Los procedimientos sancionadores iniciados por la Agencia Española de Protección de Datos (AEPD) no siempre resultan en sanciones por infracciones de la normativa de protección de datos. En muchos casos de éxito en protección de datos, las organizaciones, con el apoyo de una empresa protección de datos, logran subsanar las deficiencias detectadas mediante la implementación de medidas correctivas, lo que les permite cumplir con la normativa y evitar sanciones.
En el siguiente artículo, analizamos cinco casos relevantes que muestran cómo las organizaciones han gestionado problemas complejos, las medidas correctivas implementadas y por qué la AEPD decidió archivar los procedimientos. Estos casos ilustran buenas prácticas y lecciones aplicables a otros contextos.
Casos de éxito en protección de datos
Caso 1: Segmentación electoral con software tesela
Un partido político empleó el software Tesela para segmentar datos de votantes, generando perfiles basados en edad, género, nivel de ingresos y ubicación geográfica, con el objetivo de personalizar campañas(ai-00243-2023).
Motivo del archivo:
La organización demostró que los datos utilizados eran anónimos y que no se podían vincular a personas específicas, cumpliendo con los principios de minimización y limitación de la finalidad del RGPD.
Acciones implementadas:
- Realización de auditorías para garantizar que los datos eran anónimos y no identificables.
- Inclusión de cláusulas restrictivas en los contratos con proveedores de software para evitar usos indebidos.
Lecciones aprendidas:
- Anonimización: Convertir datos personales en anónimos reduce riesgos legales y garantiza el cumplimiento normativo.
- Supervisión contractual: Incluir garantías específicas en los contratos con proveedores tecnológicos fortalece el control sobre el tratamiento de datos.
Caso 2: Publicación accidental de datos en Restaurante Lugano
El sitio web del restaurante publicó de manera inadvertida información personal de clientes, como nombres, direcciones y números de teléfono, debido a un error técnico en su sección de pedidos online(ai-00212-2023).
Motivo del archivo:
El restaurante corrigió rápidamente la situación, eliminando los datos publicados, implementando medidas correctivas y cooperando plenamente con la AEPD para demostrar que se trató de un error puntual.
Acciones implementadas:
- Eliminación inmediata del contenido expuesto.
- Mejora de los sistemas de seguridad web para prevenir vulnerabilidades similares.
- Formación interna del personal sobre la gestión de datos y seguridad digital.
Lecciones aprendidas:
- Respuesta rápida: La acción inmediata ante una brecha puede mitigar daños y evitar sanciones.
- Auditorías regulares: Revisar los sistemas internos y externos reduce el riesgo de exposición accidental de datos.
Caso 3: Gestión de solicitudes de supresión en Poblenou Mar
Una inmobiliaria ignoró varias solicitudes de un cliente para eliminar sus datos personales, lo que resultó en una denuncia por el incumplimiento del derecho de supresión(ai-00205-2024).
Motivo del archivo:
La inmobiliaria demostró haber eliminado completamente los datos del reclamante y presentó evidencias del cumplimiento de la solicitud antes de que se iniciaran sanciones.
Acciones implementadas:
- Supresión inmediata de los datos personales del reclamante.
- Revisión de los protocolos internos para garantizar el cumplimiento eficiente de las solicitudes de derechos.
Lecciones aprendidas:
- Gestión eficaz de derechos: Atender solicitudes de manera oportuna es crucial para evitar conflictos y sanciones.
- Protocolos claros: Disponer de procesos definidos para la gestión de solicitudes mejora la eficiencia y minimiza riesgos legales.
Caso 4: Llamadas comerciales no deseadas y Lista Robinson
Un usuario inscrito en la Lista Robinson recibió llamadas comerciales, presuntamente de Vodafone. Las investigaciones revelaron que las llamadas no provenían de la empresa, sino de un tercero sin autorización(ai-00419-2023).
Motivo del archivo:
Vodafone demostró que no tenía relación con las llamadas realizadas y que había cumplido con las normativas de inclusión en la Lista Robinson.
Acciones implementadas:
- Investigación exhaustiva para identificar el origen de las llamadas.
- Refuerzo de cláusulas en los contratos con terceros para evitar este tipo de incidentes.
- Mejora de los procesos de supervisión de socios comerciales.
Lecciones aprendidas:
- Supervisión de terceros: Las empresas deben auditar continuamente las actividades de sus socios para evitar incumplimientos.
