Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

E-mails en baja: ¿intrusión digital o comunicación inocua?

por

¿Qué es el derecho a la desconexión digital?

Este derecho está reconocido en el art. 88 de nuestra Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) y se dispone como un requisito indispensable en una relación laboral para respetar el tiempo de descanso, permisos y vacaciones, así como de la intimidad personal y familiar de los empleados.

Con la incorporación del teletrabajo y las nuevas tecnologías, que no son más que herramientas que facilitan la comunicación a distancia, los límites de la comunicación en el ámbito laboral se vuelven más difusos. Sin embargo, es importante respetar el horario laboral de los empleados y velar por el derecho a la desconexión digital.

Comentario de la STSJ de Madrid 534/2024, del 26 de junio de 2024

El pasado 26 de junio, el Tribunal Superior de Justicia de Madrid dictaminó que el envío de correos electrónicos corporativos a una persona en situación de incapacidad temporal no vulnera el derecho a la desconexión digital.

En este supuesto, el centro educativo en el que la empleada estaba de baja le envió correos electrónicos durante su periodo de incapacidad temporal. Este hecho plantea cuestiones sobre el derecho a la desconexión digital de los trabajadores, especialmente durante periodos de baja médica.

Cabe destacar que la demandante comunicó en reiteradas ocasiones que no contactaran con ella y que, a raíz de este hecho, se dejaron de enviar comunicaciones. Por lo tanto, el centro educativo respetó la solicitud de la trabajadora de no ser contactada, en alineación con el derecho a la desconexión digital.

En su recurso, la demandante alegó la vulneración de varios artículos relacionados con la protección de datos y el derecho al descanso, incluyendo el artículo 88 de la LOPDGDD y el artículo 18 de la Constitución Española. Argumentó que el envío de emails durante su incapacidad temporal entorpecía su recuperación y constituía una intromisión en sus derechos.

La parte demandada alegó que los correos electrónicos fueron enviados a la cuenta corporativa de la demandante como miembro del equipo docente y que, además, fueron enviados de manera automática al formar parte del listado de trabajadores del centro, por lo que la trabajadora no tenía obligación de abrir o leer estos correos durante su periodo de incapacidad temporal.

Además, se menciona que, tras la solicitud de la demandante en junio de 2023, su cuenta fue retirada de los grupos de trabajo. Esto indica una respuesta positiva a la petición de desconexión por parte del centro educativo.

Conclusión

La sentencia distingue entre los correos enviados desde la cuenta del centro y los enviados por un individuo desde su cuenta personal. Esto plantea cuestiones sobre la responsabilidad institucional frente a las acciones individuales en materia de desconexión digital.

Este caso ilustra la complejidad de equilibrar la comunicación laboral con el derecho al descanso y la desconexión, especialmente durante periodos de incapacidad temporal. La sentencia sugiere que, si bien inicialmente hubo comunicaciones no deseadas, el centro educativo finalmente respetó la solicitud de desconexión de la trabajadora, por lo que no hubo vulneración alguna.

Puede leer la sentencia aquí

Como siempre, cuidad los datos y ¡cuidaos!

Netflix: privacidad primero, ¡por favor!

por

Como decía Tim Cook, CEO de Apple, en una declaración de 2018, "Nuestra información personal, desde lo cotidiano hasta lo más íntimo, se ha convertido en un arma que se utiliza contra nosotros mismos con precisión militar. (...) Cada día, se mueven miles de millones de dólares y se toman innumerables decisiones sobre la base de nuestros gustos, amigos y familiares, relaciones y conversaciones, deseos y miedos, esperanzas y sueños (...) Estos datos, inofensivos por separado, son cuidadosamente combinados, sintetizados, analizados, comercializados y vendidos. Llevado al extremo, este proceso crea un perfil digital permanente de cada uno de nosotros y permite a las empresas conocernos mejor de lo que nos conocemos a nosotros mismos." (1)

Ya hace años que se habla de la economía de datos y de los nuevos modelos de negocio denominados "privacy-first", es decir, aquellos que anteponen la privacidad y que no requieren de la extracción de datos, ya que no monetizan los datos personales. Ya sabemos que no es fácil para muchas empresas pero no tener muy presente la privacidad tiene consecuencias.

