‘La mayoría de empresas siguen sin cumplir la Ley de Protección de Datos’
La Agencia Española de Protección de Datos recaudó 16 millones de euros en multas en 2023
A pesar de que la Ley Orgánica de Protección de Datos (LOPD) lleva años en vigor, la mayoría de empresas siguen incumpliéndola, subraya Raúl Florido. El abogado del despacho Sarabia & Asociados, experto en protección de datos, propiedad de marcas y en la Ley de Servicios de la Sociedad de la Información (LSSI), destaca que “las sanciones para cualquier entidad que maneje datos personales pueden ser devastadoras”.
Pregunta.- La Ley Orgánica de Protección de Datos (LOPD) es clave para garantizar la privacidad y seguridad de la información personal. ¿Qué novedades introdujo?
Raúl Florido.- Con la aprobación del reglamento general sobre Protección de Datos se introdujo como principal novedad la obligación de que las empresas que no residen en un país comunitario tengan que cumplir con esta normativa siempre y cuando traten datos de carácter personal de usuarios de la Unión Europea. Además, incluyeron novedades en la obligatoriedad de varias entidades de nombrar un delegado de protección de datos y en su responsabilidad.
Respecto al régimen sancionador, las infracciones se dejaron de calificar como leves, graves o muy graves, y directamente se estableció un arco con los importes que conllevarían las sanciones.
La novedad más llamativa, pero que menos trascendencia tiene, es que acabó con el trámite burocrático de tener que inscribir los ficheros en la Agencia Española de Protección de Datos.
P.- ¿A quienes se aplica la LOPD?
RF.- A todas las entidades que traten datos de carácter personal de personas físicas, independientemente del tamaño y sector. Es importante saber que el email, la IP o un dato biométrico ya se consideran datos de carácter personal, por lo que hablamos de prácticamente cualquiera.
P.- ¿Qué debe hacer una empresa para cumplir con la normativa sobre protección de datos?
RF.- Lo primero es analizar qué tipos de datos trata, ya que dependiendo de eso, la normativa es más o menos rigurosa, pudiendo ser obligatorio realizar un análisis de riesgos y una evaluación de impacto o nombrar un delegado de protección de datos.
En la normativa se tiene especial cuidado con determinados datos que se consideran sensibles, que son aquellos que revelen las opiniones políticas, convicciones religiosas o filosóficas, la afiliación sindical o datos relativos a su orientación sexual. También los datos sobre el origen racial o étnico, genéticos, biométricos –tratados únicamente para identificar un ser humano– y relativos a la salud.
P.- ¿Cuál es el régimen sancionador en materia de protección de datos?
RF.- El régimen sancionador de la LOPD, reforzado por el Reglamento General de Protección de Datos (RGPD), es una de las áreas más estrictas y menos conocidas por las empresas. Las sanciones pueden resultar devastadoras para cualquier entidad que maneje datos personales, y esto se evidencia en las multas millonarias que la Agencia Española de Protección de Datos ha impuesto en los últimos años, recaudando 16 millones solo en 2023.
P.- ¿A cuánto pueden ascender las multas en caso de incumplimiento?
RF.- Las sanciones se dividen en dos niveles de gravedad, según el RGPD, siendo directamente proporcionales al volumen de negocio de la empresa. Por un lado están las infracciones graves, que pueden implicar multas de hasta 10 millones de euros o incluso del 2% del volumen de negocio anual global. Esto puede ocurrir si no se realiza un análisis de riesgos cuando es obligatorio.
Por otro lado, están las infracciones consideradas muy graves, cuyas multas pueden ser de hasta 20 millones de euros o el 4% del volumen de negocio anual global, la cuantía que sea mayor. Un ejemplo de esta infracción podría ser la falta de consentimiento explícito para el tratamiento de datos sensibles de alguna persona, como datos de salud.
P.- ¿Qué otro tipo de acciones pueden ser sancionadas?
RF.- Algunas de las prácticas más comunes que pueden derivar en sanciones incluyen la ausencia de medidas adecuadas para proteger los datos personales o el uso de sistemas de control, como biometría, sin consentimiento explícito (como fue el caso del gimnasio sancionado con 50.000 euros por uso indebido de huellas dactilares).
También, la transferencia de datos fuera del Espacio Económico Europeo sin garantías legales o la falta de cumplimiento con las normativas adicionales, como la LSSI-CE, que regula las comunicaciones comerciales y el spam.
Con un régimen sancionador tan severo y un marco normativo cada vez más estricto, garantizar el cumplimiento no es solo una cuestión legal, sino una estrategia de supervivencia empresarial.
