La privacidad del individuo viene amenazada por la rápida transformación de nuestro mundo en una era digital. El Derecho tiene como papel crear una ley que proteja dicha privacidad, salvaguardando los derechos fundamentales del ser humano dentro de la tecnología. Por tanto, tener conocimientos sobre los propios derechos en el mundo digital es una manera de proteger la propia privacidad e intimidad dentro de la digitalización. A raíz de este nuevo diálogo que emerge en nuestra sociedad, nacen preguntas como: ¿Estamos verdaderamente protegidos dentro del mundo tecnológico? ¿Es posible salvaguardar la identidad personal, comercial y laboral a través de la informática?
Recientemente la Agencia Española de Protección de Datos ha sancionado con 100.000€ (EXP202311182) a una compañía de alquiler de vehículos al considerar que su política de conservación de datos era demasiado genérica, que existían errores en la información facilitada al interesado y que su derecho de acceso no había sido atendido correctamente. Termina así abriendo la AEPD una investigación ante la falta de respuesta de OK MOBILITY a su cliente.
Para empezar, en este caso se vulnera el artículo 15 RGPD relativo al derecho de acceso, ya que el interesado no recibe respuesta alguna. Y teniendo en cuenta que el derecho de acceso en protección de datos es el derecho del individuo a dirigirse al responsable del tratamiento para saber si se están tratando sus datos personales y, en caso afirmativo, obtener información acerca del tipo del tratamiento que se está realizando, el responsable del tratamiento no estaría cumpliendo su obligación de responder a la solicitud.
Sin embargo, OK MOBILITY alega que el derecho no fue atendido en tiempo y forma debido a que este fue solicitado en alemán y la representación del solicitante no estuvo debidamente acreditada. A lo que la AEPD dictamina que el hecho de haberse presentado una solicitud en alemán no puede entenderse como un impedimento para el ejercicio de tal derecho, toda vez que el propio contrato ha sido firmado por la parte reclamante en alemán y a que la empresa presta sus servicios a interesados de tal país. Y en cuanto a la falta de representación aducida, si OK MOBILITY necesitaba acreditar la identidad de la parte reclamante, debió solicitarle tal información.
Otro punto para tratar es que los datos del responsable del tratamiento puestos a disposición del interesado no cuadraban con la realidad. Se constata una discrepancia entre el nombre del responsable y su CIF publicados en la política de protección de datos. Una de las herramientas que el RGPD exige a los responsables para demostrar la conformidad con el RGPD es el mantenimiento actualizado de los registros de actividades de tratamientos de datos que tienen bajo su responsabilidad y control. El propio artículo 30.1 RGPD nos lo señala diciendo que “cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad”. Por tanto, el RAT se trata de un documento que exige estar siempre actualizado.
Como hemos comentado anteriormente, en esta resolución, el CIF de la sociedad española, teórica responsable del Tratamiento, no se correspondía con el informado. Infringiendo el artículo 13.1 RGPD: “cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información relativa a este artículo”. Concretamente la letra a) cuando habla de la obligación de informar de la identidad y los datos del responsable del tratamiento. Por lo tanto, en este caso que estamos comentando, habría una incongruencia, ya que al reclamante se le estaría facilitando información errónea.
En la resolución, nuestra autoridad de control hace hincapié en lo relativo a la conservación de los datos, expresando la compañía que estos serán conservados mientras se mantenga la relación contractual con el cliente y con posterioridad a la misma, hasta que se comunique su supresión o hasta que legalmente sea necesario, si hubiese prestado su consentimiento. Con esto da un margen amplio no concretando absolutamente nada. Además, en respuesta al requerimiento de la AEPD de especificar la conservación, OK MOBILITY no ha detallado el plazo de conservación de los datos personales en función de su finalidad, sino que se hace una referencia genérica a que el plazo máximo de conservación de los datos personales será de 5 años, pero sin más información al respecto.
Tener en cuenta el principio de limitación del plazo de conservación es primordial, por lo que OK MOBILITY habría vulnerado también el artículo 5.1 e) RGPD: “los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales. Sin embargo, los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado”. Es por esto por lo que, a la hora de recopilar datos, las empresas deben ser conscientes de los requisitos legales y las buenas prácticas que ello conlleva. La conservación de los datos de carácter personal se encuentra por tanto directamente vinculada con la finalidad para la que los datos fueron recogidos. Por tanto corresponde al Responsable del tratamiento determinar los plazos para su supresión o revisión periódica atendiendo a todas y cada una de las finalidades para la que fueron recabados los datos. Siendo el periodo de conservación de datos antes de tener que ser eliminados, una parte importante de la gestión interna de la privacidad de la empresa, junto con llevar un registro y poder describir las medidas de seguridad, la base jurídica del tratamiento, la transferencia de datos fuera de la UE y las partes con las que se comparten los datos.
En conclusión, la reciente sanción impuesta por la AEPD a la empresa OK MOBILITY pone de relieve la importancia de cumplir con los principios del RGPD. Por lo tanto, el balance de las circunstancias contempladas en el artículo 83.2 del RGPD y 76.2 de la LOPDGDD sería:
- Por la presunta infracción del Artículo 5.1.e) del RGPD, multa administrativa de 20.000 euros por la obligación incumplida del plazo de conservación. Es decir, no se ha detallado el plazo de conservación de los datos personales en función de su finalidad.
- Por la presunta infracción del Artículo 13 del RGPD, multa administrativa de 30.000 euros, por incumplimiento de la obligación de información que deberá facilitarse cuando los datos personales se obtengan del interesado.
- Por la presunta infracción del Artículo 15 del RGPD, multa administrativa de 50.000 euros, por incumplimiento del derecho de acceso del interesado. Teniendo en cuenta, en cualquier caso, que debió informar al interesado sobre las razones de su no actuación y la posibilidad de presentar una reclamación ante la autoridad de control y ejercitar acciones judiciales.
El mundo de la protección de datos viene infravalorado de manera constante no sólo por las empresas sino también por los individuos, estando lejos de la concienciación de la importancia de esta para salvaguardar la propia intimidad. La necesidad de realizar campañas de concienciación es fundamental para poder alcanzar una esfera de seguridad y privacidad que convivan en armonía con la individualidad y el respeto de los derechos humanos.
Puedes consultar otros artículos de nuestro blog relacionados con plazos de conservación y ejercicios de derecho de acceso.