La DDPA (Dutch Data Protection Authority), Agencia neerlandesa de Protección de Datos, ha propuesto una sanción de 4’75M€ a Netflix debido a la vulneración de ciertos principios del RGPD.

A raíz de una investigación iniciada en 2019 por el Centro Europeo para Derechos Digitales (NOYB, por sus siglas en inglés de None Of Your Business), la DDPA ha concluido que Netflix no ofrecía a los clientes información suficiente sobre el tratamiento de sus datos personales entre 2018 y 2020 y la información ofrecida no era transparente.

El Centro Europeo para Derechos Digitales, que es una organización sin ánimo de lucro fundada en Viena en 2017, fue el que identificó las vulneraciones del RGPD de Netflix—en especial, el art. 15—y advirtió a la Autoridad de Protección de Datos austríaca, la cual trasladó el expediente a la neerlandesa, dado que Netflix tiene su sede europea en Países Bajos.

Según la Agencia neerlandesa, la compañía de streaming no era lo suficientemente clara en los siguientes puntos:

  • Base de legitimación para recoger y tratar los datos personales ( 6 RGPD).
  • Comunicación de datos a terceros.
  • Período de conservación de datos.
  • Medidas de seguridad en transferencias internacionales de datos.

Por otro lado, cuando los usuarios se ponían en contacto con Netflix para ejercer sus derechos en el ámbito de la protección de datos, la compañía no ofrecía respuestas claras al respecto.

Si bien la decisión de la DDPA ha sido celebrada por NOYB, Stefano Rosetti, abogado del Centro ha criticado el largo periodo de tiempo—cinco años—que ha transcurrido para adoptar una postura teniendo en cuenta que «era un caso muy claro».

Netflix actualizó su política de privacidad en 2020 y ha ampliado la información ofrecida a los usuarios, sin embargo, se ha opuesto a la multa.

NOYB ha iniciado reclamaciones similares contra Amazon, Apple Music, Spotify y Youtube. En el caso de Spotify, la IMY (Autoridad de Protección de Datos sueca) impuso una multa de 5M€ por vulnerar el art. 15 RGPD.

Como siempre, cuidad los datos y ¡cuidaos!

Para leer la Resolución, haga clic aquí

(1) Del Infome Digital Future Society. (2019). Privacy-first: un nuevo modelo de negocio para la era digital. Barcelona, España.

Límites del control empresarial: Cuando registrar un despacho se convierte en delito

por

El Tribunal Superior de Justicia de Madrid declara que el registro del despacho de un trabajador despedido, sin su presencia ni la de representantes legales ni notario, constituye una vulneración de los derechos fundamentales a la intimidad y a la dignidad.

En la STSJM 383/2024, el Tribunal considera que la empresa realizó un registro del despacho de la trabajadora sin las debidas garantías, empezando por el hecho de que se llevó a cabo el 22 de diciembre de 2022, mismo día de su despido.

Si bien la empresa ofreció a la trabajadora la devolución de sus objetos personales, el mismo día procedió al registro de su despacho, sin esperarse a su respuesta y sin cerciorarse de que la trabajadora hubiese recibido la carta de despido. Además, aparte de realizarse sin la presencia de la trabajadora ni de ningún miembro del comité de empresa ni de otro empleado que pudiera actuar como testigo, se forzó un armario cerrado con llave y se accedió a la cajonera de la mesa del escritorio, en la que había enseres personales y material de trabajo.

La parte demandada alega que «el acceso al despacho de la demandante fue idóneo, necesario y proporcionado, para recuperar la documentación confidencial que la trabajadora decía guardaba en el mismo». El Tribunal, sin embargo, indica que «esta afirmación no se corresponde con las afirmaciones declaradas probadas, como afirmar que la demandada guardaba documentación confidencial y jurídica de su propiedad en el despacho de la trabajadora».

