Desde el Departamento de Nuevas Tecnologías y Propiedad Intelectual e Industrial, ponemos a su disposición un nuevo boletín de actualidad por si pudiera ser de su interés.
Protección de datos
Marcas
Comunicaciones comerciales
Desde el Departamento de Nuevas Tecnologías y Propiedad Intelectual e Industrial, ponemos a su disposición un nuevo boletín de actualidad por si pudiera ser de su interés.
Hace unos días la Agencia Española de Protección de Datos (AEPD), imponía la sanción más alta a una Organización desde la entrada en vigor del Reglamento 2016/679 Europeo de Protección de Datos de Carácter Personal (RGPD), un total de 8.150.000€ por el incumplimiento por parte de Vodafone España, S.A.U. de hasta 3 normas distintas relacionadas con la protección de los datos de carácter personal. Una sentencia de 97 páginas que recoge las siguientes multas:
Destaca entre estas multas tan elevadas la imposición de una multa de 4 millones de euros, no porque Vodafone no contara con protocolos, políticas o procedimientos para cumplir con las obligaciones establecidas en el RGPD, la AEPD no pone en duda su existencia, sino por la falta de controles por parte de Vodafone para que las medidas adoptadas sean realmente efectivas, es decir, que exista un efectivo cumplimiento de las distintas normativas.
Esta es una cuestión que hasta ahora parecía una cuestión secundaría para las empresas, el mantenimiento de una actitud proactiva del Responsable en relación al cumplimiento normativo.
Esta sentencia, aunque sea posteriormente recurrida, debe marcar un cambio en la forma de pensar y actuar de las empresas, desde la más pequeña a la más grande, que deben demostrar esa capacidad de cumplir y hacer cumplir la normativa. La actividad desarrollada por el proveedor se entenderá como una extensión de la actividad del Responsable y, como tal, éste tendrá la obligación de supervisar el tratamiento y actuar cuando sea necesario.
Lo que refleja esta sentencia es que la firma del contrato es insuficiente para la AEPD a la hora de demostrar un efectivo cumplimiento de nuestras obligaciones como Responsables del tratamiento, siendo necesario mantener esa actitud proactiva desde la correcta selección del proveedor, hasta la continua supervisión y control de la actividad.
Esta sentencia, además, plantea una doble sanción, a las ya mencionadas multas, se suma la obligación de acreditar ante la AEPD en un plazo de 6 meses que la Organización ha ajustado sus acciones y actuaciones a la normativa de protección de datos.