- Trazabilidad: Contar con registros claros permite identificar irregularidades rápidamente.
Caso 5: Cookies y transparencia en Turner Broadcasting
Una revisión de la política de cookies de un sitio web mostró que se instalaban cookies antes de que los usuarios dieran su consentimiento explícito, incumpliendo la normativa(ai-00057-2023).
Motivo del archivo:
La organización corrigió de manera efectiva las deficiencias identificadas antes de que se iniciaran medidas sancionadoras.
Acciones implementadas:
- Actualización de la política de cookies para cumplir con los requisitos del RGPD.
- Implementación de una herramienta para gestionar preferencias de cookies que permite a los usuarios configurar o rechazar opciones fácilmente.
Lecciones aprendidas:
- Cumplimiento técnico: El uso de cookies debe ajustarse estrictamente a la normativa vigente.
- Transparencia: Informar de manera clara y detallada sobre el propósito y el tipo de cookies instaladas fortalece la confianza del usuario.
La relevancia de las medidas correctivas y medidas de cumplimiento previas y la cooperación en la decisión de archivo de procedimientos por la AEPD
En la mayoría de los casos presentados, la AEPD decidió archivar los procedimientos debido a la adopción efectiva de medidas correctivas, la existencia de medidas de cumplimiento previas y la colaboración activa de las organizaciones implicadas.
Elementos clave que justifican el archivo
Existencia de medidas de cumplimiento:
Muchas de las organizaciones implicadas ya contaban con políticas y procedimientos establecidos para gestionar los datos personales. Sin embargo, las reclamaciones surgieron por fallos específicos o limitaciones en su implementación.
Por ejemplo, en el caso de Vodafone y las llamadas comerciales no deseadas, la empresa demostró que había cumplido con la normativa en lo que respecta a la Lista Robinson, que las llamadas no provenían de ellos y que sus bases de datos no estaban asociadas al incidente. Esto evidenció que su sistema de cumplimiento estaba operativo, aunque el fallo se originó en terceros.
Ejecución de acciones correctivas
Un factor determinante en la decisión de archivo es que las empresas actúen rápidamente para subsanar las deficiencias identificadas. Esto incluye:
- La eliminación de datos personales expuestos.
- La actualización de políticas internas.
- La implementación de nuevas herramientas que prevengan futuros incumplimientos.
En el caso de Turner Broadcasting y su política de cookies, la empresa corrigió el uso no autorizado de cookies no esenciales mediante la actualización de su política y la instalación de un sistema de gestión de consentimientos.
Cooperación con la AEPD
La disposición de las empresas a colaborar con la AEPD es un indicador positivo que puede influir en la decisión de no imponer sanciones.
Por ejemplo, en el caso de Poblenou Mar y las solicitudes de supresión, la inmobiliaria respondió a los requerimientos de la AEPD, presentó pruebas de la supresión de datos personales y reforzó sus procesos internos(ai-00205-2024). Esta actitud proactiva ayudó a resolver el caso de forma satisfactoria para ambas partes.
Carácter puntual del incidente
En varios de los casos, los incumplimientos fueron catalogados como errores puntuales, más que como fallos sistémicos. Esto permitió que la AEPD optara por el archivo tras comprobar que las medidas correctivas eran suficientes para evitar que el problema se repitiera.
Conclusión
La decisión de la AEPD de archivar un procedimiento no solo depende de la existencia del incumplimiento inicial, sino de cómo la organización reacciona y demuestra su compromiso con la protección de datos.
Este enfoque permite a las empresas aprender de sus errores, mejorar sus sistemas y continuar operando con confianza dentro del marco normativo.
Cómo AUFERIL como empresa protección de datos puede ayudar a tu organización a ser un caso de éxito en protección de datos
En AUFERIL, una empresa protecció de datos contamos con abogados expertos en protección de datos y ofrecemos soluciones prácticas y efectivas para garantizar que tu organización cumpla con el RGPD y otras normativas aplicables. Nuestra misión es simplificar el cumplimiento normativo y proteger la confianza de tus clientes.
Nuestros servicios clave
- Auditorías y evaluaciones de riesgos.
- Supervisión del cumplimiento por parte de encargados del tratamiento.
- Implementación de soluciones normativas.
- Actuación en procedimientos ante la AEPD.
Contacta con AUFERIL hoy y asegura el cumplimiento normativo de tu organización con expertos que marcan la diferencia.