El Tribunal recuerda que, si bien el art. 20.3 ET se atribuye al empresario la facultad de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana, hay que tener en cuenta que, en aplicación de «esta necesaria adaptabilidad de los derechos del trabajador a los razonables requerimientos de la organización productiva en que se integra, se ha afirmado que manifestaciones del ejercicio de aquellos que en otro contexto serían legítimas, no lo son cuando su ejercicio se valora en el marco de la relación laboral

En consecuencia, el Tribunal Superior respalda la valoración de la Juzgadora de Instancia y dictamina que estas acciones no superan el test de proporcionalidad ni idoneidad exigido por la doctrina del Tribunal Constitucional.

Conclusión

El Tribunal Superior de Justicia de Madrid confirma la sentencia de instancia que declaró la vulneración del derecho a la intimidad personal de la trabajadora y mantiene la indemnización de 8.000€ que la empresa le debe abonar por dicha vulneración. Esta decisión subraya la importancia de respetar los procedimientos adecuados y las garantías legales al realizar registros en los espacios de trabajo de los empleados, especialmente en situaciones sensibles como un despido.

Puede leer la sentencia aquí.

Como siempre, ¡cuidad los datos y cuidaos!

Geolocalización y Privacidad en Marketing Móvil

por
Beneficios de la geolocalización en marketing móvil

La geolocalización permite a las marcas ofrecer contenido y ofertas altamente relevantes basadas en la ubicación del usuario. Esto puede mejorar significativamente la experiencia del cliente y aumentar la efectividad de las campañas de marketing. 

Algunas ventajas incluyen:

  • Ofertas personalizadas en tiempo real.
  • Mejora de la experiencia del cliente en tiendas físicas.
  • Optimización de campañas publicitarias locales.
  • Análisis de patrones de movimiento para mejorar estrategias de negocio.
Desafíos de privacidad

A pesar de sus beneficios, el uso de datos de geolocalización plantea serias preocupaciones sobre la privacidad. Los usuarios pueden sentirse incómodos con la idea de que las empresas conozcan su ubicación exacta en todo momento. Además, la recopilación y almacenamiento de estos datos sensibles aumenta el riesgo de violaciones de seguridad.

Regulaciones y cumplimiento normativo

Para abordar estas preocupaciones, normativas como el RGPD exigen que las empresas obtengan el consentimiento explícito de los usuarios antes de recopilar y utilizar sus datos de ubicación. Además, deben proporcionar información clara sobre cómo se utilizarán estos datos y permitir a los usuarios ejercer sus derechos sobre ellos.

Estrategias para equilibrar personalización y privacidad
  1. Transparencia y control del usuario:
    • Ser completamente transparente sobre qué datos se recopilan y cómo se utilizan.
    • Ofrecer a los usuarios control granular sobre sus preferencias de privacidad.
  2. Minimización de datos:
    • Recopilar solo los datos estrictamente necesarios para proporcionar el servicio.
    • Utilizar técnicas de anonimización y agregación de datos cuando sea posible.
  3. Consentimiento explícito y revocable:
    • Obtener el consentimiento claro y específico de los usuarios antes de utilizar sus datos de ubicación.
    • Permitir a los usuarios revocar fácilmente su consentimiento en cualquier momento.
  4. Seguridad robusta:
    • Implementar medidas de seguridad avanzadas para proteger los datos de geolocalización.
    • Realizar auditorías regulares de seguridad y privacidad.
  5. Personalización contextual:
    • Utilizar la geolocalización de manera contextual, ofreciendo valor real al usuario en momentos relevantes.
    • Evitar el uso excesivo o intrusivo de los datos de ubicación.
  6. Educación del usuario:
    • Informar a los usuarios sobre los beneficios de compartir su ubicación y cómo se protegen sus datos.
    • Proporcionar recursos educativos sobre privacidad y seguridad.
Implementación ética de estrategias basadas en ubicación

