La Agencia Española de Protección de Datos intensifica su actividad sancionadora en 2023
Publicado el 23rd mayo 2024
Las reclamaciones ante la AEPD se duplican en solo tres años
En la actual era digital, donde la información se ha convertido en un recurso de incalculable valor para la economía, la protección de datos personales emerge como un pilar fundamental para preservar los derechos de los ciudadanos. En este contexto, la Agencia Española de Protección de Datos (AEPD), actuando como autoridad de control independiente, juega un papel crucial en la supervisión del cumplimiento de la normativa de protección de datos en España.
El 11 de abril de 2024, la AEPD publicó su Memoria Anual, ofreciendo un análisis detallado de su actividad en el transcurso del año 2023. Este informe expone las diversas iniciativas llevadas a cabo por la Agencia, desde campañas de concienciación hasta actividades de inspección, junto con un análisis exhaustivo de las tendencias legales y de privacidad, tanto a nivel doméstico como global.
Incremento de reclamaciones presentadas ante la AEPD
No obstante, lo que más llama la atención de este informe es el elevadísimo aumento en el número de reclamaciones recibidas por este organismo.
Por tercer año consecutivo, la AEPD ha registrado un récord en el número de reclamaciones recibidas, superando las 21.590. Esto representa un aumento del 43% en comparación con 2022 y del 55% respecto a 2021. Este aumento se debe en parte a las reclamaciones relacionadas con la recepción de publicidad no deseada, que han experimentado un incremento del 114% respecto al año anterior.
Menos sanciones, pero mayor cuantía total
En el año 2023, la AEPD impuso 367 sanciones, lo que supone una ligera disminución del 3% en comparación con las 378 sanciones de 2022. Sin embargo, la cuantía total de las multas impuestas en 2023 ascendió a casi 30 millones de euros, lo que representa un aumento del 44% con respecto al año anterior. Este fenómeno sugiere una posible estrategia de la AEPD en enfocar sus esfuerzos en perseguir infracciones de mayor relevancia económica.
Algunas de estas multas alcanzaron cifras millonarias, y para entender cómo se pueden alcanzar estos importes tan elevados, es crucial analizar los factores que influyen en la fijación de las sanciones. Las Directrices 04/2022 sobre el cálculo de multas bajo el Reglamento General de Protección de Datos, emitidas por el Comité Europeo de Protección de Datos, proporcionan una guía clara sobre los criterios utilizados.
Las seis áreas de actividad con el mayor importe acumulado de multas, que constituyen el 89% del total, son las infracciones relacionadas con brechas de datos personales −que pasa de unos 821.00 euros en 2022 a casi 13 millones en 2023−, entidades financieras y acreedoras, derechos de protección de datos, contratación fraudulenta, telecomunicaciones y servicios de Internet.
El uso de sistemas biométricos en el punto de mira
En relación con el ejercicio de la potestad sancionadora de la AEPD, además de esta tendencia alcista general reflejada en su Memoria Anual de 2023, cabe destacar la reciente atención que durante este 2024 la AEPD ha venido prestando al uso inadecuado de sistemas biométricos de huella dactilar para el control de acceso.
Esta nueva línea de actuación se produce tras la publicación en noviembre de 2023 de la Guía de la AEPD sobre tratamientos de control de presencia mediante sistemas biométricos. Dicha guía establece los requisitos y medidas que deben cumplirse para que el tratamiento de datos personales mediante tecnología biométrica para control de acceso, ya sea con fines laborales o no laborales, se ajuste a la normativa vigente en materia de protección de datos personales.
La AEPD ha empezado a aplicar los criterios establecidos en esta guía y está siendo contundente con las empresas que cometen irregularidades en el manejo de datos biométricos. Un ejemplo de ello es la sanción impuesta a un gimnasio, que fue multado con 27.000 euros por requerir la huella dactilar de sus usuarios para el acceso a las instalaciones.
Asimismo, una empresa de externalización fue sancionada con 365.000 euros por solicitar la huella dactilar a sus empleados para el registro de jornada, sin informar debidamente de ello ni aplicar las medidas de seguridad adecuadas. Recientemente, un club de fútbol también fue sancionado con 200.000 euros por requerir este tipo de dato biométrico para el control de acceso al estadio, incumpliendo con la normativa vigente.
Estas resoluciones de la AEPD ponen de manifiesto la rigurosidad y complejidad que conlleva el tratamiento de datos biométricos tras la publicación de esta guía. Aunque no está directamente prohibido el uso de datos biométricos para el control de presencia, en la práctica, resulta muy complicado debido a la dificultad de justificar una base jurídica que legitime su uso.
Además, es necesario llevar a cabo una evaluación de impacto en materia de protección de datos previa para evidenciar que se ha superado el triple juicio de necesidad, idoneidad y proporcionalidad, así como implementar correctamente las medidas suficientes que garanticen la seguridad de los datos personales tratados mediante estos sistemas biométricos.
Comentario Osborne Clarke
El incremento significativo en el número de reclamaciones presentadas ante la AEPD es un claro indicativo de una mayor conciencia pública sobre la privacidad y el derecho a la protección de datos.
Este fenómeno unido al incremento del rol consultivo y supervisor de la AEPD que se vaticina este 2024 pone de manifiesto una vez más la necesidad de que las empresas consideren el cumplimiento de la normativa de protección de datos como un componente crítico de su estrategia corporativa.
