Protección de datos: la responsabilidad de las organizaciones
Añadir a alguien en un grupo de Whatsapp puede ser un hecho sancionable. El Comité de Córdoba de itSMF España mantiene una interesante reflexión sobre la importancia de cumplir la legislación de privacidad a partir de un caso de spam utilizando Whatsapp por un club deportivo de la ciudad.
El mundo de la seguridad de la información articula una serie de normas, unas orientadas como estándares de reconocimiento internacional (ISO) que son un conjunto de buenas prácticas de carácter voluntario, y otras de obligado cumplimiento. Como en el caso que nos ocupa de los datos personales, el Reglamento General de Protección de Datos (RGPD) de ámbito europeo y la LOPDGDD que encaja en el ordenamiento jurídico español la anterior, y tiene un ámbito nacional.
Existe, o debería existir, una inquietud por parte de las empresas en proteger de forma adecuada su información, y en el caso de que traten datos de carácter personal, y los datos personales.
Normalmente los cumplimientos legales obligatorios no suelen ser bien recibidos por parte de las organizaciones y la normativa de protección de datos no lo ha sido menos, ya que las partidas presupuestarias se destinan a otros menesteres, o simplemente el desconocimiento de dicha norma.
El problema de los cumplimientos legales es que existen organismos reguladores que hacen que se cumpla la norma. En el caso de los datos personales es la Agencia Española de Protección de Datos (AEPD) la que impone las sanciones oportunas por los incumplimientos que se haga de las normas de protección de datos.
En nuestra ciudad de Córdoba no estamos ajenos a esos incumplimientos. En concreto hace unos meses la AEPD sancionaba con 4.000€ a un club deportivo de nuestra capital por la inclusión a una persona en un grupo de Whattsapp con fines comerciales sin su consentimiento y después de diez años desde que había sido socia de dicho club, como se recoge en el procedimiento sancionador.
En este caso el principal problema es que, tras la reclamación de la afectada ante la AEPD y a pesar del requerimiento de información por parte del regulador con la empresa reclamada, ésta no dio respuesta, con lo cual esta empresa no tuvo oportunidad de justificar su actuación.
Finalmente, la AEPD admite a trámite la reclamación y resuelve en imponer 4 sanciones de 1000€ por incumplimientos:
• del artículo 6, al tratar los datos sin el consentimiento de la persona para la finalidad del uso comercial.
• del apartado 5.1e), por guarda los datos más allá del plazo establecido.
• del apartado 32.1 b) por no mantener la confidencialidad de los datos (número de teléfono, foto y nombre del perfil) al publicarlos en el grupo de Whatsapp.
• y del apartado 32.1 d) por no haber realizado adaptación al cumplimiento del RGPD, al no adoptar las medidas técnicas y organizativas oportunas.
Por todo lo visto es muy importante el compromiso de la organización en realizar estos cumplimientos normativos reportan a las organizaciones una serie de ventajas como:
• Cumplimiento legal.
• La mejora de la imagen de la organización.
• Mejora en seguridad y en la gestión de la organización.
• Satisfacción de los clientes/usuarios.
Entre todos estamos construyendo ese itSMF España que siempre habías imaginado: plural, transparente, activo e influyente. ¿A qué esperas? Únete a él.
Miguel A. Arroyo
Director del Comité de Córdoba de itSMF España