Para implementar estrategias de marketing basadas en geolocalización de manera ética, las empresas deben:

  • Desarrollar políticas de privacidad claras y accesibles.
  • Realizar evaluaciones de impacto en la privacidad antes de lanzar nuevas iniciativas.
  • Formar al personal en prácticas de privacidad y protección de datos.
  • Colaborar con expertos en privacidad y ética para garantizar el cumplimiento normativo.
Tendencias futuras

El futuro del marketing basado en geolocalización se centrará en:

  • Tecnologías de privacidad mejorada, como el Edge Computing y la privacidad diferencial.
  • Mayor integración de la inteligencia artificial para ofrecer experiencias personalizadas más precisas y menos intrusivas.
  • Evolución de las regulaciones de privacidad para abordar los desafíos emergentes en tecnología de localización.
Conclusión

El equilibrio entre la personalización y la protección de datos en estrategias de marketing basadas en geolocalización es un desafío continuo pero muy importante.

Las empresas que logren este equilibrio y ofrezcan experiencias personalizadas mientras respeten y protejan la privacidad de los usuarios estarán mejor posicionadas para ganar la confianza de los consumidores y destacar en un mercado cada vez más competitivo y regulado.

La clave está en adoptar un enfoque centrado en el usuario, en el que la transparencia, el control y la ética sean los pilares fundamentales de cualquier estrategia de marketing basada en ubicación.

Como siempre, cuidad los datos y ¡cuidaos!

La AEPD frena a SEAT: Lecciones de una política de cookies defectuosa

por

La AEPD ha propuesto una sanción de 20.000€ a SEAT, S.A. por incumplimientos relacionados con la protección de datos personales, concretamente, en la gestión inadecuada de las cookies.

En una inspección de oficio llevada a cabo por la Agencia, sin mediar reclamación previa, se observó que la página web de SEAT utilizaba cookies cuya naturaleza no era técnica y sin consentimiento del usuario. La página web activaba cookies de funcionalidad y segmentación (como cookies de YouTube para seguimiento de preferencias de video y publicidad) sin que el usuario hubiese dado su consentimiento explícito, lo cual incumple la exigencia de recabar el consentimiento del usuario antes de instalar cualquier cookie no técnica.

Por otro lado, a pesar de que las cookies sí se podían gestionar desde el acceso a la política de cookies instalada en la web de SEAT, no podían eliminarse, si se deseaba, una vez aceptadas.

«No es posible modificar el consentimiento prestado a la utilización de cookies de naturaleza no técnicas o necesarias. Pues, aunque se opte por rechazar ahora todas las cookies, se comprueba que las cookies instaladas cuando se prestó el consentimiento siguen presentes en el navegador», indica la AEPD.

Como la revocación del consentimiento no era efectiva, ya que las cookies no técnicas permanecían activas y seguían enviando información después de que el usuario intentaba desactivarlas, la AEPD determinó una sanción de 20.000€, que quedó reducida a 12.000€ por reconocimiento de la infracción y pago voluntario.

¿Qué medidas debemos tener implementadas en nuestra página web para asegurarnos que no nos ocurre lo mismo?

Medidas a implementar

  1. Obtención del consentimiento previo
  2. Mecanismo efectivo de retirada del consentimiento
  3. Revisión de la clasificación de cookies
  4. Mejora del panel de control de cookies
  5. Actualización de la política de cookies

Implementación técnica

  • Bloqueo de cookies no esenciales
  • Sistema de gestión de consentimiento
  • Eliminación efectiva de cookies

Consideraciones adicionales

  • Realizar auditorías periódicas para asegurar el cumplimiento continuo de la normativa.
  • Formar al personal técnico y legal sobre los requisitos de la LSSI en materia de cookies.
  • Considerar la implementación de una solución de Consent Management Platform (CMP) que cumpla con los estándares actuales de privacidad.

Al implementar estas medidas, cumpliremos con el artículo 22.2 de a LSSI-CE y evitaremos posibles sanciones.

