Actuaciones negligentes o erróneas

En ésta, mi última publicación del año, voy a hacer un repaso por algunas de las actuaciones que se dan con más frecuencia en las empresas, ya sea por error o por falta de diligencia, y que pueden poner en peligro la privacidad y la seguridad en el tratamiento de datos personales de los afectados, acompañándolas con algunos ejemplos:

  • Qué puede ocurrir cuando no se adoptan las medidas de seguridad técnicas y organizativas apropiadas en función de los tratamientos de datos que se lleven a cabo.
    Recientemente en una reclamación interpuesta ante la Agencia Española de Protección de Datos, la reclamante ponía de manifiesto que al intentar hacer el seguimiento de un pedido en su cuenta de usuaria aparecían los datos personales de otra persona. Normalmente, cuando una empresa dispone de comercio electrónico, los usuarios se registran en la web disponiendo de una cuenta con información sobre sus datos identificativos y de contacto así como el historial de las compras realizadas.
    Tras las comprobaciones oportunas, a la entidad responsable de la web se le impusieron dos sanciones económicas, una por vulnerar el deber de confidencialidad e integridad de los datos y otra, por la falta de adopción de medidas para garantizar la seguridad de los datos. Dicha resolución puede consultarse en el siguiente enlace https://www.aepd.es/es/documento/ps-00287-2020.pdf
  • Cuando una información vaya a ser transmitida a varias personas utilizando el correo electrónico como medio de comunicación hay que adoptar las cautelas oportunas. En este caso, cuando un mismo correo vaya a remitirse a varios destinatarios, deberá utilizarse la opción (CCO) salvaguardando de esta forma la identidad y direcciones de correo electrónico de los afectados, en caso contrario se estaría vulnerando la confidencialidad de dicha información.
    Como ejemplo de lo anterior puede consultarse en el siguiente enlace https://www.aepd.es/es/documento/ps-00322-2020.pdf un procedimiento sancionador tramitado por la Agencia Española de Protección de Datos imponiendo una sanción económica por incumplir el deber de confidencialidad precisamente al enviar un correo a varios destinatarios que quedaban al descubierto.
  • Quién no se ha planteado alguna vez la instalación de cámaras de videovigilancia en su negocio por motivos de seguridad, pues bien, para este tipo de tratamiento de datos deben cumplirse una serie de requisitos específicos, que pueden resumirse en los siguientes: observar el principio de proporcionalidad, minimización de datos captando el ángulo de visión imprescindible y advertir de la existencia de cámaras, además de suprimir las imágenes transcurridos los plazos legales y, en su caso, recurrir a una empresa homologada si el sistema de videovigilancia esté conectado a una central de alarma.
    En caso de que no se cumplan los requisitos anteriores, a la Agencia Española de Protección de Datos llegarán reclamaciones que podrían derivar en un procedimiento sancionador como el que se resolvió en contra de una empresa que grababa imágenes de la vía pública de forma desproporcionada además de no disponer de formulario informativo en el interior del establecimiento, tal y como puede comprobarse en el siguiente enlace https://www.aepd.es/es/documento/ps-00397-2019.pdf
  • Y las comunicaciones comerciales… ¿se lleva un control de las bajas solicitadas y se atienden como es debido los derechos de los afectados? No es la primera vez que conocemos casos como el siguiente, en el que una empresa sigue enviando correos comerciales a pesar de que el destinatario había manifestado su deseo de darse de baja, además de no haber informado convenientemente sobre el ejercicio de los derechos reconocidos en la normativa de protección de datos.
    En el siguiente enlace https://www.aepd.es/es/documento/ps-00319-2020.pdf puede consultarse un claro ejemplo de todo lo anterior, correspondiéndose con un procedimiento sancionador tramitado por la Agencia Española de Protección de datos a raíz de una denuncia en la que el reclamante exponía los hechos indicados, aportando el correo remitido solicitando la baja de las comunicaciones comerciales y algunos de los correos recibidos. Las actuaciones de comprobación se extendieron incluso a la web de la que era titular la empresa sobre la que versaba la reclamación, en la que no constaba política de privacidad ni política de cookies.
    Finalmente, el procedimiento terminó por pago voluntario de la sanción impuesta reconociendo la empresa su responsabilidad en cuanto al tratamiento ilícito de los datos del reclamante, la inexistencia de una política de privacidad y de la política de cookies, infracciones declaradas en el procedimiento sancionador. 

Qué importante es integrar en las empresas la cultura de protección de datos… Está más que demostrado que a la hora de contratar los servicios de una empresa, la balanza se inclina por aquéllas que muestran pleno respecto por la privacidad, situándola como un valor a tener en cuenta en el desarrollo de su actividad profesional, dejando claro que el cumplimiento de la normativa de protección de datos no es una opción sino una obligación. Buenos propósitos para el año que vamos a comenzar.

Autora: S. Torres

Deja un comentario

Tu dirección de correo electrónico no será publicada.

PROTECCIÓN DE DATOS CÓRDOBA - GRUPO LEGITEC moderará sus comentarios. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico cordoba@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.