Cómo y porqué podrían sancionarte si tienes un blog


¿Sanciones RGPD en mi blog?

¡Venga!

La posibilidad de ser sancionado por incumplir el RGPD en tu blog te parece tan improbable cómo absurda. Pero no es el cuento del coco, créeme.

¿De verdad pueden sancionarte si sólo tienes un blog?

¿Crees que nadie va a denunciar a un blog que sólo tiene datos de suscriptores?

¿Crees que sólo reciben sanciones empresas como Facebook o Vueling?

Las leyes son para todos y están para cumplirse, grandes y pequeños, empresas o autónomos, con grandes volúmenes de datos tratados o unos pocos y el incumpliendo implica exponerse a toda la maquinaria sancionadora.

 

Pero no desesperes, siempre puedes evitarlas, así que sigue leyendo.

Por supuesto el riesgo no es el mismo ni la cuantía de las sanciones, pero eso no significa que los blogs estén exentos de sufrir sanciones por incumplimiento del RGPD.

En este post sólo voy a explicar aspectos concretos por los que un blog podría ser sancionado y las cuestiones que realmente afectan a un blog.

¿Dónde se regulan las sanciones a un blog?

No hay un apartado específico para blogs, las infracciones en general se recogen en 2 regulaciones:

  1. En el RGPD, las sanciones están recogidas en los apartados 4, 5 y 6 del artículo 83
  2. En la a LOPDGDD en el Título IX.

¿Que blogs pueden ser sancionados por el RGPD?

No sé dónde sale sale el bulo colectivo que dice que sólo  pueden ser sancionados los dominios .es

Mi web no podría ser sancionada por ejemplo ya que es .com

¿Estamos tontos?

No sé de dónde sale ese razonamiento tan disparatado y absurdo, que he tenido que desmentir en varias ocasiones en Twtter:

  • Si tu blog está localizado  en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o
  • Si tu blog está fuera de la UE  pero ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.

Infracciones muy graves que puede cometer un blog

Entre las infracciones MUY GRAVES por las que pondrían sancionar a un blog están las siguientes (he omitido las que no afectan a los tratamientos realizados en un blog)

  • El tratamiento de datos personales vulnerando los principios y garantías establecidos por el RGPD, por tanto, si nos los conoces, es posible que te los saltes, por ejemplo, el ejercicio de derechos, si no tienes un procedimiento para el ejercicio y modelos de respuestas, tendrás muchas posibilidades de entrar en modo infractor. Aquí todas las obligaciones para cumplir con el RGPD en tu blog.
  • El tratamiento de datos personales de forma ilícita: como compra de leads, falta de consentimiento válido al enviar tus boletines, etc.
  •  El incumplimiento de los requisitos para la validez del consentimiento; es decir, que sea informado, previo, inequívoco, específico, verificable y obtenido mediante una acción afirmativa, en un blog, el tener formularios sin check box y sin informar, ya te pone en posición infractora y con riesgo alto de sanción. En este post te explico cómo adaptar tus formularios al RGPD.
  • La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos: por ejemplo, que utilices los datos de suscriptores para enviarles ofertas comerciales si no has pedido permiso para esa finalidad previamente o para enviarles boletines de un colaborador, también sin el correspondiente consentimiento.
  • El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos de los afectados. Esto es algo bastante común y una de las prácticas más torpes y peligrosas que puede cometer un blog: no permitir la baja automática de los suscriptores de una lista. Sera un claro ejemplo de obstaculización de derechos de los afectados.
  • No facilitar el acceso de la autoridad de control de protección de datos para el ejercicio de sus poderes de investigación, básicamente, obstaculizar la investigación de la AEPD.