 Para leer la Resolución, haga clic aquí.

Como siempre, cuidad los datos y ¡cuidaos!

Derechos digitales de los menores y marketing responsable

por

En un mundo cada vez más digitalizado, el marketing dirigido a menores ha cobrado una relevancia significativa, pues la tecnología está al alcance de las personas cada vez a una edad más temprana. Por ello, se ha manifestado la necesidad de implementar regulaciones estrictas y estrategias responsables para proteger a este grupo vulnerable. Las nuevas normativas y prácticas buscan equilibrar la influencia del marketing digital mientras se asegura el bienestar y la seguridad de los menores.

Regulaciones recientes en marketing dirigido a menores

La Unión Europea ha sido pionera en establecer regulaciones que protegen a los menores en el entorno digital. La Ley de Servicios Digitales (DSA, por sus siglas en inglés) es un ejemplo clave, ya que prohíbe la publicidad basada en perfiles para menores y obliga a las plataformas en línea a evaluar los riesgos sistémicos que puedan afectar los derechos y el bienestar mental de los niños.

Por otro lado, en España, se ha aprobado justamente este año el Real Decreto de «Usuarios de Especial Relevancia», que obliga a los influencers a etiquetar contenido por edades y prohíbe la promoción de productos como tabaco o alcohol, asegurando que no se cause daño psicológico o físico a los menores.

Estrategias de marketing responsable

1. Transparencia y veracidad

La ética en la publicidad exige que las marcas sean transparentes y veraces en sus comunicaciones. Esto implica presentar información precisa sobre productos y servicios, evitando afirmaciones engañosas que puedan erosionar la confianza del consumidor. Las campañas deben ser claras sobre su naturaleza publicitaria, especialmente cuando se dirigen a menores.

2. Inclusión y diversidad

Las estrategias de marketing responsable también promueven la inclusión y diversidad. Por ello, es fundamental que las campañas reflejen una variedad de culturas y contextos para que todos los niños se sientan representados. Esto no solo mejora la percepción de marca, sino que también fomenta un entorno más inclusivo.

3. Uso ético de influencers

El uso de influencers infantiles requiere un enfoque ético. Las marcas deben asegurarse de que estos influencers promuevan productos adecuados para su audiencia y cumplan con las regulaciones pertinentes. Además, deben evitar cualquier contenido que pueda explotar la inexperiencia o credulidad de los menores.

4. Contenido educativo y entretenido

El contenido dirigido a menores debe ser tanto educativo como entretenido. Las campañas efectivas utilizan elementos lúdicos para captar la atención mientras transmiten mensajes positivos o educativos. Esto no solo ayuda a mantener el interés del niño, sino que también contribuye al desarrollo cognitivo.

Retos actuales

A pesar de las regulaciones y estrategias responsables, existen desafíos significativos:

  • Adaptación tecnológica: La rápida evolución tecnológica requiere una constante actualización de las normativas para abordar nuevas formas de publicidad digital.
  • Cumplimiento global: Las diferencias entre las legislaciones nacionales e internacionales complican el cumplimiento uniforme por parte de las empresas globales.
  • Equilibrio entre creatividad y regulación: Las marcas deben encontrar un equilibrio entre ser creativas e innovadoras en sus campañas mientras cumplen con las regulaciones estrictas.

Conclusión

El marketing dirigido a menores es un campo delicado que requiere una atención meticulosa tanto desde el punto de vista legal como ético. Las recientes regulaciones buscan proteger a los menores mientras permiten que las marcas continúen interactuando con este público de manera responsable. A medida que avanza la tecnología, será crucial que las empresas sigan adaptándose para garantizar prácticas publicitarias seguras y efectivas. Al hacerlo, no solo cumplirán con las normativas vigentes, sino que también contribuirán al desarrollo positivo del entorno digital para las generaciones futuras.

Como siempre, cuidad los datos y ¡cuidaos!

