L'Agència Espanyola de Protecció de Dades (AEPD) és una autoritat administrativa independent responsable de supervisar l'aplicació del RGPD
Introducció
El que importa d’una llei o d’un reglament sancionador, com és el RGPD, no és el que diu que es pot fer o no es pot fer, és el que passa si fas el que no es pot fer.
Per aquest motiu, el primer que has de llegir un cop has après els conceptes és l’esquema sancionador, per conèixer les diferents sancions econòmiques que et poden imposar si no compleixes el reglament.
L’altre factor important és quina capacitat té l’autoritat sancionadora per vigilar el compliment de la llei.
Per exemple, l’agència tributària (AEAT) té els millors sistemes informàtics de l’estat i es qui paga millor als funcionaris perquè és un organisme que fa guanya diners a l’estat.
L’Agència Espanyola de Protecció de Dades és un altre organisme que disposa de bastants recursos, perquè sancionar a grans empreses per incompliment del RGPD està molt ben vist pel ciutadà i genera ingressos per l’estat.
Durant l’any 2023 va recaptar 33 milions d’euros.
Encara que l’AEAT, per posar un exemple, no pot competir amb un ajuntament com Madrid amb les multes als ciutadans: 211 milions d’euros.
Però a diferència de Madrid amb les multes, la seva activitat està molt ben vista pels ciutadans.
De la mateixa manera que Hisenda fa por, l’AEPD també fa una mica de por a les empreses.
Sancions
La quantia de la sanció depen de la gravetat de la infracció comesa:
- Infraccions lleus: multes de fins a 40.000 euros.
- Infraccions greus: multes de 40.001 euros a 300.000 euros
- Infraccions molt greus: multes de 300.001 euros a 20 milions d’euros o el 4% de la facturació anual.
A continuació tens alguns exemples de sancions de les grosses:
I aquí tens de les petites, que per una empresa petita no són tant petites:
-
Sanció a un metge de Gijón: Va ser a causa de llançar a la via pública envasos de biòpsies amb dades personals, la multa que l’AEPD li va imposar va ser de 60.101 euros, ja que va cometre una infracció tipificada com a molt greu.
-
L’AEPD va obrir un expedient a un Hospital d’Inca per la filtració de dades personals de pacients.
-
Un Centre Mèdic de Cartagena va ser sancionat per l’AEPD amb la xifra de 6.000 euros per fer ús de les dades personals d’un client de l’empresa amb què s’havia fusionat.
-
Un Hospital de Conca va ser advertit per cedir dades personals i historials mèdics dels pacients a una clínica privada sense xifrar la informació, malgrat tractar-se de dades especialment protegides. La multa va pujar a un total de 40.001 euros.
Busca a Internet la sanció més alta a Europa en el 2023 per incompliment de RGPD i resum el motiu de la sanció.
Que et sembla aquesta informació oficial de la AEPD: La AEPD recibe por tercer año consecutivo el mayor número de reclamaciones de su historia
Creus que les administracions públiques es prenen seriosament el RGPD mirant aquest document oficial de l’AEPD Administraciones Públicas sancionadas por no responder a requerimientos y por incumplimiento de medidas
Si, són molt poques.
Drets de l’interessat
Les grans empreses estan sotmeses a una vigilància estricta del compliment del RGPD, sobretot per les quantioses sancions econòmiques previstes en el RGPD que imposen les autoritats de control.
Per exemple Google té una pàgina de privacitat exemplar perquè no la puguin sancionar, ja que és un objectiu recaptatori molt apetible: Política de Privacitat de Google.
En canvi, les petites empreses no es preocupen massa, i ja els va bé amb la pàgina “Política de Privacitat” que es pot generar de manera automàtica amb el Wordpress, encara que no és correcte.
El Wordpress és l’aplicació web més utilitzada per a crear llocs web comercials, blogs, etc.
Què creus que els motiva més a les autoritats de control, el compliment del RGPD o la possible quantia de la sanció.
En base a la teva resposta, un negoci petit o mitjà té suficient amb la pàgina per defecte del Wordpress?
Depen … l’AEAT mai anirà d’ofici a indagar, té peixos més grans en el mar per pescar, però com veurem més endavant, qualsevol ciutadà pot presentar ua denuncia i llavors l’AEAT ha d’actuar si o si.
Ves a ChatGPT i que et generi una política de privacitat per una empresa ficticia, a veure que passa.
Segur que és correcta?
Segurament no, tal com s’explica a aquest article: AI Generated Privacy Policy Examined: Should You Use ChatGPT?
Però si soc una petita empresa ja està bé, o potser no …
Busca un o més plugins pel Wordpress per tal de complir amb el RGPD.
Si tens temps, crea un Wordpress que compleixi el RGPD.
Denúncia
Les denúncies per protecció de dades augmenten cada any, ja que les persones som cada cop més conscients dels nostres drets i el valor de les nostres dades i privadesa.
Tot i això, no tothom sap com posar una denúncia per protecció de dades o si és necessari algun pas previ abans de denunciar davant l’AEPD.
Recorda que a Europa, a diferència d’alguns paisos, qui es queda totes les sancions és l’Estat, tu no tens cap comissió.
Som un pais de tradició llatina: “Roma no paga traïdors”
😒
Però els diners que recapta l’estat serveixen per donar serveis públics gratuïts, com són l’educació i la sanitat:
🧑🎓 👩⚕️
Pas previ
Primer has d’exercir els teus drets ARSULIPO, és a dir, enviar una sol·licitud al responsable del tractament per exercir un d’aquests drets, que normalment seran el d’accés (per saber quines dades teves té l’empresa), el de supressió (perquè eliminin les teves dades), rectificació (perquè es corregeixin errors en les teves dades) o el de limitació del tractament (perquè només siguin usats amb la finalitat que vas consentir).
Per exemple, si el col·legi ha publicat en xarxes socials una foto en què pots ser reconegut i no compte amb el teu consentiment per fer-ho, has d’enviar una sol·licitud de supressió, perquè eliminin la foto en qüestió.
Per realitzar aquesta sol·licitud, has de seguir les instruccions que el mateix responsable facilita en la seva informació sobre la gestió i protecció de dades.
Per exemple, en una pàgina web el trobarem en la “Política de privadesa”.
Has posat aquesta informació en l’activitat anterior? 🙄
El més normal és que es posi a disposició dels interessats una adreça de correu electrònic a què enviar aquestes reclamacions de drets.
Un cop presentada la sol·licitud del dret que vols exercir, has d’esperar el temps que marca la llei perquè el responsable respongui; 10 dies per a la rectificació, la supressió i l’oposició (30 per al d’accés).
Un cop complert aquest termini, si no has rebut resposta o aquesta no és satisfactòria, pots posar una denúncia a l’AEPD.
Activitat
Ves a la AEPD - Seu electrònica.
Presenta una reclamació ..
.. de “Publicidad y comunicación comercial” > “Recibo llamadas telefónicas publicitarias”.
Tria una empresa qualsevol, que no estigui adherida a AUTOCONTROL
Comença a presentar la reclamació … , però no la finalitzis!
Amb aquesta captura de pantalla n’hi ha prou per a l’avaluació:
Cert, necessites identificació electrònica: @Clave