En este post hablaremos de las nuevas sanciones en protección de datos, de qué se puede hacer para afrontar un procedimiento sancionador de la mejor forma posible (si es que hay alguna) y de cómo, a estos efectos, un delegado de protección de datos puede venir mejor que bien.
Primeras sanciones. ¿Quién será el agraciado?
Está al caer la primera sanción de la AEPD aplicando el RGPD y sus aterradoras multas.
Este texto está escrito sin conocer la cuantía de la sanción, la empresa agraciada ni el precepto que se considera infringido.
Pero como ya no pueden tardar mucho y el mundo es de los valientes, será publicado a mediados de enero.
Mi predicción es la siguiente: si la empresa es española la primera sanción “gorda” no alcanzará los siete dígitos. Si es extranjera, sí.
Seguidamente asistiremos a una pedrea de collejas de distinto sonido y calibre, sobre empresas de distintos sectores (esto de las multas no va con la administración, recuerden), con un doble objetivo:
- Establecer un listón o baremo de cumplimiento
- Y cumplir el famoso efecto ejemplificativo
Eso no quiere decir que no crea que la Agencia no deba o no vaya a castigar a con sanciones importantes a empresas españolas. Está claro que sancionará a quien incumpla, con independencia de la nacionalidad, desde luego.
La verdadera incógnita es, creo, qué importe alcanzarán las sanciones que se impongan a las pymes de tamaño regular cuya actividad económica no implique el tratamiento habitual de grandes magnitudes de datos.
Estoy hablando, claro, de lo que viene siendo el 95% del tejido económico del país.
The human factor: el “jodón”
Otra incógnita -que no lo es tanto- será ver si, como hasta ahora, la principal fuente de marrones para la empresa son las denuncias de particulares.
Respuesta: sí.
No puede uno esperar muchísimas inspecciones de oficio de una agencia que, en buena lógica, se pasará una muy buena temporada sobrepasada por las urgencias derivadas de todas las cosas nuevas que tiene que hacer y todas las cosas viejas que tiene que cambiar (la rémora del 18 en toda la profesión, en realidad),
De hecho, el progresivo aprendizaje por parte del ciudadano, del usuario, del trabajador, del abonado, del internauta de las nuevas herramientas que el RGPD y la nueva LOPD ponen a su disposición, unido a los inminentes titulares en prensa sobre sanciones considerables en la materia, dará malvadas ideas a más de uno.
En particular, todos conocemos ese perfil, ese “jodón” de toda la vida, capaz de convertir un error o un mal día de alguien en motivo suficiente como para ensañarse con la empresa u organización de turno. Y fíjense que no digo un mal día del responsable del tratamiento. Basta con un jodón que se haya levantado con el pie izquierdo: que sienta que no se le ha tratado tan magníficamente como su excelencia se merecía.
La protección de datos siempre ha sido terreno abonado para el jubiloso desenfreno de jodones. Y va a seguir siéndolo, me temo.
Y no nos engañemos, con la cantidad de novedades que ha traído la regulación este año, lo más normal es que si te vienen a buscar y miren debajo de todas las alfombras, te encuentren.
Pero no necesariamente porque la organización no haya hecho las cosas lo mejor que haya sabido o podido, sino porque muchísimas empresas no han invertido los recursos necesarios, porque no los tenían y porque, aun invirtiéndolos, el cumplimiento total te lleva a auténticos callejones sin salida. Es decir, resulta imposible.
Dando por hecho que la apertura de procedimiento sancionador será motivo de retortijones intestinales y crujir de dientes, sea quien sea el agraciado, vamos a lo práctico.
¿Cómo se puede uno preparar lo mejor posible para un procedimiento sancionador?
Por supuesto, y, para empezar, habiendo realizado una adaptación como Dios manda al reglamento durante el 2018.
Sólo que eso no es tan fácil, poooooorquee:
Quien ha pasado por una adaptación como Dios manda, ya sabe que ese trabajo nunca termina.
Hay tantos cabos sueltos y conceptos indeterminados en las nuevas normas, que cada mes sale algún informe, resolución o guía de la agencia (de la española o de algún otro país de la UE), o del Comité Europeo de la Protección de Datos, que puede justificar perfectamente introducir cambios en la documentación o procedimientos de alguno o todos los clientes que uno asesora. Y esto no va a cambiar en el corto plazo.
Y eso en la parte del profesional. Por otro lado la mayor parte de las empresas ha realizado cambios cosméticos y empieza a contemplar la pared vertical de la privacidad desde el diseño, ese estándar llamado a dar grandes alegrías y también grandes disgustos en las organizaciones.