La protección de datos personales y la publicidad dirigida: el fallo del TJUE contra Meta

por

El passat 4 d’octubre, el Tribunal de Justícia de la Unió Europea (TJUE) va fallar a favor de l’activista austríac Max Schrems en la seva disputa legal actual contra Meta Platforms, la companyia de Facebook (Assumpte C-446/21, Schrems v. Meta). Schrems havia interposat una demanda en un tribunal d’Àustria, argumentant que Meta havia dirigit anuncis basats en la seva orientació sexual a través de publicitat personalitzada, processant així les seves dades personals.

Aquest dictamen resulta rellevant quant als límits del tractament de dades personals per part de les xarxes socials, específicament en l’ àmbit de la publicitat personalitzada. Aquest veredicte no només reforça la importància de la protecció de la privacitat en l’entorn digital, sinó que també delimita clarament com les plataformes han de gestionar les dades dels seus usuaris.

Si bé és cert que Schrems mostra de forma pública la seva orientació sexual, això no legitima a Facebook l’utilitzar aquesta informació, juntament amb altres dades, per dirigir-li anuncis personalitzats. És important que reflexionem sobre els límits d’ús de les nostres dades. En aquesta era de digitalització, les dades—les nostres dades—circulen a velocitat vertiginosa. Tot i ser una cosa intangible, no podem oblidar que la seva transportabilitat és una característica ideal perquè les empreses comercialitzin amb ells. Evidentment, hem d’establir límits clars per protegir la nostra intimitat.

En el cas de Schrems, Meta s’ha justificat al·legant que els usuaris comparteixen informació sobre si mateixos en diverses plataformes i que això permet a l’empresa generar perfils detallats per oferir publicitat més rellevant. No obstant, Schrems mai havia compartit directament dades sobre la seva orientació sexual a Facebook, per la qual cosa els anuncis que rebia no estaven basats en informació publicada explícitament en el seu perfil, sinó en l ‘anàlisi dels seus interessos. Aquí és important destacar que Meta recull les dades personals dels usuaris de Facebook referides a les seves activitats tant en aquesta xarxa social com fora d’ella, com pàgines d’Internet i d’aplicacions de tercers.

Els límits del tractament de dades

Cal recordar que, segons el principi de minimització de dades, el tractament de les dades personals dels usuaris ha de ser mínim (art. 5.1.c) RGPD). L’ aplicació d’ aquest principi, per tant, hauria de restringir l’ ús de dades personals per oferir publicitat personalitzada. Tanmateix, Meta i moltes altres empreses es limiten a ignorar aquest precepte… ¿Vol dir això que les nostres dades personals es poden utilitzar de forma indefinida amb finalitats publicitàries? Després d’aquesta sentència, només una part de les dades emmagatzemades per les empreses podran utilitzar-se amb finalitats publicitàries, fins i tot quan els usuaris donin el seu consentiment.

El Tribunal ha subratllat la necessitat de les empreses de diferenciar entre els diferents tipus de dades i respectar la sensibilitat i el consentiment dels usuaris en tractar informació personal.

Amb aquesta sentència, el TJUE reafirma el seu compromís amb la protecció dels drets dels ciutadans europeus davant els gegants tecnològics, en particular amb relació a la publicitat dirigida. Les plataformes digitals hauran de reconsiderar com manegen l’agregació de dades dels usuaris, i com aquestes dades poden ser utilitzades per personalitzar els anuncis sense violar els drets de privacitat.

Conclusió

La sentència del TJUE contra Meta és una fita en la defensa de la privacitat de les dades en el món digital. En un entorn on cada vegada més informació personal és recopilada i processada, aquesta decisió destaca la necessitat de garantir que les empreses tecnològiques respectin els drets dels usuaris, fins i tot quan aquestes comparteixen certes dades públicament. Les xarxes socials i altres plataformes s’ han d’ alinear amb els principis establerts pel RGPD i assegurar-se que el tractament de dades sigui transparent, proporcionat i, sobretot, respectuós amb els drets fonamentals de les persones.

Com sempre, cuideu les dades i ¡cuideu-vos!

