• Los ciudadanos son cada vez más conscientes de su derecho a la privacidad y más exigentes con su cumplimiento
• El tratamiento de datos personales supone un aporte de valor y una ventaja competitiva incuestionable para las empresas
• La AEPD ha impuesto dos multas millonarias por incumplimiento de la normativa de protección de datos personales
• El envío de publicidad, los sistemas de videovigilancia e incluso el envío de correos electrónicos sin copia oculta, son objeto de sanción

En el transcurso de apenas un mes, la Agencia Española de Protección de Datos (AEPD) ha impuesto dos multas millonarias por incumplimiento de aspectos esenciales de la normativa de protección de datos personales: una a BBVA en diciembre de 2020, de 5 millones de euros -sanción histórica por ser la primera de semejante magnitud impuesta en España a la luz del RGPD-, y otra a Caixabank en enero de 2021, en la que la AEPD se supera a sí misma imponiendo una sanción de 6 millones de euros en suma.

En sus respectivas resoluciones, la AEPD expone las actuaciones que considera contrarias a la ley por vulnerar el derecho a la privacidad de los clientes de ambos bancos, poniendo el foco en la realización de comunicaciones comerciales sin base legal para ello, la ausencia de una información suficiente y adecuada en la política de privacidad y, en el caso de Caixabank, en las cesiones de datos realizadas entre empresas del grupo.

Pese a que podemos apreciar diferencias significativas entre ambos procedimientos sancionadores, resulta sobre todo interesante que, sin perjuicio del contenido concreto de las reclamaciones de las que traen causa, en ambos casos se consideran infringidos exactamente los mismos preceptos (puntos calientes en la adaptación de cualquier empresa a la vigente normativa): el derecho de información de los arts. 13 y 14 RGPD y el principio de licitud del art. 6 RGPD.

Desde la aplicación obligatoria del Reglamento Europeo de Protección de Datos han sido numerosas las autoridades de control que han impuesto sanciones de las denominadas “ejemplificadoras”, de importes notablemente elevados al amparo de lo previsto en el RGPD -de hasta 20 millones de euros o un 4% de la facturación anual del grupo, la cifra que resulte más alta-.

Por su parte, nuestra AEPD ha sido prolífica en sus resoluciones sancionadoras y, aunque venía conteniendo el importe de las multas (que rara vez exceden de los 100.000 euros), ya se posicionaba como una de las autoridades de control más sancionadoras de Europa por volumen de procedimientos. Así, actuaciones relacionadas con el envío de publicidad, los sistemas de videovigilancia e incluso el envío de emails sin copia oculta, son objeto de sanción con extraordinaria frecuencia.

El Reglamento Europeo y la consiguiente nueva Ley Orgánica de Protección de Datos han supuesto un desafío importante para las empresas, que deben adaptar su funcionamiento y protocolos a fin de dar un adecuado cumplimiento a la protección del derecho fundamental, constitucionalmente reconocido, a la privacidad de las personas físicas.

Esto implica no solo cambios estéticos o formales (recurso apetecible para ciertas empresas, que apenas han modificado la referencia a la ley aplicable en los modelos de consentimiento o pie de email redactados con arreglo a la antigua LOPD) sino una auténtica revisión de los tratamientos realizados para valorar su encaje con la normativa actualmente vigente y, en algunos casos, verdaderos cambios internos, tanto organizativos como operativos.

Pero también es incuestionable que los datos personales ofrecen nuevas oportunidades de generar negocio u optimizar el ya existente, permitiendo, entre otras cuestiones, la mejora y desarrollo continuo del producto o la posibilidad de conocer mejor a los clientes (y potenciales clientes) para ofrecer servicios ajustados a sus intereses. En definitiva, el tratamiento de datos personales supone un aporte de valor y una ventaja competitiva incuestionable para las empresas, pero su tratamiento debe cumplir estrictamente con las garantías previstas en la normativa vigente, bajo pena de importantes sanciones en caso de incumplimiento.

Finalmente conviene destacar que el tratamiento indebido o ilícito de datos personales no solo conlleva el riesgo de una posible sanción de la AEPD, sino que adicionalmente podría dar lugar a la indemnización de los daños y perjuicios sufridos por los titulares de esos datos y, además, teniendo en cuenta que los ciudadanos (al menos en Europa) son cada vez más conscientes de su derecho a la privacidad y más exigentes con su cumplimiento, existe un componente reputacional asociado que no debe infravalorarse.

Sobre la autora:

Celia Roselló Valcárcel es Asociada senior en el departamento mercantil de Garrigues en Valencia y actualmente es la responsable en materia de privacidad y protección de datos para el área de Levante. Ha participado en el proceso de adaptación al RGPD de algunas de las empresas más relevantes de la Comunidad Valenciana y es experta en privacidad y ciberseguridad