Las Pymes son las mayores perjudicadas por las sanciones impuestas en la LOPD porque, en ocasiones, supone la quiebra del negocio. Esto ha provocado que en la Ley de Economía Sostenible se hayan reducido las sanciones menos graves. Además, se ha establecido la posibilidad de que antes de sancionar se produzca un apercibimiento para que se subsane el error sin llegar a la multa.
De los tres millones de Pymes que hay en España, el 80% tiene datos de clientes, proveedores, empleados y contactos. Pero muchas de ellas los guardan sin saber cómo gestionarlos y protegerlos. Por ese motivo, el pasado 13 de mayo, Infodese organizó una jornada sobre la “La protección de datos de carácter personal. Responsabilidades y su aseguramiento” en las que se aportaron las novedades de la Ley de Economía Sostenible y las diversas formas de asegurarse sobre ese riesgo. Por ejemplo, Cristina Almuzara, asesora jurídica del Grupo Aktiv Kapital, aconseja que “cuando acabe la relación con un cliente, no se elimine la información de sus datos por si acaso se produce alguna reclamación. Pero sí es necesario bloquearla para que no se pueda acceder a ella”.
También es importante, según Almuzara, “poner la fecha en la que ha llegado la reclamación o cancelación de datos, para comprobar los plazos que existen para contestar. En el caso del derecho de acceso es de 30 días, mientras que en el de los derechos de cancelación/rectificación y el de oposición, se reduce a 10 días”. La asesora jurídica de Aktiv Kapital, fue clara en el comportamiento que se debe tener cuando te realizan una inspección por parte de la Agencia de Protección de Datos (APD): “les tienes que proporcionar todo lo que te pidan y no te puedes negar a que entren, porque supondría una sanción grave con la multa correspondiente”. Si descubren algo, hay que saber que tienen un año para tramitar la denuncia, pasado ese tiempo, prescribe. En cuanto a las infracciones, tienen diferentes periodos de prescripción desde el día que se cometieron: las muy graves son tres años; las graves, dos años; y las leves, un año.
La Ley de Economía Sostenible –LES- (publicada a primeros de 2011) ha establecido algunos cambios en la protección de datos de la Ley Orgánica de Protección de Datos -LOPD- (de 1999). Entre otras cosas, ha modificado las sanciones leves: aunque las mínimas han subido a 900 euros (antes eran 601,01), las máximas leves y las graves mínimas se ha reducido en 20.000 euros. El resto quedan más o menos igual. Además, se añade un nuevo apartado 6 al artículo 45 en el que se dice que “excepcionalmente, el órgano sancionador podrá, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior; no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos: que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley; que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento”. Esta medida se ha tomado, según Almuzara, “para evitar que las Pymes que hayan cometido alguna infracción cierren por no poder hacer frente a las cuantiosas sanciones. La APD les avisa de que pueden ser sancionados y si siguen infringiendo la Ley, les multa”.
Además de las sanciones administrativas que pueda imponer la Agencia de Protección de Datos, existe la posibilidad de que los afectados soliciten una indemnización por el daño sufrido. Álvaro Oliete, letrado de Santiago Mediano Abogados, explica que “los interesados que, como consecuencia del incumplimiento de la LOPD, sufran un daño o lesión en sus bienes o derechos pueden reclamar una indemnización en la vía civil, penal, contencioso administrativa y laboral, acreditando el daño que se ha causado”.
No obstante, hay que saber que dada la naturaleza extracontractual del caso, el perjudicado dispone de un año para reclamar antes de que prescriba. Ese plazo comienza desde el momento en que el agraviado tuvo conocimiento del hecho. Oliete comenta que “tanto el responsable del fichero y como el encargado del tratamiento, responden solidariamente de la inadecuada ejecución de sus obligaciones”.
Para evitar problemas, recomienda que “los empleados o dependientes que tengan acceso directo a los datos personales dentro del desarrollo de sus funciones, estén sujetos al deber de secreto o confidencialidad (art. 10 de la LOPD) y es recomendable que se establezca en el contrato laboral que firme el trabajador”.
Eduardo Guinea, responsable de Desarrollo de Negocio de Líneas Financieras de Chartis, explica que “por el momento, hasta que no se publique una Ley que lo impida (está en tramitación), sí se puede asegurar”. Aunque no en todas las pólizas, sólo en una de Pérdidas Pecuniarias Directas, ya que hay una pérdida económica. No obstante, Guinea aclara que “solo cubre la actitud negligente o culposa, pero no la actitud dolosa (es decir, hacer algo aun sabiendo que estás cometiendo un daño)”.
El seguro puede cubrir las reclamaciones por responsabilidad (con los gastos de defensa e indemnizaciones), las inspecciones o los procedimientos administrativos (con los gastos legales y las sanciones) y los daños a la reputación de la empresa y de las personas (con los gastos de restitución de imagen). Además, dispone de una retroactividad ilimitada, siempre y cuando se tenga conocimiento de la reclamación con posterioridad a la entrada en vigor del seguro. Entre las exclusiones de la póliza está el dolo, el incumplimiento de los requerimientos de la APD que no se cumplan y los problemas de infraestructuras o sistemas informáticos y los fallos eléctricos, entre otros.
www.pymeseguros.com