Más allà del “Cosmetic compliance”

por

En el ámbito empresarial, cumplir con las normativas y regulaciones es fundamental no solo para evitar sanciones, sino también para construir una reputación sólida y confiable. Sin embargo, existe un fenómeno preocupante conocido como "cosmetic compliance" o "cumplimiento cosmético", que se refiere a prácticas superficiales destinadas a aparentar conformidad con las leyes y regulaciones sin realmente adherirse a ellas. Este concepto, prestado de los programas de Compliance Penal, es especialmente relevante también en el área de protección de datos, donde el cumplimiento efectivo es crucial para proteger la privacidad y la seguridad de la información personal.

En el contexto de la protección de datos, el "cosmetic compliance" puede manifestarse de varias formas. Por ejemplo, una empresa puede diseñar políticas de privacidad detalladas y completas, pero si no se implementan de manera efectiva o si los empleados no están adecuadamente capacitados para seguir estas políticas, la conformidad es solo superficial.

Otra manifestación de esta práctica es la utilización de tecnologías avanzadas para la protección de datos, sin configurar correctamente estas herramientas o sin integrarlas adecuadamente en los procesos operativos de la empresa. Esto puede crear una falsa sensación de seguridad tanto para la empresa como para los clientes, cuando en realidad los datos pueden estar en riesgo.

Cómo detectar el “Cosmetic Compliance" en Protección de Datos

Textos Legales Web “copiados y pegados”

Uno de los ejemplos más comunes de "cosmetic compliance" es el uso de textos legales copiados y pegados de otras fuentes. Muchas empresas copian políticas de privacidad, términos y condiciones, o avisos legales de otras páginas web sin adaptar estos documentos a su propia realidad operativa y regulatoria. Esto no solo es una infracción de derechos de autor, sino que también puede llevar a un incumplimiento real, ya que estos textos pueden no reflejar las prácticas y necesidades específicas de la empresa.

Política de Cookies Irreal

Otra práctica común es la implementación de políticas de cookies que no reflejan la realidad de las cookies que se instalan en el navegador del cliente. Algunas empresas publican políticas detalladas sobre el uso de cookies, pero en la práctica instalan más cookies de las declaradas, o cookies con fines diferentes a los anunciados.

Falta de Firma de Acuerdos de Confidencialidad o de Contratos de Encargado de Tratamiento

La ausencia de acuerdos de confidencialidad o contratos de encargado de tratamiento adecuados es otra señal de "cosmetic compliance". Las empresas deben asegurar que cualquier tercero que maneje datos personales en su nombre (como proveedores de servicios) esté legalmente obligado a proteger esa información, sin excepción. La falta de estos acuerdos puede poner en riesgo la seguridad de los datos y contravenir las normativas de protección de datos.

Falta de Implementación de Medidas de Seguridad Efectivas

La adquisición de herramientas avanzadas de seguridad sin una integración adecuada en los procesos operativos es otro indicio. Si una empresa invierte en tecnología de protección de datos, pero no configura estas herramientas correctamente o no las utiliza de manera coherente con sus políticas, está simplemente aparentando cumplimiento.

Auditorías Internas Inadecuadas

Las auditorías internas que son infrecuentes, superficiales o realizadas por personal no cualificado pueden ser un signo de "cosmetic compliance". Las auditorías efectivas deben ser exhaustivas y llevadas a cabo por profesionales capacitados que puedan identificar y corregir deficiencias en las prácticas de protección de datos.

Conclusión

El "cosmetic compliance" es una práctica que puede tener graves consecuencias para las empresas, tanto en términos de sanciones económicas como de pérdida de confianza de los clientes, entre otras.

Es muy importante que la empresa implante una cultura interna de cumplimiento, no solo en lo que se refiere a privacidad, sino también en las otras áreas de responsabilidad. Esto requiere tener una estrategia y, desde la responsabilidad proactiva y partiendo de los principios del RGPD de protección desde el diseño y por defecto, la protección de datos se prepare antes de iniciar las actividades y que el tratamiento esté configurado para utilizar únicamente los datos personales estrictamente necesarios.