 


Infracciones graves en un blog

Entre las infracciones graves en las que puede incurrir un blog se encuentran las siguientes:

  • El tratamiento de datos personales de un menor de edad sin recabar el consentimiento adecuado: cuidado con no advertir sobre menores de edad en tu política de privacidad y si tu blog se dirige a menores, asegurarte de que cuentas scon el consentimiento de sus padres o tutores legales.
  • El impedimento o la obstaculización o la no atención reiterada de los derechos de los   afectados: por es tan necesario que tengas un mecanismo para permitir el ejercicio de derecho y procedimientos claros de respuesta en cada caso.
  • La falta de adopción de aquellas medidas técnicas y organizativas que resulten   apropiadas para aplicar de forma efectiva los principios de protección de datos: recuerda que no vale con poner unos textos legales en tu web, además, necesitas incorporar medidas de seguridad que garantices la integridad, disponibilidad y confidencialidad de la información que trates en tu blog, empezando por tener un certificado https..
  • La falta de adopción de las medidas técnicas y organizativas apropiadas para   garantizar que, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento: Esto significa que no puedes hacer un batiburrillo con tus bases de datos ni un  totum revolutum, tus bases de datos deben estar actualizadas, depuradas y ser utilizadas con la finalidad con la que has recogido esos datos, es decir, no puedes incluir a tus clientes en tu lista de suscriptores ni meter a suscriptores en listados de afiliados por ejemplo.
  • La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas: un hosting, un web máster, una herramienta de email marketing, si no cumplen y los contratas, entras en modo infractor.
  • Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato de acuerdo con el artículo 28.3 del Reglamento (UE) 2016/679: es decir, debes tener contratos de encargo firmados con cada uno de tus colaboradores o prestadores de servicios.

Infracciones leves en un blog

Finalmente, tenemos las infracciones leves, que no evitarán un disgusto mayúsculo.

  • El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida : que no tengas políticas de privacidad claras, cláusulas específicas en tus formularios, es un motivo de sanción, lo mismo que tenerlas incompletas o mal redactadas, por eso el copy paste no es una buena idea.
  •  Disponer de un Registro de actividades de tratamiento que no incorpore toda la  información exigida por el RGPD: debes considerar la necesidad de tener un registro actualizado y personalizado, si sólo tienes un blog, con el programa Facilita de la AEPD podrás subsanar este requisito.

¿Qué factores determinan el importe de la sanción RGPD a un blog?

En el caso del RGPD, en su artículo 83, se establece que las sanciones serán “individuales, efectivas, proporcionadas y disuasorias

¿Esto que significa?

Que las sanciones dependerán de las circunstancias de cada caso, y la decisión y cuantía de estas serán impuestas en relación a:

  • La naturaleza, gravedad y duración de la infracción;
  • Intencionalidad o negligencia en la infracción;
  • Medidas tomadas por el responsable o encargado del tratamiento para paliar los daños.

 

y también

  • Del grado de responsabilidad del responsable o del encargado del tratamiento, es decir, no es lo mismo que cometas la infracción tu a que la comenta tu encargado de tratamiento y viceversa.
  • De las infracciones anteriores: si eres reincidente, la cosa se complica
  • De la cooperación con la autoridad de control, mejor que seas colaborativo
  • De las categorías de datos afectados por la infracción: no es lo mismo si se trata de datos sensibles o especialmente protegidos o de datos básicos.
  • La forma en que la autoridad de control tuvo conocimiento de la infracción: si eres proactivo en asumir la responsabilidad, mucho mejor.

Por otra parte, la LOPDGDD 3/2018 añade otras cuestiones que pueden determinar el costo de la sanción, aumentarlo o disminuirlo:

  • El carácter continuado de la infracción: no es lo mismo un fallo puntual que un fallo continuado que vulnere derechos de las personas cuyos datos estén tratando.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos personales;
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción, como en el caso del periódico que publicó los datos de la víctima de la manada
  • La afectación a los derechos de los menores;
  • Disponer, cuando no fuere obligatorio, de un delegado de protección de datos (esto reduciría el coste de la sanción)
  • El sometimiento por parte del responsable o encargado, con carácter voluntario, a  mecanismos de resolución alternativa de conflictos.

