Les reclamacions davant l’AEPD es duplicaran en només tres anys
En aquesta era digital on la informació ha passat a ser un recurs de valor incalculable per a l’economia, la protecció de les dades personals ha esdevingut un pilar fonamental per garantir els drets dels ciutadans. En aquest context, l’Agència Espanyola de Protecció de Dades (AEPD), que actua com a una autoritat de control independent, té una paper crucial en la supervisió del compliment de la normativa sobre protecció de dades a Espanya.
L’11 d’abril de 2024, l’AEPD va publicar la seva Memòria Anual. Aquest informe ofereix una anàlisi detallat de les activitats de l’any 2023 i explica les diverses iniciatives dutes a terme per l’agència, des de campanyes de conscienciació fins a activitats d’inspecció. També inclou un anàlisi exhaustiu de les tendències legals i de privacitat, tant a nivell domèstic com global.
Increment de les reclamacions presentades davant l’AEPD
Tanmateix, allò que crida més l’atenció en aquest informe és l’extraordinari augment del nombre de reclamacions rebudes per aquest organisme.
L’AEPD ha registrat per tercer any consecutiu el rècord de reclamacions rebudes, que superen les 21.590. Això representa un augment del 43% en comparació amb l’any 2022 i del 55% respecte a l’any 2021. Aquest augment es deu en part a les reclamacions relacionades amb la recepció de publicitat no desitjada, les qual han experimentat un increment del 114% respecte de l’any anterior.
Menys sancions, però d’un import total més gran
L’AEPD va imposar 367 sancions l’any 2023. Això suposa una lleugera disminució d’un 3% en comparació amb les 378 sancions imposades al 2022. Amb tot, l’import total de les multes imposades al 2023 va ser de quasi 30 milions d’euros, cosa que representa un augment del 44% respecte de l’any anterior. Aquest fenomen suggereix una possible estratègia de l’AEPD encaminada a perseguir les infraccions de més rellevància econòmica.
Algunes d’aquestes multes han arribat a xifres milionàries. Per entendre com es poden imposar quantitats tan altes, cal analitzar els factors que es tenen en compte a l’hora de determinar les sancions. Les Directrius 04/2022 sobre el càlcul de multes segons el Reglament General de Protecció de Dades emeses pel Comitè Europeu de Protecció de Dades proporcionen una guia clara sobre els criteris que es fan servir.
Les sis àrees d’activitat que acumulen l’import més alt de multes, i que representen el 89% del total, són les infraccions relacionades amb les bretxes de dades personals – que passen d’uns 821.000 euros al 2022 a quasi 13 milions al 2023 -, les entitats financeres i de crèdit, drets relacionats amb la protecció de dades, la contractació fraudulenta, les telecomunicacions i els serveis d’internet.
L’ús de sistemes biomètrics al punt de mira
Pel que fa a l’exercici de la potestat sancionadora de l’AEPD, a més a més de la tendència general a l’alça que s’observa a la Memòria Anual de 2023, cal destacar l’interès de l’AEPD durant aquest any 2024 per l’ús inadequat de sistemes biomètrics basats en empremta dactilar per controlar l’accés.
Aquesta nova línia d’actuació s’ha produït després de la publicació de la Guia de l’AEPD sobre els tractaments de control de presència mitjançant sistemes biomètrics al novembre de 2023. Aquesta guia estableix els requisits i les mesures que s’han de complir per tal que el tractament de dades personals mitjançant tecnologia biomètrica pel control d’accés, tant si és amb finalitats laborals com no laborals, s’ajusti a la normativa vigent en matèria de protecció de dades personals.
L’AEPD ha començat a aplicar els criteris establerts en aquesta guia i castiga amb mà de ferro les empreses que cometen irregularitats amb les dades biomètriques. Un exemple d’això és la sanció imposada a un gimnàs que fou multat amb 27.000 euros perquè els usuaris havien de fer servir la seva empremta dactilar per poder accedir a les instal·lacions.
De la mateixa manera, una empresa d’externalització fou sancionada amb 365.000 euros perquè demanava que els treballadors fessin servir l’empremta dactilar per poder registrar la seva jornada laboral, sense haver-los proporcionat la informació adequada ni haver aplicat les mesures de seguretat necessàries. Recentment, un club de futbol també fou sancionat amb 200.000 euros per demanar aquest tipus de dades biomètriques per controlar l’accés a l’estadi, fet que representa un incompliment de la normativa vigent.
Aquestes resolucions de l’AEPD posen de manifest el rigor i la complexitat que comporta el tractament de les dades biomètriques desprès de la publicació de la guia. Tot i que l’ús de les dades biomètriques amb la finalitat de control de presència no està directament prohibit, a la pràctica resulta molt complicat, atès que és difícil justificar una base jurídica que en legitimi l’ús.
A més a més, cal fer una avaluació d’impacte prèvia de protecció de dades per provar que s’ha tingut en compte el triple judici de necessitat, idoneïtat i proporcionalitat, així com que s’han implementat correctament les mesures necessàries per garantir la seguretat de les dades personals processades mitjançant aquests sistemes biomètrics.
Comentari d’Osborne Clarke
L’increment significatiu del nombre de reclamacions presentades a l’AEPD és un indicatiu clar que cada vegada hi ha més consciència pública sobre la privacitat i el dret a la protecció de dades.
Aquest fenomen, juntament amb el fet que es preveu que l’AEPD tingui un paper consultiu i supervisor més destacat aquest 2024, posa de manifest la necessitat que les empreses prenguin consciència que el compliment de la normativa sobre protecció de dades ha esdevingut un punt decisiu de la seva estratègia corporativa.