Y la dirección debe implicar a toda la empresa en el cumplimiento.

Y, como siempre, cuidad los datos y ¡cuidaos!

Cumplir con la Ley o Correr el Riesgo: La Importancia de la Protección de Datos en las Pymes

por

Introducción

En un mundo digital en constante evolución, la protección de datos personales ha cobrado una importancia sin precedentes. La AEPD, al amparo del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), ha intensificado su vigilancia y sanción en casos de incumplimiento. Las pequeñas y medianas empresas (Pymes) no están exentas de estas obligaciones y enfrentan desafíos significativos que pueden tener consecuencias severas, no solo económicas sino también reputacionales. En este artículo, analizamos recientes sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) con el objetivo de concienciar a los empresarios de la relevancia de un cumplimiento eficaz y responsable.

El Coste del Incumplimiento: Casos Recientes

La AEPD ha demostrado su compromiso en hacer cumplir las normativas de protección de datos, como lo reflejan las sanciones recientes a diversas Pymes. Un caso destacado es el de una empresa de Outsourcing que fue multada con 365.000 euros por solicitar la huella dactilar de sus trabajadores sin cumplir con los principios de legalidad, consentimiento e información requeridos por el RGPD. Este caso subraya la importancia de respetar la sensibilidad de los datos biométricos, considerados categorías especiales de datos personales bajo el RGPD.

Otro ejemplo relevante es el de un hotel, al cual la AEPD impuso inicialmente una multa de 40.000 euros por recabar datos excesivos de un pasaporte, una práctica no alineada con el principio de minimización de datos. Sin embargo, tras una apelación, la Audiencia Nacional redujo la sanción a 15.000 euros, considerando el nivel de ingresos del negocio y la falta de intención en el incumplimiento.

Por último, en un caso ya clásico, una óptica fue multada con 10.000 euros por enviar publicidad a un cliente sin su consentimiento previo, infringiendo la LSSICE que prohíbe las comunicaciones no solicitadas o expresamente autorizadas por los destinatarios de éstas.

Más Allá de la Multa Económica: El Impacto Reputacional

Estos casos no solo suponen un desafío financiero para las Pymes afectadas, sino también pueden afectar seriamente a su reputación. La percepción pública de una empresa puede deteriorarse rápidamente si se le vincula con prácticas irresponsables o ilegales en la gestión de datos personales. El coste reputacional puede traducirse en pérdida de clientes, disminución de la confianza del consumidor y dificultades para atraer inversiones.

Y esto es así porque las empresas son responsables ante todos los interesados (empleados, clientes, proveedores, socios, accionistas, inversores, administraciones y de la sociedad en general), y de toda la normativa aplicable a su actividad que incluye, naturalmente, la protección de datos.

Conclusión

La protección de datos personales es un pilar fundamental para las empresas en la era digital. Las sanciones impuestas por la AEPD no solo buscan penalizar, sino principalmente concienciar y orientar a las empresas hacia un cumplimiento riguroso y consciente. Es esencial que las Pymes entiendan y adopten las medidas adecuadas para garantizar que los datos que gestionan están protegidos adecuadamente, respetando los derechos de las personas.

Es importante que las Pymes inviertan en formación y asesoría en protección de datos. Integrar prácticas de privacidad desde el diseño y por defecto, realizar revisiones de riesgo o evaluaciones de impacto periódicas y mantener una política de transparencia son pasos clave para mitigar los riesgos de sanciones y daños reputacionales.

El cumplimiento de las normativas de protección de datos no es solo una obligación legal, sino una inversión en la confiabilidad y sostenibilidad de la empresa. Al educar y aplicar correctamente las leyes de protección de datos, las Pymes no solo evitan sanciones, sino que fortalecen su reputación y competitividad en el mercado.

Así que cumplamos, por el bien de todos. Y, como siempre, ¡cuidaos!!

Revisión Textos Legales Web