Aquesta és una consulta recurrent. I acostuma a anar acompanyada d’expressions com “si som molt petits” o “qui vols que ens denunciï” o “ho tinc pendent però no tinc temps” o “això és per Google o Facebook” o similar.
Doncs en aquest tema hi ha, com sempre, bones i males notícies. Veiem.
Començaré amb unes quantes declaracions que, no per òbvies, hem de deixar d’insistir. La primera és que en un estat de dret, les lleis són iguals per tothom. En l’àmbit empresarial i pel que fa a la protecció de dades, el Reglament (UE) 2016/679 del Parlament Europeu i la Llei Orgànica 3/2018, de 5 de desembre de Protecció de Dades estableixen sancions en funció de la gravetat de les conductes i no pas en funció de la mida de l’empresa. Com es natural, una empresa petita pot tenir una conducta impròpia com Facebook i serà sancionada igualment. Això sí, l’empresa petita pot haver posat en risc o compromès un número petit de dades mentre que en el cas de Facebook poden ser milions. Per tant, la sanció serà menor però es sancionarà, sens dubte.
I sí, et poden sancionar per la pàgina web i per diversos motius com són que falti algun document, que els documents no compleixin amb la normativa, que la política de cookies no sigui correcta i un llarg seguit de casuístiques a les que hem de prestar atenció.
I es poden sancionar totes les web, independentment de l’extensió que tingui. No només les .es que corresponen a Espanya, sinó el .cat, el .com i tots els dominis. El Reglament aplica a qualsevol tractament de dades de ciutadans europeus, sense tenir en compte el domini i es pot sancionar a qualsevol web del món que infringeixi lo estipulat en la llei de protecció de dades europees.
Les sancions es classifiquen en molt greus, greus i lleus. Entre les primeres podem citar el no tenir un procediment per l’exercici dels drets dels usuari, tractament de dades de forma il·lícita (falta de consentiment, compra bases de dades, …), consentiments recollits incomplint la llei, fer servir les dades per finalitats diferents de les explicades al recollir el consentiment o no facilitar l’accés a l’autoritat de control l’exercici de les seves potestats d’investigació, entre altres.
Pel que fa a les greus estan, a tall d’exemple, el tractament de dades de menors sense el consentiment adequat, contractar un encarregat sense garanties, no aplicar les mesures organitzatives o tècniques adequades.
No ens allargarem amb les lleus. Només recalcar la importància de que la nostre web estigui adequada a la llei, no només per prevenir les sancions sinó per transmetre la percepció de que fem les coses bé i que tenim la màxima cura per les dades que per totes les altres coses que fe a l’empresa.
Ah, i recordar que la web és la part externa i visible de l’empresa. I que cal adequar també la part interna. Però això serà en un altre post.
