Tras algo más de un año de convivencia con el Reglamento General de Protección de Datos (RGPD), cabe hacer balance de cuáles son las principales deficiencias derivadas de un incorrecto proceso de adecuación, así como y las consecuencias que, desde un punto de vista del régimen sancionador, recogen las primeras resoluciones de las distintas autoridades de control.
En el sector de Entretenimiento y Medios tiene especial relevancia la recogida de datos de los usuarios para analizar su comportamiento, conocer sus hábitos de navegación e identificar sus preferencias con el fin de adaptar la publicidad y la oferta de contenidos.
En cuanto a deficiencias, una revisión de cómo ha sido la travesía para alcanzar un grado óptimo de cumplimiento, observamos que, en un afán por dar cumplimiento al principio de transparencia y el deber de información, las políticas de privacidad han resultado ser demasiado extensas y no facilitan que un usuario medio finalice su lectura ni que las comprenda.
Del mismo modo, algunas compañías optaron por enumerar todas las posibles finalidades del tratamiento, lo cual resulta confuso para el consumidor, por lo que se recomienda que se agrupen los fines para los que se solicita el consentimiento de manera que quede perfectamente diferenciado respecto de otros tratamientos y por supuesto, evitar la recogida de consentimientos en bloque.
Cuando parecía que la exigencia de RGPD de que el consentimiento prestado por el usuario sea libre, especifico e inequívoco había calado en todos los sectores, aún encontramos formularios web o apps, en los que existen casillas pre-marcadas. Persiste cierta confusión respecto de la aplicación del interés legítimo como base legitimadora, a la vez que se observa falta de claridad a la hora de explicar correctamente la legitimidad del tratamiento, mencionando más de una base para un mismo tratamiento.
Otras de las cuestiones en las que hay que mejorar es la revisión que se realiza en los procesos de adquisición o fusión de compañías. En un contexto económico en el que los datos personales que posee una compañía son un gran activo, es fundamental que, ante cualquier operación societaria, se analice correctamente cuál es el origen de esos datos, como se recogió y conservó el consentimiento y con qué fin se recabaron, porque esto condicionará el valor que se le dé a la transacción.
En cuanto a las sanciones, en España cabe destacar una multa de 250.000€ por vulnerar el principio de transparencia a través de una app móvil, mediante la que se podía acceder sin conocimiento de los usuarios al micrófono de sus teléfonos.
El RGPD exige, entre otras obligaciones, que cualquier tratamiento de datos personales pueda justificarse al amparo de una de las seis bases legitimadoras: consentimiento, relación contractual, interés público, interés vital, interés legítimo u obligación legal, así como que dicho tratamiento dé cumplimiento al principio de transparencia. Por ello, hay que facilitar al usuario la información respecto a qué datos se obtienen de su comportamiento, con qué finalidad y con quién se comparte dicha información.
Ha habido otras sanciones de menor importe por vulneración de la confidencialidad de los datos personales, al revelar a un tercero datos incluidos en la factura de un cliente, o por utilización de direcciones de correo electrónicos no facilitados por el interesado.
En el contexto europeo, una sanción relevante por su cuantía, debido entre otros factores al elevado número de interesados afectados por el incumplimiento normativa, ha sido la impuesta por la Commission Nationale Informatique et Libertés, (autoridad de control francesa) a uno de los principales motores de búsqueda en internet. La penalización ha sido de 50 millones de euros por el incumplimiento de los principios de transparencia y el deber de información; la inexistencia de una base legítima y por la no obtención del consentimiento en el marco del tratamiento de los datos personales.
Entre las más recientes, las sanciones propuestas por la autoridad de control competente del Reino Unido, la Information Commissioner’s Office, a una compañía aérea y a otra del sector hotelero, de 204 y 110 millones de euros respectivamente, por la indebida implantación de medidas de seguridad adecuadas para garantizar la privacidad de los datos personales de sus usuarios, que dio lugar a la pérdida de confidencialidad de cantidades muy elevadas de datos personales de sus usuarios.
En Polonia, la Urząd Ochrony Danych Osobowych, impuso una sanción de 220.000€ a una entidad del sector infomediario por no informar debidamente a los empresarios individuales (cuyos datos provienen de fuentes accesibles al público), sobre el tratamiento de sus datos con finalidades comerciales.
En Portugal, un hospital fue sancionado con 400.000€ por la Comissão Nacional de Protecção de Dados por no garantizar la confidencialidad de los datos personales de sus pacientes, no cumplir con las medidas de seguridad necesarias y no respetar el principio de minimización de los datos personales. En Dinamarca, la Datatilsynet impuso una sanción de 200.000€ a una compañía por no respetar los plazos de conservación de los datos personales, almacenándolos durante más tiempo del necesario para la finalidad perseguida, sin definir los procedimientos y plazos para la supresión de los mismos.
Como se puede apreciar, las razones por las que el regulador impone sanciones son diversas, pero no exclusivas de un sector concreto. En todas ellas subyace la defensa de la privacidad y el uso responsable de los datos de los ciudadanos, algo especialmente relevante para un sector como E&M que tiene que conocer a fondo a sus clientes para responder de manera personalizada a sus preferencias.