Teniendo nombrado un Delegado de Protección de Datos
Ya sé, ya sé que los supuestos obligatorios son limitados. Pero en caso de denuncia las empresas que tengan un Delegado nombrado e inscrito, aunque sea de forma voluntaria, tienen varias cosas importantes a favor:
1.- La más general, pero no menos importante, es que la designación de un Delegado de Protección de Datos es un paso muy relevante en términos de accountability o responsabilidad proactiva por parte de la organización.
2.- En particular, el Delegado de Protección de Datos como mediador para evitar procedimientos sancionadores
Esta “mediación” cabe en dos momentos:
2.a.- Cuando la reclamación se presenta ante el propio DPD
El afectado puede reclamar ante el Delegado de Protección de Datos, antes de interponer denuncia ante la Agencia.
Esto es muy importante: la Agencia no tiene capacidad para gestionar todas las denuncias que le van a llover, y debería tratar de potenciar en lo posible una salida negociada entre las partes, para evitar procedimientos sancionadores.
Además, si todo va como debiera, un “afectado” coherente (“de buena fe” vamos a decir) tendrá como objetivo que las cosas que se han hecho mal con él se hagan bien la próxima vez, y eso es algo que sí puede conseguir del Delegado de Protección de Datos.
Un “denunciante afectado” por su parte, sabe que no habrá nada para él en un procedimiento sancionador (que sólo sirve para que a la empresa le impongan una sanción, no para reconocerle indemnización alguna, para eso hay que ir a la vía civil).
Si el afectado entiende que se ha producido un daño, la forma más ágil y menos costosa de obtener reparación será anunciando a la organización su intención de denunciar, y sus motivos para creer que, en caso de procedimiento, recaerá sanción. Si la reclamación está fundada, uno cree que lo mejor que puede hacer la organización es poner la “tirita” en ese momento. Antes de que corra la sangre.
2.b.- Cuando la reclamación se presenta ante la AEPD
De acuerdo con el art 65 de la nueva LOPD, la Agencia puede inadmitir la reclamación siempre que concurran estas circunstancias:
- que el responsable, previa advertencia de la Agencia, hubiera adoptado medidas correctivas para poner fin al incumplimiento,
- que la infracción sea leve,
- que no se haya causado perjuicio al afectado, y su derecho quede plenamente garantizado.
A estos efectos, la Agencia puede remitir la reclamación al Delegado de Protección de Datos del responsable para que emita informe en un mes.
Parece bastante claro que, si la organización es capaz de enviar la prueba de una compensación firmada por el denunciante, junto con el informe del DPD del que resulten las medidas correctivas adoptadas, la Agencia no tendrá motivo alguno para admitir a trámite la reclamación, y ahí terminará el procedimiento.
¡Ah! ¡¡Te hemos pillado, listo más que listo!!
Es cierto, para estos menesteres no es totalmente imprescindible el DPD: aunque no lo dijera antes, la Agencia también puede solicitar ese mismo informe al “responsable de seguridad” de la organización que no haya nombrado e inscrito Delegado de Protección de Datos.
Es decir, “parece” que no es indispensable tener DPD para conseguir evitar un procedimiento sancionador por esta vía.
Cuando no tienes DPD pura sangre, sino un DPD “patata caliente”
“Pa-re-ce”, pero sólo lo parece. En la práctica, el “responsable de seguridad” es uno de los habituales receptores de esa “patata caliente” que es el cargo de “delegado de protección de datos interno” o “responsable de seguridad”.
En una empresa sin mucha sensibilidad a la privacidad, ese dudoso honor recaerá sobre el abogado interno (en el mejor de los casos), el responsable de IT (casi siempre) o en el jefe de Recursos Humanos. España es asín.
Ninguno de estos perfiles tiene capacidad real (sin entrar en conocimientos) para convencer a sus jefes de la conveniencia de negociar. Simplemente negará la mayor, ofreciendo, ya si eso, dos pesetas con la boca pequeña y elevará sus plegarias para que, sea cual sea la sanción, llueva menos cuando los recursos alcancen la jurisdicción contencioso administrativa. Y es que ahí arriba, tradicionalmente ha llovido mucho menos.
Son dos formas de ver la normativa de privacidad y sus riesgos.
La independencia del Delegado de Protección de Datos
Es en esta función de mediación donde se ve como en ningún sitio la importancia de la independencia del Delegado de Protección de Datos.
El Delegado de Protección de Datos puertas adentro tiene que tener “potestas”, ser capaz de parar proyectos, modificar su rumbo, paralizar para siempre prácticas en incumplimiento de la normativa, y puertas afuera tiene que tener “auctoritas”, ser capaz de proporcionar el confort suficiente al/los afectado/s con un compromiso de la organización de que tal o cual cosa no volverá a pasar.
Si no hay potestas dentro, y no se demuestra objetividad e imparcialidad fuera, esta función de mediación se quedará en nada.
Muuuy feliz año.