El inicio de la aplicación del Reglamento General de Protección de Datos en mayo de 2018 trajo consigo un incremento de las infracciones en esta materia. Además, desde finales de 2020, se ha producido un notable aumento en la cuantía de las sanciones por parte de la Agencia Española de Protección de Datos (AEPD). Hablamos de multas cuyo importe máximo ha pasado de ser de 600.000 a 20 millones de euros o el 4% del volumen de negocio anual de una organización, un claro ejemplo del carácter disuasorio de estas sanciones frente a incumplimientos en este marco regulatorio.
Por tanto, observamos un cambio sustancial en la política sancionadora de este organismo. Un marcado giro que plantea a las organizaciones la necesidad de revisar sus políticas de privacidad, sus modelos de gestión en este ámbito y un cambio en los criterios de lo que se considera un adecuado cumplimiento. Las organizaciones deben ser extraordinariamente exigentes con cumplir con este marco regulatorio que protege derechos fundamentales y así evitar posibles daños reputacionales e importantes sanciones económicas.
Por ejemplo, dos grandes bancos españoles han sido sancionados recientemente con 6 y 5 millones de euros, una cantidad elevadísima comparada con los casi 28.000 euros de media en sanciones anteriores. Con estas nuevas resoluciones, por primera vez por encima del millón de euros, nuestra autoridad de control se acerca a las sanciones de Francia y Alemania, países que cuentan con el récord en cuanto a importe de este tipo de multas: 50 y 14,5 millones de euros respectivamente.
Lamentablemente, la ausencia de una normativa clara en España que regule cómo aplicar en cada caso el rango de los importes de estas sanciones crea inseguridad jurídica, algo que no sucede en países como Alemania donde existe una normativa clara que determina estas cuantías.
Esta carencia nos debe abocar indiscutiblemente a reforzar los mecanismos de cumplimento en materia de privacidad dentro de las organizaciones para minimizar al máximo la exposición a multas por parte de las autoridades competentes.
Ante este nuevo escenario, es fundamental contar con la colaboración de especialistas en regulación tecnológica y de privacidad que ayuden a las compañías a reformular el modelo de riesgos de incumplimiento, revisar de forma minuciosa sus políticas de privacidad, verificar que las mismas se encuentran debidamente definidas y correctamente implantadas y constatar la correcta adaptación de la norma; pero, además, no podemos dejar a un lado la evaluación de los controles establecidos en la organización para gestionar adecuadamente el denominado “trío de riesgos” (personas/procesos/tecnología).
No cabe duda de que, actualmente, este es el camino más certero para dar una respuesta sólida, ágil y efectiva a los retos en materia de sanciones en este ámbito y nos acerca al más alto nivel de cumplimiento legal y regulatorio.
Gonzalo Salas es senior Manager IT Legal Advisory en SIA, una compañía de Indra.