El  «modus operandi» de la AEPD

Cómo ejemplo de cómo se aplican los factores atenuantes, en el caso de Vodafone, en el propio procedimiento sancionador, se le da a Vodafone la posibilidad de reducir una sanción de 60.000€ si reconoce su responsabilidad dentro del plazo propuesto que se expone de la siguiente manera:

“También se le informa de que, de conformidad con lo dispuesto en el artículo 85.1 LPACAP, podrá reconocer su responsabilidad dentro del plazo otorgado para la formulación de alegaciones al presente acuerdo de inicio lo que llevará aparejada una reducción de un 20% de la sanción que proceda imponer en el presente procedimiento, equivalente en este caso a 12.000 euros. Con la aplicación de esta reducción, la sanción quedaría establecida en 48.000 euros, resolviéndose el procedimiento con la imposición de esta sanción”

Y también:

“La reducción por el pago voluntario de la sanción es acumulable a la que corresponde aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento de la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular alegaciones a la apertura del procedimiento”

Es decir:

  • Mejor que lo reconozcas tu responsabilidad
  • Que lo renazcas rápido

Al final, Vodafone sólo tuvo que pagar 36000€, vamos, un chollo.

¿Siempre me van a sancionar aunque sólo tenga un blog?

El RGPD prevé la posibilidad de que la sanción económica sea sustituida por un apercibimiento, para que el infractor adopte las medidas correctoras que se le indiquen. Pero esta medida es excepcional y se da en pocas ocasiones.

¿Por cuánto me pueden sancionar si sólo trato datos en un blog?

Según el RGPD, las sanciones pueden llegar hasta los 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la compañía infractora, pero si tienes un blog, es evidente que las multas serán proporcionadas.

En caso de que tu blog sea denunciado ante la AEPD, esta puede:

  • Recabar la información precisa para el cumplimiento de sus funciones
  • Realizar inspecciones
  • Solicitar la exhibición o el envío de documentos o datos necesarios
  • Examinarlos, obtener copia e inspeccionar los equipos
  • Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación

Algunas sanciones míticas de la AEPD a webs y apps

Conclusión: ¿merece la pena tener un blog margen de la legalidad?

El valor que tiene la privacidad y el derecho de las personas a tener el control sobre su propia información deberían constituir una ventaja competitiva para tu blog y un requisito indispensable que no todos los Bloggers acaban de comprender.

En este post explicó con detalle porqué es tan importante la legalidad en un blog, vendas o no.

Pero lo cierto que el no cumplir también pone a tu blog en zona de riesgo y puede ser sancionado y son muchos los motivos por los que pueden sancionarte como habrás podido comprobar en este post.

Estas leyes también marcan las fronteras entre los blogs legales y los ilegales.

¿De que lado quieres que esté tu blog?

Congratulations Felicidades Sticker by Topes de Gama for iOS & Android | GIPHY

¿Cómo puedes adaptar tu blog para evitar sanciones RGPD en tu blog?

Tienes suerte si has llegado hasta aquí porque he desarrollado soluciones muy específicas,reales y eficaces para adaptar tu blog a estas regulaciones y evitar sanciones.

Tienes 4 KITS RGPD para elegir. Busca el que mejor se adapta a tu web.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Suscríbete hoy

Convierte tu web en un

espacio confiable, seguro y 100% legal

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad. *

marinabrocca.com te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Marina Brocca como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: responder a los comentarios enviados a través de la web.

Legitimación: Consentimiento del interesado.

Destinatarios: Hosting: Bitlabs Ingeniería de Software, S.L. Debes saber que mi hosting es 100% español y 100% seguro.

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en hola@marinabrocca.com así como el derecho a presentar una reclamación ante una autoridad de control.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Información adicional: Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: marinabrocca.com, así como consultar mi política de privacidad.