Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

La benevolencia de la AEPD con las Administraciones y organismos públicos

El Ministerio de Cultura y Deporte (MCD) ha sido apercibido por la AEPD por la deficiente política de privacidad y cookies de su plataforma «eBiblio». Se trata de un servicio gratuito de préstamo de libros electrónicos online ofrecido a través de las bibliotecas públicas españolas. Haciendo clic aquí pueden consultar la resolución de la AEPD.

El MCD encargó a un tercero la elaboración de la política de protección de datos de la plataforma, si bien no consta que haya dispuesto la formalización de un contrato de encargo del tratamiento o acto jurídico que regule el acceso a los datos personales de los usuarios de «eBiblio» por la adjudicataria a efectos de poder contar con una correcta y específica definición de los roles. Tal omisión del contrato de encargo constituye una infracción tipificada en el apartado 4.a) del artículo 83 del RGPD.

No fue la única infracción. También incumplieron el artículo 13 del RGPD, que se concreta en el deber de informar a los interesados sobre diferentes extremos, en concreto, se advierte que la información proporcionada sobre la identidad del responsable del tratamiento es incorrecta e incompleta, no se facilitan los datos de contacto del delegado de protección de datos, se indica que se pueden recoger datos de ubicación sin especificar finalidad, legitimación y plazo de conservación, se utilizan cookies estadísticas de terceros sin cumplir con las obligaciones de consentimiento para su instalación, se advierte de la posibilidad de almacenamiento de datos en Estados Unidos o Canadá sin especificar las medidas adoptadas para cumplir el RGPD en materia de transferencias internacionales y a mayores el apartado «Términos y condiciones» no parece redactado originariamente en castellano, de forma que se dificulta su comprensión. En términos generales, las políticas de privacidad y de cookies previstas para la plataforma fueron un desastre.

A pesar de los incumplimientos en los que incurre el responsable del tratamiento, la resolución de la AEPD se limita a un apercibimiento, con un requerimiento para subsanar las deficiencias advertidas en el plazo de seis meses, si bien su incumplimiento no implicará graves consecuencias, a diferencia de lo que ocurriría si la organización perteneciese al sector privado.

Apercibimiento como sanción

Cuando una Administración u organismo público incumple la normativa de protección de datos se sabe que la máxima sanción que impondrá la AEPD es un apercibimiento, o sea, una llamada al orden con propósito de enmienda. Por ello, muchas no se toman realmente en serio la protección de datos, a diferencia de lo que ocurre en el sector privado, en el que el temor a una sanción económica actúa como espada de Damocles sobre las cabezas de sus responsables.

Eso no ocurre en otros países. En el caso de Portugal, el Ayuntamiento de Lisboa fue sancionado con 1.250.000 € por vulnerar diversas disposiciones del RGPD, a saber, falta de licitud, vulneración de los principios de minimización, conservación de datos y transparencia en relación con el tratamiento de datos personales de promotores de manifestaciones.

No es la única sanción económica impuesta a una Administración pública por la Comissão Nacional de Proteção de Dados. También multó con 170.000 € al Ayuntamiento de Setúbal por el incumplimiento del principio de integridad y confidencialidad de los datos personales de refugiados ucranianos y por el incumplimiento de la obligación de designar un delegado de protección de datos.

La autoridad de control portuguesa, igualmente, sancionó con multa a organismos públicos como el Instituto Nacional de Estadística, que fue sancionado con 4.300.000 € por varias infracciones en el ámbito de la operación censal de 2021.

Conclusión

En España ni se sanciona económicamente a las Administraciones y organismos públicos, ni se exigen responsabilidades políticas en forma de cese o dimisión, cuando es sabido que las Administraciones y organismos públicos están en el punto de mira de los ciberatacantes (sólo hay que ver el listado de víctimas que dejo enlazado aquí). Por tal motivo, deberían cumplir escrupulosamente la normativa de protección de datos para asegurar la información. La realidad es que, una gran mayoría, no lo hacen, y así nos va. Igual la AEPD debería tomar ejemplo de nuestros vecinos portugueses, y ser más estricta con las Administraciones y organismos públicos, como lo es con las organizaciones del sector privado. 

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).