El mes pasado os hablamos sobre la importancia y el beneficio de tener la página web de vuestra farmacia adaptada correctamente a la normativa de protección de datos, mencionando también los aspectos negativos que podíais encontrar por no cumplir con las obligaciones que la LSSI nos marca. Os dejo el enlace para refrescarlo "
Protección de datos web, ¿obligación o beneficio?". Hoy, me gustaría que reflexionaseis sobre una de las consecuencias que comentamos, las
consecuencias económicas.
Empezaremos por recordar cuanto puede suponer una multa por no tener perfectamente adaptada la web de la farmacia. Sé que es algo que todos hemos oído un millar de veces pero aun así no tomamos en serio en la mayoría de ocasiones. A modo de resumen,
las sanciones por incumplir el RGPD (el reglamento de protección de datos en vigor)
pueden ascender hasta los 20 millones de euros o el 4% del volumen de negocio global anual del ejercicio financiero anterior de la empresa, en este caso de la farmacia. Además, como ya dijimos, hay otras normas que afectan a la protección de datos on line, como es la LSSI, pues bien,
las sanciones por incumplir esta norma pueden ascender hasta los 600.000 euros, e incluso la prohibición de actuación en España si se reitera la infracción durante un plazo máximo de dos años.
Puede que nos parezcan excesivas, y sobre todo nos hace tener la percepción que esto está lejano para una farmacia y que solo se sancionan webs de grandes empresas con venta y que vosotros por tener un simple formulario de contacto o un blog no vais a ser sancionados. Pero, a modo de ejemplo,
una sanción grave según la LSSI es el envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario
cuando no se tenga el consentimiento expreso o no se facilite la información necesaria según la normativa. Por tanto, no es tan complicado cometer una infracción, incluso por desconocimiento de la norma, ya que la comunicación con los clientes- pacientes es habitual.
"Una sanción grave según la LSSI es el envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario cuando no se tenga el consentimiento expreso o no se facilite la información necesaria según la normativa"
Además, al margen de como sea la página web de vuestra farmacia, el hecho de incumplir con lo establecido en la LSSI, provocará que la Agencia Española de Protección de Datos (AEPD) pueda realizaros una inspección en la farmacia, de la que os avisarán con un solo día de antelación y donde os pueden solicitar:
- Que le mostremos o enviemos una copia de los documentos o datos necesarios para examinarlos (consentimientos, políticas de privacidad…),
- Acceder a los locales para inspeccionar equipos,
- Requerir la ejecución de tratamientos y programas
- Examinar los sistemas o procedimientos del tratamiento sujetos a investigación.
Sé que otro de los grandes consuelos de muchos de los que tenéis páginas web es que nunca os han sancionado y que prácticamente creéis que las inspecciones en protección de datos son nulas y que no os va a tocar a vosotros. Pues permitirme que os diga que eso también es un error. Las inspecciones pueden venir por dos vías:
Denuncia de un usuario
Si comparamos con los últimos años, podemos observar como hoy en día con toda la información que hay en internet y las redes sociales, la gente está muy concienciada con la protección de sus datos. Hace unos años solo los entendidos en la materia prestaban atención al tratamiento de sus datos personales, pero ahora podemos ver cómo los ciudadanos ya se han acostumbrado a ejercitar sus derechos ante cualquier tratamiento de datos, y muchas veces sin ningún motivo aparente, solo por despecho, pueden poner una denuncia y activar el funcionamiento de la maquinaria legal, con el consecuente perjuicio que nos acarreara, aunque esta denuncia sea sin fundamento. Debemos pensar que las denuncias más habituales provienen de exempleados, clientes insatisfechos, competidores, personas “con facilidad para reclamar”, pero cualquier persona puede hacerlo ya que efectivamente la normativa nos ampara a todos, como usuarios, para ejercer nuestros derechos y no permitir la vulnerabilidad de nuestros datos. En definitiva, todo esto hace que las denuncias hayan ido incrementándose en los últimos años.
Por la propia AEPD
En este caso no es necesario que haya ninguna denuncia, sería una inspección de oficio porque la Agencia lo ha determinado así. Es cierto que este caso no es muy habitual, pero debemos pensar que las pocas inspecciones que ha habido en este sentido, han sido a empresas de gran tamaño como es el caso de telefonías y aquellas que tratan datos especialmente protegidos, de salud como por ejemplo pudieran ser las oficinas de farmacias.
Ejemplos de sanciones de protección de datos a pequeñas y medianas empresas:
Y como final para el artículo de hoy, os dejo las últimas sanciones que hemos conocido:
- 3000€ al titular de cadena de mobiliario por no tener en sus páginas webs un mecanismo que permita rechazar las cookies, además de no informar de la finalidad de las mismos. (PROCEDIMIENTO Nº PS/00126/2020)
- 4000€ al titular de una clínica de estética por no tener en su web los textos legales (aviso legal, política de privacidad, etc.) y por no cumplir con lo exigible respecto a las cookies. Además de no informar ni recoger el consentimiento en la página web, tampoco pudo demostrar que lo hiciera físicamente en los locales de la clínica. (PROCEDIMIENTO Nº PS/00317/2020)
- 6000€ para una pequeña asesoría por no tener en la web las políticas exigibles, no tener correctamente el aviso y política de cookies y por enviar publicidad sin consentimiento. (PROCEDIMIENTO Nº PS/00319/2020)
- 8000€ a una entidad de consultoría empresarial por infracciones en la Política de Cookies de sus páginas webs, ya que en algunas de ellas no existía ningún banner que informe sobre la utilización de cookies, así como la utilización de cookies innecesarias en la página principal de dicha empresa. (PROCEDIMIENTO Nº PS/00385/2020)
Como veis, muchas de ellas son a empresas relacionadas con la salud, como podrían ser las farmacias, y lo más importante que son empresas pequeñas, una clínica, una asesoría… Por tanto, no nos confiemos y tratemos de buscar la solución que mejor proteja los datos de nuestros clientes-pacientes, cumpliendo con las normativas de protección de datos tanto en la farmacia como en la farmacia on line.
Si tienes dudas sobre el cumplimiento de la norma en tu web, tengas venta on line, o un simple formulario, déjanos tus datos en el
formulario y revisaremos tu web para tratar de asesorarte.
María Cerón Polo
Consultora protección de datos Audifarma
