El Gobierno se salvará de multas por sus “chapuzas” en protección de datos
La nueva regulación europea no impone multas económicas a las administraciones, sino que cada Estado miembro decidirá si sanciona a título informativo
Quedan nueve días para que se implante la nueva ley de protección de datos y parece que empresas y administraciones van a tener problemas para llegar a tiempo. Pero hay una diferencia notable entre ambos: mientras el primer grupo se enfrenta a multas económicas que pueden llegar a suponer el 4% de su facturación anual, el Estado no pasará por caja ante Europa y solo decidirá si imponer una advertencia al organismo infractor.
Desde Justicia, ministerio que está pilotando la tramitación de la Regulación General de Protección de Datos (GDPR, por sus siglas en inglés) e incluyó esta posibilidad desde el anteproyecto, se limitan a señalar que “cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos” .
¿Qué significa esto? Que errores como el de Lexnet, que dejó al descubierto más de 11.000 documentos judiciales, infringió la ley y fue calificado como «chapuza» por la propia portavocía de la Audiencia Nacional, podrían quedar nuevamente sin ningún tipo de sanción económica más allá de un expediente público.
Pero no es el único desliz. Desde hace años el buscador de sentencias del Consejo General del Poder Judicial (CGPJ) deja al descubierto datos personales sin que se aperciba a los responsables y sin intención de reparar la fuga de información sensible.
Whatsapp y Facebook recibieron una multa conjunta de 600.000 euros por incumplir la ley al cruzar datos sin permiso
Los organismos competentes –la Agencia Española de Protección de datos (AEDP) en el caso de España– actuarán en líneas generales «sin grandes cambios”, explica Eleazar García, de la firma de abogados especialista Tego Legal. «La regulación se centra principalmente en blindar al consumidor extendiendo varios derechos, como son el derecho al olvido o el derecho a la portabilidad de datos», añade.
Por tanto, el medio centenar de infracciones que según las últimas estadísticas cada año comete el propio Estado (aproximadamente el 9% del total) quedarán impunes económicamente a diferencia de las empresas, que desembolsan 14 millones de euros aproximadamente –Whatsapp y Facebook pagaron conjuntamente 600.000 euros por cruzar datos sin permiso– durante el mismo periodo.
Empresas con capital público, un terreno gris
La nueva normativa deja algunas lagunas que no terminan de poner de acuerdo a diferentes expertos: las empresas privadas con capital público.
En este contexto, el caso paradigmático es Enisa, que recientemente difundió por error los datos de 3.700 clientes, dejando al descubierto sus identidades, lo que le costó dos quejas formales y una solicitud de baja de la base de datos.
El error pudo ir a peor. Un tercero quiso aprovecharse de la fuga de datos pero la empresa nada más percatarse, según explicó a este medio, puso en conocimiento de la Policía Nacional lo sucedido, que a día de hoy sigue investigándose.
Javier Meizoso, fundador de Legal Pin, cree que todo dependerá de la naturaleza jurídica del infractor. “Si una empresa está constituida como una sociedad anónima, lo más probable es que sí se enfrente a una sanción económica aunque la mayoría de su capital sea público”, añade.