Las sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) evidencian lo importante que es para las empresas tomarse muy en serio todo lo relacionado con la privacidad, sobre todo en un contexto como el actual, en el que se maneja gran cantidad de información personal, y cuyo uso indebido puede acarrear costosísimas multas
20 dic 2020 . Actualizado a las 05:00 h.Algunos pensaban que en materia de privacidad nos estaban asustando demasiado, pero que no llegaría la sangre al río, que las campanas de las sanciones sonarían más tarde que pronto; se equivocaban: La actuación de la Agencia Española de Protección de Datos es la evidencia.
Época navideña en la que todos estamos llenos de buenos deseos y los más pequeños cuentan los días (eternos) que faltan hasta que los Reyes Magos les traigan sus más deseados juguetes y se olviden de que quizás en alguna ocasión, más que regalos mereciesen carbón; pues lo cierto es que por si acaso sus Majestades de Oriente no se hubiesen acordado de los más díscolos, la Agencia Española de Protección de Datos (AEPD) - nuestra autoridad de control en esto de la privacidad- ha comenzado ya a repartir carbón (léanse sanciones) entre aquéllos que han olvidado sus más elementales deberes en la materia. En alguna ocasión lo he dicho y aprovecho para repetirlo: con esto de la privacidad, pocas bromas.
He aquí dos buenos ejemplos del carbón repartido. El primero, relacionado con el trato de los datos. Trabajador autónomo sancionado con dos mil euros por enviar un whatsapp «piropeando» a una mujer a cuyo domicilio había acudido previamente a realizar una reparación de fontanería. Pareció no tener presente el profesional que el número móvil le fue facilitado para organizar la visita al domicilio y arreglar así la cañería o lo que fuere, no para alabar la belleza de la mujer. No respetó el principio de limitación de finalidad: Los datos (en este caso el número de móvil) se recogen para unos fines concretos y determinados (organizar la visita en la que se procederá a efectuar la reparación) y no pueden tratarse con posterioridad para otra finalidad incompatible con la inicial.
En este caso resultaba patente que piropear a una persona nada tenía que ver con el motivo para el que el número de móvil se facilitó, la incompatibilidad era por decirlo de algún modo, «de libro», pero no siempre las cosas son tan obvias. Así que, si me lo permiten, va un consejo o más bien dos.
El primero, el de la expectativa razonable: si sus clientes le han proporcionado datos de carácter personal para un propósito concreto y con posterioridad tiene usted como empresario que utilizar nuevamente esos datos para otro fin, pregúntese antes si su cliente podría razonablemente esperar que así lo hiciese. Si no es así, no los emplee.
El segundo, que en el caso de protección de datos de carácter personal es mejor pecar de conservador o quizás debería decir más bien de prudente: si como empresario tiene dudas de si volver a emplear los datos recibidos es compatible o no con el motivo inicial por el que se recogieron, mejor no los emplee y pregunte antes al «guardián de sus datos» (o sea a su Delegado de Protección de Datos) y si no tiene uno, busque a un experto en la materia. En privacidad «no dispare antes y pregunte después», sino al revés; primero asegúrese de que puede hacer lo que quiere hacer y solo después actúe, hágalo.
Segundo ejemplo de incumplimiento. Empresa dedicada al sector de la seguridad privada que no tenía nombrado Delegado de Protección de Datos (DPD), cuando era exigible. La AEPD le impuso una sanción de 50.000 euros. Algún lector podría pensar que no siempre hace falta nombrar un Delegado de Protección de Datos (DPD), es más, a veces podría surgir la duda de si es o no obligatorio hacerlo. Cierto, pero en este caso la cuestión estaba clara y la empresa olvidó una obligación elemental, ya que nuestra Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales establece que las empresas de seguridad privada tienen necesariamente que designar un DPD. El comportamiento de la empresa (en este caso su omisión) no ha pasado inadvertido y sus consecuencias a la vista están.
Otro consejo: aunque no sea obligatorio designar un Delegado de Protección de Datos en su empresa, recuerde que hacerlo puede ayudarle a demostrar, llegado el caso, que usted como empresario se toma lo de la privacidad en serio, es decir, que le puede servir como evidencia a efectos de cumplimiento de los deberes que como responsable de tratamiento de datos de carácter personal le incumben.
Las dos sanciones anteriores, de cuantía muy distinta y por motivos bien diferentes también, nos demuestran que en materia de privacidad es mejor prevenir que curar y que cuando el carbón está ya cargado en las alforjas de la AEPD, arrepentirse no es la mejor solución.
Guillermo A. Barral Varela Abogado de ABANCA