Esta es una consulta recurrente. Y suele ir acompañada de expresiones como «si somos muy pequeños» o «quién quieres que nos denuncie» o «lo tengo pendiente pero no tengo tiempo» o «esto es por Google o Facebook» o similar.
Pues en este tema hay, como siempre, buenas y malas noticias. Vemos.
Empezaré con algunas declaraciones que, no por obvias, debemos dejar de insistir. La primera es que en un estado de derecho, las leyes son iguales para todos. En el ámbito empresarial y en cuanto a la protección de datos, el Reglamento (UE) 2016/679 del Parlamento Europeo y la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos establecen sanciones en función de la gravedad de las conductas y no en función del tamaño de la empresa. Como es natural, una empresa pequeña puede tener una conducta impropia como Facebook y será sancionada igualmente. Eso sí, la empresa pequeña puede haber puesto en riesgo o comprometido un número pequeño de datos mientras que en el caso de Facebook pueden ser millones. Por lo tanto, la sanción será menor pero se sancionará, sin duda.
Y sí, te pueden sancionar por la página web y por diversos motivos como son que falte algún documento, que los documentos no cumplan con la normativa, que la política de cookies no sea correcta y una larga serie de casuísticas a las que debemos prestar atención.
Y se pueden sancionar todas las web, independientemente de la extensión que tenga. No sólo las .es que corresponden a España, sino el .cat, el .com y todos los dominios. El Reglamento aplica a cualquier tratamiento de datos de ciudadanos europeos, sin tener en cuenta el dominio y se puede sancionar a cualquier web del mundo que infrinja lo estipulado en la ley de protección de datos europeas.
Las sanciones se clasifican en muy graves, graves y leves. Entre las primeras podemos citar el no tener un procedimiento para el ejercicio de los derechos de los usuarios, tratamiento de datos de forma ilícita (falta de consentimiento, compra bases de datos, …), consentimientos recogidos incumpliendo la ley, usar los datos para finalidades diferentes de las explicadas al recoger el consentimiento o no facilitar el acceso a la autoridad de control del ejercicio de sus potestades de investigación, entre otros.
En cuanto a las graves están, a modo de ejemplo, el tratamiento de datos de menores sin el consentimiento adecuado, contratar un encargado sin garantías, no aplicar las medidas organizativas o técnicas adecuadas.
No nos extenderemos con las leves. Sólo recalcar la importancia de que nuestra web esté adecuada a la ley, no sólo para prevenir las sanciones sino para transmitir la percepción de que hacemos las cosas bien y que tenemos el máximo cuidado para los datos que por todas las otras cosas que fe a la empresa.
Ah, y recordar que la web es la parte externa y visible de la empresa. Y que hay que adecuar también la parte interna. Pero eso será en otro post.