Actualidad

Infracciones sobre privacidad: un análisis

Hace unos días pudimos leer en los medios de comunicación nacionales que la Agencia Española de Protección de Datos, sanciona con “Más de 16 millones de euros en multas por infracciones en privacidad en 2023”. Para estudiar estos datos traemos a nuestro abogado de Cuenca Juan Carlos Fernández Martínez, del despacho TECNOGADOS, especialistas en protección de datos.

Este letrado nos comenta que el mayor número de sanciones se deben a quiebras de seguridad y, en su opinión profesional, nos comenta que esto se debe a dos factores, por un lado, que al igual que el aumento de estafas informáticas, también existe un incremento en ataques informáticos a los empresarios y, en consecuencia, puede derivar la posterior sanción por parte de la Agencia. Y, por otro lado, la falta del empresario de tomar las medidas de seguridad que el Reglamento Europeo en Protección de Datos exige, medidas por defecto y por diseño, acorde al estado de la técnica y la categoría y volumen de datos tratados por el empresario, como responsable del tratamiento.

Quiebra de seguridad de seguridad que puede derivar en brecha de privacidad, entre ellas de confidencialidad, integridad o disponibilidad. Y la pregunta del millón ¿tras un ataque informático puede la Agencia sancionarme?, pues como dice la canción de Jarabe de Palo, depende. Y de qué depende, de según como se mire todo depende, es decir, el empresario entiende que es una víctima de ciberdelincuente y la Agencia estudiará, si el empresario fue diligente en las medidas puestas para la seguridad de los datos tratados por la organización y, en consecuencia, actuará. Por lo que sí, tras un ataque informático y comunicar la brecha a la Autoridad pertinente, si el empresario  no fue diligente en poner esas medidas de seguridad, sí claramente será sancionado.

¿Cómo ayudáis a los particulares que acuden al despacho en búsqueda de asesoramiento en esta materia?, el cliente particular que acude al despacho suele ser por la publicación de contenido en internet o redes sociales sin su consentimiento, imagen, información confidencial, …; en este sentido, lo primero que hacemos es certificar el contenido de internet, debido a la volatilidad de la información que existe en las redes sociales y en internet en general. Una vez certificada ponemos los hechos en conocimiento de la Agencia Española de Protección de Datos, la cual inicia un expediente de comprobación que puede acabar en sanción contra el responsable de la infracción.

¿A nivel empresarial nos comentas alguna de las últimas infracciones que pueden aplicar a los empresarios conquenses?, la primera a comentar sería para aquellos particulares o empresas que tienen alojamientos turísticos o casas rurales, y es la típica fotografía del DNI para hacer el check in, legitimidad que no tienen, ni aun con consentimiento del interesado, ya que este acto vulnera el principio de minimización de datos. Además, ante una brecha de confidencialidad del responsable, se podría utilizar la fotografía del documento para llevar a cabo una suplantación de identidad, daños del que podría ser responsable el profesional.

Por otro lado, recientemente hemos estudiado una sanción a un empresario por comprometer datos del cliente en la respuesta de una reseña de Google My Business. Otra interesante es en una comida de empresa donde un empleado se quita la camisa y baila sobre una mesa, el empresario a petición de uno de los comensales saca el fragmento de la grabación de las cámaras de seguridad y se la hace llegar. Así podríamos seguir y no acabar, ya que son cientos los procedimientos sancionatorios abiertos por la Agencia en el pasado año.

Por último, ¿qué consejos podrías darle a los empresarios conquenses para cumplir en materia de protección de datos?, los más importe es poner las medidas de seguridad de manera proactiva y anticiparse al riesgo, recabar los mínimos datos para cumplir la finalidad del tratamiento y tener capacidad de prueba del cumplimiento en materia de privacidad, obligación que tiene como responsable del tratamiento de los datos de sus clientes, trabajadores, …