El sentido común no basta en protección de datos

El sentido común no basta en protección de datos

Tech Law & Digital Business

24/05/2022
El sentido común no basta en protección de datos

Se cumplen 4 años de la aplicación efectiva del Reglamento General de Protección de Datos (RGPD) y desde entonces la Agencia Española de Protección de Datos (junto con otras autoridades) han ido ofreciendo guías sobre su interpretación, mediante documentos didácticos, dictámenes y también a través de resoluciones sancionadoras.

De un tiempo a esta parte, existe una latente sensación de inseguridad jurídica que conviene poner de manifiesto.

¿Por qué hay inseguridad jurídica en protección de datos?

A pesar de que uno de los principales objetivos del RGPD era dotar de mayor flexibilidad, proactividad y espíritu autocrítico a los responsables del tratamiento, lo cierto es que, en ocasiones, esto se ha convertido en un arma de doble filo.

Antes del RGPD, las entidades podían considerarse compliant en materia de protección de datos con el mero hecho de cumplir determinadas formalidades exigidas por la Ley. Sin embargo, el RGPD elimina dichas formalidades y exige a las entidades que se autoanalicen y apliquen la normativa a sus propias circunstancias, creando documentación suficiente que permita, en caso de ser requerido, poder demostrar el cumplimiento con la normativa aplicable (principio denominado accountability).

Aunque la intención del cambio de paradigma que trajo el RGPD era crear un entorno jurídico más coherente para las entidades, ello ha conllevado más inseguridad jurídica, ya que, igual que las entidades tienen mayor libertad para interpretar la normativa, también la tienen las autoridades sancionadoras. Y es ahí donde se crea la inseguridad.

¿Tenemos algún ejemplo?

Dos de las últimas resoluciones de la AEPD (con número de expediente PS/00003/2021[SB1]  y PS/00078/2021[SB2] ) son llamativas. La primera sanciona a una empresa de selección de personal con una multa de 300.000€ por solicitar el DNI y la dirección a un usuario para ejercer su derecho de acceso. Y la segunda, sanciona a una empresa hotelera con 30.000€ por escanear la página del pasaporte donde consta la información de sus clientes.

En ninguno de los dos casos se trata de una sanción impuesta por un incumplimiento flagrante de la normativa de protección de datos, ni siquiera por una falta de diligencia de los responsables del tratamiento. Las entidades sancionadas realizaron dichos tratamientos de datos creyendo que cumplían con las exigencias legales, por lo que estas sanciones son, a nuestro entender, muy desproporcionadas y poco coherentes.

De hecho pocos expertos en privacidad hubieran considerado inadecuadas las acciones sancionadas.

¿Qué podemos hacer al respecto?

La conclusión que hay que extraer es que hay que ir con mucho cuidado en el tratamiento de los datos personales, ya que el sentido común no resulta suficiente para evitar sanciones en materia de privacy.

Conviene dejarse asesorar por expertos en la materia que estén familiarizados y actualizados con los pronunciamientos de la AEPD, para poder orientar según los criterios interpretativos de la autoridad sancionadora.

La pretendida mejora que suponía el RGPD ha mutado en un riesgo oculto por la interpretación “à la lettre” que están haciendo las Autoridades. Nadie está a salvo…

 

Descargar folleto Compliance | DPO Services

 


 [SB1]Link a https://www.aepd.es/es/documento/ps-00003-2021.pdf

 [SB2]Link a https://www.aepd.es/es/documento/ps-00078-2021.pdf

 

Manuel Alonso
Socio Área Digital Business
[email protected]
T  +34 932 448 900
M +34 671 708 036

Silvia Boixeda
Asociada Senior Digital Business
[email protected]
T  +34 932 448 900
M +34 620 091 970