en los que el Tribunal concluye que es aplicable la figura del corresponsable del tratamiento. La Agencia subraya una necesaria intervención del corresponsable del tratamiento, una figura imprescindible que se refuerza con soluciones como el Memento Protección de Datos y Centinela de Lefebvre.
Centinela es la nueva plataforma integral de gestión de Compliance, que incorpora aquellas funcionalidades requeridas para la identificación y gestión de riesgos. El usuario puede seguir un estándar para la adecuada implementación de un sistema de Compliance. De esta forma, los Compliance Officer (penal, tributario, DPD) disponen de un software de gestión que permite la identificación, control y prevención de los riesgos que puedan afectar a una empresa, teniendo en cuenta diferentes materias y todo ello siguiendo la ISO 19600 y la normativa UNE correspondiente.
Sentencias de la justicia europea
Según la información facilitada por la AEPD, durante 2018 se dictaban 164 sentencias referidas a la Ley Orgánica de protección de datos. En su memoria informativa de 2018, además de relacionar los aspectos procedimentales, el ámbito de aplicación territorial, la falta de legitimación de envíos de SMS recordando el cargo de recibos o la infracción en el caso de recogida de datos personales relativos a la ideología, la Agencia subrayaba tres sentencias del TJUE que se convertían en antecedentes de otras cuantiosas multas del año 2019. Las sentencias de junio de 2018 para la desactivación de una página de fans alojada en el sitio de Facebook, la de julio de 2018 en la que se prohíbe a la comunidad de Testigos de Jehová recoger o tratar datos personales, y la de octubre de 2018 relativa al tratamiento de datos y protección de intimidad en el sector de las comunicaciones electrónicas, tienen como nexo común la protección de datos personales y garantía de derechos digitales; Todas se refieren a una sociedad digital en la que se incrementa la intrusión en la esfera privada, se desarrollan nuevos modelos de aplicación de técnica de inteligencia artificial sobre los datos más allá del Big Data así como la implementación de nuevos modelos de negocio en los que se produce la monetización de la información personal de los usuarios.
Sanciones de la AEPD
El 15 de marzo de 2018 conocíamos las dos mayores sanciones de la historia de la AEPD, impuestas a Facebook y a WhatsApp por un importe de 300.000 euros cada una, por cederse entre ellas y tratar datos de sus usuarios sin haberles pedido previamente permiso. Además de WhatsApp y Facebook, la AEPD sancionaba a finales de 2018 con un importe de 40.000 euros a Iberdrola por permitir que una tercera persona cambiara su potencia contratada, y a principios de 2019 la sanción de 40.000 euros iba a parar a la Asamblea Nacional Catalana. En este caso, no se había protegido adecuadamente los datos personales de sus socios. También en 2019 XFERA MÓVILES S.A. (YOIGO) recibía notificación de una multa de 60.000 euros por infracción del artículo 5 del RGPD, tipificada en el artículo 83.5 del RGPD.
Procedimientos en curso
En este año, destaca un procedimiento relevante iniciado a la Liga Nacional de Fútbol Profesional por publicar una app para dispositivos móviles con capacidad de recoger sonidos de ambiente vulnerando la normativa de protección de datos. El expediente sancionador sigue en curso, de momento. También existe otro procedimiento contra un instalador de una operadora telefónica que utilizó el teléfono móvil del cliente para proponer una cita. Se trataba de una mala praxis por un tratamiento sin consentimiento y desvío de finalidad. Asimismo, existen otros procedimientos pendientes de sanción y en los que existen apercibimientos contra sindicatos, entidades bancarias o el Ministerio de Trabajo por cesión de datos a una ONG. Son casos nacionales y casos transfronterizos (Facebook, Amazon, OATH, LinkedIn, Twitter, Instagram, WhatsApp) en los que España lidera con otras autoridades interesada trabajando con grupos de trabajo.
Por último, cabe reseñar una de las novedades más recientes que se incorporaban en base a las directrices sobre la aplicación del artículo 3 del RGPD. En concreto, el establecimiento de responsables o encargados para el control de la actividad, esto es, la designación del DPD en virtud del artículo 3.3 del RGPD entre cuyas funciones estaría el seguimiento de cambios en el desarrollo de las tecnologías de la información y las prácticas comerciales siempre que tengan incidencia en la protección de datos personales. Según José Luis Piñar, DPO del Consejo General de la Abogacía Española, “la actuación de todos los responsables está siendo muy útil para demostrar ante la Agencia de Protección de Datos lo que es acorde con el RGPD”.