La Agencia Española de Protección de Datos (AEPD) cerró los primeros siete meses del año con una recaudación en sanciones de 23,46 millones de euros. Es lo que se desprende del informe Privacy Insights 2021, elaborado por BDO.
En el mismo, se analizan los distintos avances y recientes cambios regulatorios en materia de privacidad entre países y regiones de todo el mundo, así como su impacto en todo lo relativo a la transferencia y protección de datos e intercambio de información.
Entre las novedades más reseñables se encuentran: el aumento de la complejidad jurídica del flujo de datos personales de ciudadanos de los países del Espacio Económico Europeo con el resto del mundo, técnicamente transferencias internacionales de datos, o la discusión de normativas inspiradas solo parcialmente en la legislación europea, resaltando el aumento de las sanciones en Europa, particularmente en España.
En concreto, en España, desde 2018, la AEPD ha publicado aproximadamente 295 resoluciones sancionadoras, convirtiéndose así en una de las autoridades de protección de datos más activas de Europa en emisión de medidas sancionadoras y respuesta a las reclamaciones y solicitudes por parte de los interesados. Estas sanciones han afectado a empresas de todos los tamaños por infracciones muy diferentes: desde brechas de seguridad no notificadas, correos electrónicos sin copia oculta, medidas de seguridad o información sobre protección de datos insuficiente, falta de garantía sobre el tratamiento por los proveedores, o la cesión de datos entre empresas, tal y como explica en su informe BDO.
David Molina, experto del departamento de derecho Digital + IP ha afirmado que “tantas resoluciones sancionadoras son un arma de doble filo, hay más riesgo de que las empresas se vean expuestas a un procedimiento aquí, pero también existe la oportunidad de ver qué malas prácticas se han sancionado en otras entidades para aprender de ello y reducir nuestros propios riesgos legales”.
Modelos adaptados a la nueva realidad
Respecto a las transferencias internacionales de datos personales, David Molina se muestra optimista y reconoce: “es cierto, son más difíciles de gestionar que antes pero también se han publicado recomendaciones, nuevas cláusulas contractuales tipo y metodologías”. Y añade: “antes de la sentencia Schrems II sabíamos que la aproximación legal en alguna medida era en “falso” y ahora los mecanismos existentes son más fiables a largo plazo”.
Durante los últimos meses, en el contexto del teletrabajo, las empresas se han visto obligadas a adaptar sus modelos de operaciones a esta nueva realidad. A pesar de que las organizaciones internacionales reconocen la importancia del cumplimiento de la privacidad y las compañías se están esforzando por cumplir con la legislación, cuentan con personal limitado, una cobertura global insuficiente y, en muchos casos, no han conseguido actualizar las políticas y procedimientos. Esta situación ha causado un aumento de las consultas e investigaciones de la Autoridad de Protección de Datos, mal uso de los datos y, en el peor de los casos, fuga de datos, tal y como se desprende del informe elaborado por BDO.
En este sentido, Albert Flores, especialista del área de Risk Advisory Services de BDO recuerda que “la definición, aplicación y revisión de las diferentes medidas y controles de seguridad debe ser afrontada desde el punto de vista de una gestión continuada del riesgo, y de acuerdo a la situación del riesgo de ciberseguridad existente a día de hoy que impacta plenamente en la privacidad de las entidades y de sus proveedores”.