Uso adecuado de las Cookies y la política de privacidad: últimas sanciones de la AEPD

Con la llegada de la ley de protección de datos, las empresas deben establecer sistemas de recopilación de datos de sus usuarios bajo unos criterios específicos y que cuyo incumplimiento puede acarrear sanciones por el uso inadecuado de los datos de carácter personal de los usuarios.

Quizás una duda que puedas tener es cómo afecta el reglamento a sistemas de seguimiento y tracking de un sitio web como es Google Analytics o cómo sería la forma adaptada a la norma de recopilar datos de carácter personal para la newsletter del sitio web.

¿Google Analytics ilegal?

Para resolver estos casos, hemos contactado con PRODAT, empresa especializada en protección de datos para darnos su opinión al respecto.

Una de las cuestiones es sobre la noticia de la ilegalidad de Google Analytics en Europa, como es el caso de Francia, declarándolo ilegal por parte de la Agencia de Protección de Datos de Francia, pero esta ilegalidad al anularse el Privacy Shield, el acuerdo de transferencia de datos personales entre EUA y la Unión Europea en la sentencia Schrems II del 16 de julio de 2020, en el que el TJUE dictaminó que no se cumplía el nivel de seguridad exigido en el RGPD.

A día de hoy, la Agencia Española de Protección de Datos (AEPD) está investigando a varias empresas pro el uso de Google Analytics por lo que en España todavía no hay una postura clara al respecto, cosa que no impide seguir la adecuación de RGPD con respecto a las cookies de terceros de un sitio web donde PRODAT puede ayudar a cumplir con todos los criterios.

La newsletter y el RGPD

Otra consulta adicional fue el tratamiento de datos con respecto a la recopilación de correos en la newsletter, desde este punto PRODAT destaca la sentencia 188/2922, de 15 de febrero en la que se manifiesta que “es exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado”

Aparte de esto, el RGPD exige que la recopilación del dato en los medios que dispone la empresa es que signa dos criterios fundamentales:

• Que sea expreso, el usuario debe aceptar expresamente la recopilación de sus datos.
• Que quien sea el responsable de recoger el dato pueda disponer de medios técnicos para ser capaz de demostrar que ha habido consentimiento expreso pro parte del usuario.

Sanciones por incumplimiento de protección de datos

El año pasado (2021), la Agencia Española de Protección de Datos (AEPD) ha elevado la cifra de sanciones por incumplimiento de un 49% con respecto al año 2020 con una recaudación de 32 millones de euros y el número de sanciones no hacen más que aumentar, tal y como puede verse en el siguiente gráfico.

Con relación a las sanciones, de conformidad con la nueva normativa, evadir los preceptos legales del RGPD puede suponer multas de hasta 20 millones de euros o 4% de la facturación global de la compañía. Así, con la introducción de este nuevo régimen sancionador lejos quedan las tablas de correspondencias entre el artículo infringido y la multa a pagar que se habían popularizado bajo la extinta Ley Orgánica de Protección de datos 15/1999 (LOPD).

Por tanto, de lo dicho anteriormente, las sanciones con el RGPD son mucho menos “previsibles” y vendrán determinadas en función de los siguientes criterios:

• La infracción cometida
• El volumen de negocio del infractor
• El grado de intencionalidad y negligencia en la infracción
• El grado de responsabilidad del Responsable y/o Encargado del Tratamiento
• Si existe o no reincidencia
• Categoría de datos personales y el volumen de datos que se ha visto expuesto
• Si se ha notificado y colaborado con la autoridad de control
• La adhesión a Códigos de Conductas y
• Otros factores tales como beneficios obtenidos, pérdidas evitadas, etc.

Las últimas sanciones de gran cuantía se han visto en empresas como Vodafone con 8,15 millones de euros, BBVA con 5 millones EDP con 3 millones y Mercadona con 2,5 millones. Así como la reciente sanción que ha recibido La Caixa de 2 millones de euros por el incumplimiento de Bankia se suma a la sanción que ha recibido a principios de años por un valor de 6 millones de euros.

Como puedes ver, la presión por el cumplimiento de la normativa europea de protección de datos se vuelve más intensa cada año y conviene disponer de los medios técnicos y organizativos, además de servicios profesionales que puedan ayudarte a auditar y adecuar tu empresa a los nuevos estándares de tratamiento de datos.