Vicente Moncholí: ¿Está preparado para una inspección? La importancia de tener una asesoría profesional
Día Europeo de Protección de Datos 2016
Monográfico de la Asociación Profesional Española de Privacidad
+
+
Vicente Moncholí
Presidente Comité de Ética de APEP
+
Es notorio que en España gusta el juego, el juego que se practica en Casinos, Bingos, Loterías y Apuestas de todo tipo, con la novedad además del juego por Internet y medios de comunicación.
Pero a los españoles también le gusta el juego de apostar a aquello de “bah, a mí no me van a inspeccionar”, y en esa apuesta se juegan y arriesgan su empresa, su prestigio personal y profesional, su reputación digital, y hasta su patrimonio personal.
Esto lo vemos en múltiples situaciones: contabilidad en B, fondos para la formación continua empleados en consultorías “coste cero”, páginas web y comercio electrónico sin el menor o muy deficiente cumplimiento normativo, o… seguro que se les ocurren múltiples variantes de “a mí no…”, o esto de “pero si lo hacen todos…”.
Claramente se “apuesta” a una lotería en la que piensan que las probabilidades de acierto son muy bajas, pero está claro que en los sorteos de cada día siempre salen números “premiados”. Si la posibilidad de ser denunciado-inspeccionado estuviera determinado solamente por la probabilidad estadística hasta se podría pensar que es muy baja, una entre varios millones, de que la Agencia Española de Protección de Datos llame a su puerta con un requerimiento o una inspección, pero… resulta que las probabilidades de ser “agraciado” con un “premio” viene condicionado por el contexto cercano e inmediato de la entidad: empleados descontentos o desleales, clientes insatisfechos, proveedores descontentos, competidores con ganas, policía, autoridades municipales, autonómicas, servicios autonómicos de salud, sindicatos, auditores de cuentas, auditores de ISO´s,… es decir, múltiples actores que pueden crear problemas muy serios.
Por tanto, queda en manos de terceros y de su albedrío, que una entidad pueda ser denunciada-inspeccionada, y la probabilidad de que ocurra empieza a ser muy alta, con riesgos de: sanciones, hasta 600.000,00€ – Reputación en el mercado: incalculable, pero puede ser muy importante en la cuenta de resultados – Reputación digital: lo mismo – Costes de Gestión de Crisis: muy altos, miles o decenas de miles de euros – Costes legales de procedimientos: pueden ser miles de euros.
En nuestra opinión, el problema de una inspección-sanción no es solamente por el importe de la sanción, que lo es y mucho, sino también en la posible y muy probable pérdida de negocio por el impacto en la reputación mercantil-profesional-digital de la entidad.
Si nos ponemos en el caso de la inmensa mayoría de las PYMES en España, una sanción de solamente 60.000€ podría acarrear el cierre de la empresa o pérdidas continuadas en varios ejercicios, más los costes asociados a la defensa en el procedimiento y de gestión de la crisis.
Entonces, ¿Por qué se sigue apostando a no hacer nada, o contratar a profesionales y consultoras inmorales que solo hacen el cumplimiento formal documental, o encargar consultorías “coste cero” cometiendo presuntamente varios delitos? ¿Nos gusta tanto jugar que no valoramos el riesgo de que “toque” el premio gordo?
Vamos a poner dos ejemplos, que hemos conocido directamente, de inspecciones que han terminado bien para quienes estaban profesionalmente asesorados, y han terminado mal, muy mal, para quienes no se habían tomado en serio el cumplimiento DILIGENTE de las normativas.
CASO 1. Empresa de servicios en la que un empleado, incumpliendo el procedimiento de desechado de documentos, en este caso de fotografías, tiró un paquete al contenedor de papel en la vía pública. El contenedor fue volcado por los habituales depredadores y quedaron muchas fotos tiradas en la calle. Un viandante denunció a la policía el hecho, se presentó la policía en el contenedor y al observar lo ocurrido recogió las fotos y denunció ante la Agencia Española de Protección de Datos, que inició un procedimiento de inspección dada lo obvio de los hechos, calificando la infracción como Muy Grave (300.000€ mínimo de sanción). Durante el plazo de alegaciones se pudo evidenciar que los procedimientos internos habían sido vulnerados por el trabajador el cual había sido informado fehacientemente, se evidenciaron todas las medidas de seguridad que se aplicaban, los procedimientos internos para evitar las infracciones, etc… y la AEPD cambió la calificación a Grave (60.000€ mínimo de sanción), en las siguientes alegaciones se siguió evidenciando la diligencia y voluntad de cumplimiento y se solicitó la aplicación del art. 45 para reducir la gravedad de la infracción, con lo que se llegó a una propuesta de la AEPD de APERCIBIMIENTO (SIN SANCIÓN ECONÓMICA), en lo que el escrito final de alegaciones de la empresa se aceptó la sanción, incluyendo además las medidas adicionales a ser tomadas para evitar un nuevo caso, y entonces la AEPD envió la Resolución definitiva del Procedimiento Sancionador: ARCHIVO DE ACTUACIONES, es decir, exonerados totalmente.
¿Les parece importante estar preparados para una inspección y estar asesorados profesionalmente? De 300.000 euros a CERO hay toda una escala para pensar en ello.
CASO 2. Dos empresas firman un acuerdo de colaboración, una de ellas es titular de un recinto para espectáculos con abonados, la otra empresa es una promotora de espectáculos, muy distintos y con recintos propios.
La segunda empresa, en virtud del acuerdo, solicita a la primera empresa enviar una comunicación a todos los abonados de la primera para la publicidad de un espectáculo de su propia programación y en recinto propio.
La primera empresa proporciona un listado de etiquetas postales a la segunda empresa para que pueda hacer los envíos de los folletos publicitarios, se envían, y un abonado receptor denuncia ante la Agencia Española de Protección de Datos la recepción de publicidad a la que no había dado su consentimiento ni había sido informado por la primera empresa.
La Agencia Española de Protección de Datos abre Procedimiento Sancionador por Infracción Muy Grave a la primera empresa (300.000€ mínimo de sanción), e Infracción Grave a la segunda empresa (60.000€ mínimo de sanción).
Durante el periodo de alegaciones, para la segunda empresa se pudieron aportar evidencias de diligencia y voluntad de cumplimiento, de ser un caso único y aislado, y de la puesta en marcha de procedimientos para evitar su repetición, así como la petición de aplicación del art. 45 para rebajar la calificación de la gravedad de la infracción.
RESULTADOS: Para la primera empresa, la AEPD confirmó la sanción de 300.000€. Para la segunda empresa, se aplicó el art. 45, y una sanción de solamente 6.000€ (54.000€ menos)
CONCLUSIONES: ES EXTREMADAMENTE IMPORTANTE UN CUMPLIMIENTO DILIGENTE DE LA NORMATIVA, ACUMULANDO EVIDENCIAS DE VOLUNTAD DE CUMPLIMIENTO, Y ESTAR ASESORADOS POR UNA EMPRESA PROFESIONAL, COMPETENTE, CON EXPERIENCIA. LA SUPERVIVENCIA DE SU EMPRESA PUEDE DEPENDER DE ELLO.
En APEP encontrará a estos profesionales, no ponga su riesgo empresarial y/o su patrimonio personal en manos de incompetentes o aprovechados. Asimismo, en APEP se aplica un Código Ético muy estricto para asegurar la idoneidad y profesionalidad de sus miembros.
+
Vicente Moncholí
Presidente Comité de Ética de APEP
+
+
Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.