Ranking de las mayores multas por privacidad
El RGPD ya se traduce en sanciones multimillonarias. De momento, la Agencia española está entre las más moderadas
Ha sido una de las regulaciones que más ha removido los cimientos y estrategias de las empresas en la UE (y otras partes del mundo). En plena era de la información, hace poco más de un año y medio, el Reglamento General de Protección de Datos (RGPD) endureció las condiciones para los ciudadanos y las organizaciones que manejaran información personal ajena. Seguir sus dictados no es una opción: no hacerlo puede conllevar multas de hasta 20 millones de euros o el 4% de la facturación global de la compañía.
Desde su plena aplicación, han sido varias y elevadas las sanciones que han tenido que afrontar las empresas, sobre todo, fuera de nuestras fronteras. El momento en que el RGPD dio un primer golpe sobre la mesa fue con la sanción de 50 millones de euros que la Autoridad Francesa de Protección de Datos impuso a Google a principio de 2019. El organismo consideró que la información que se ponía a disposición de los usuarios no era fácilmente accesible y tampoco fácil de entender. Es decir, el tratamiento de los datos de los ciudadanos no estaba bien descrito y, por tanto, no se entendía su finalidad, lo que obligaba a hacer una búsqueda profunda.
El RGPD establece que para que el consentimiento del uso de datos se considere informado, el usuario debe conocer claramente para qué se van a emplear, un requisito que el organismo francés no vio bien implementado por el gigante tecnológico.
En Alemania, 14,5 millones de euros de sanción le costó a la compañía inmobiliaria Deutsche Wohnen no haber implementado efectivamente una política de conservación de datos, por guardarlos más tiempo del necesario. En Portugal, por otro lado, un hospital fue multado con 400.000 euros por dar acceso a datos de pacientes a través de perfiles falsos de médicos (tenía registrados 985 y solo trabajan 296), obteniendo acceso ilimitado a ellos independientemente de su especialidad.
Por su parte, la autoridad inglesa en la materia ha impuesto las dos sanciones más elevadas hasta la fecha. La más controvertida ha sido la de 204 millones de euros que recayó sobre la aerolínea British Airways por “falta de seguridad en la empresa” tras sufrir una brecha que afectó a unos 500.000 clientes, quedando al descubierto información sobre tarjetas de crédito (códigos de seguridad o fechas de expiración), e información de vuelos y reservas. Los responsables del ataque pudieron conocer los nombres, apellidos, direcciones físicas y de correo electrónico de los clientes.
En la misma línea, la cadena de hoteles Marriott sufrió una brecha de seguridad que supuso la exposición de unos 339 millones de registros de clientes de 31 nacionalidades del Espacio Económico Europeo. La autoridad inglesa afirmó que la compañía no llevó a cabo una due diligence adecuada cuando adquirió Starwood (la empresa cuyos sistemas habrían originado la brecha), por lo que propuso una sanción de 110 millones de euros.
“Lo que más preocupa a las empresas es lo que el cliente ve: las brechas de seguridad. Tener que notificar algo que va mal cuesta porque se juegan su reputación”, apunta Paula Garralón, abogada del área de protección de datos y privacidad de Bird&Bird, como uno de los puntos más vulnerables para las entidades (también en España).Como balance de la aplicación del RGPD, la abogada reconoce que el asunto pendiente del tejido empresarial es poner la privacidad en el centro del negocio y, sobre todo, “en los comités de dirección”. Así, integrar el principio de privacidad por diseño y por defecto, llevar un registro de actividades interno o establecer bien los consentimientos en comunicaciones comerciales son obligaciones que “cuestan” y en las que aún tropiezan las entidades. No obstante, afirma que se empieza a percibir que el respeto a la privacidad ya es un aliciente para contratar a una empresa u otra.
Por su parte, Ricard Martínez, director de la Cátedra de privacidad y Transformación Digital considera que son dos los grandes retos del cumplimiento normativo. En primer lugar, y para el experto, “el mayor caballo de batalla” es que la cultura de la seguridad de los datos cale fuertemente es las compañías. Y, en segundo término, la integración de la protección de datos por diseño y por defecto en el desarrollo de software con todas las garantías para el usuario. “En general, necesitamos un importante grado de madurez”, afirma Martínez, quien percibe y lamenta que las políticas de privacidad de las empresas no sean más claras, sencillas y entendibles que antes de llegada del RGPD.
¿Y en España?
Aunque antes de la llegada del RGPD, España era uno de los países donde se imponían las multas más duras por vulnerar la protección de datos, de momento, no destaca por haber impuesto grandes sanciones. De hecho, la más elevada hasta la fecha es la que la Agencia Española de Protección de Datos (AEPD) impuso a LaLiga: 250.000 euros por incumplimiento del principio de licitud, lealtad y transparencia.
El organismo deportivo puso en marcha nuevas funciones de su aplicación en la captación de audio y geolocalización para detectar fraudes en establecimientos públicos no autorizados. Indicaron que el micrófono solo se activaría cuando se estuvieran disputando partidos de competiciones de fútbol de LaLiga. Según la AEPD, en el momento de activación del micro, no se mostraba ningún icono, marca o señal que indicase que se estaba utilizando, de modo que no se podía descartar que los usuarios no estaban siendo vigilados permanentemente y, por tanto, no podrían decidir cuándo retirar el permiso.
Hace poco, la AEPD sancionó con 60.000 euros a RTVE por la pérdida de seis USB con datos sensibles de la plantilla.
Otras sanciones
Países Bajos: La autoridad holandesa (Dutch Supervisory Authority for Data Protection), ha impuesto dos sanciones muy relevantes asociadas a la falta de medidas de seguridad suficientes. En primer lugar, una aseguradora no había implementado sistemas de autenticación múltiple que impidiesen el acceso a datos de salud de empleados, por lo que dicho no acceso no autorizado vulneraba la obligación de adoptar medidas de seguridad suficientes durante el tratamiento de los datos. La autoridad impuso una multa condicional de 150.000€ por cada mes que no se subsanase el incumplimiento (hasta un límite de 900.000€).
La segunda sanción fue impuesta a un hospital por no garantizar una seguridad adecuada de los registros de pacientes; una persona muy conocida en Holanda ingresó en el hospital y decenas de empleados pudieron acceder a su historial médico. La sanción también condicional, obliga al hospital a pagar una multa de 100,000 euros cada dos semanas (con un límite de 300,000 euros) hasta que subsane el incumplimiento.
Francia. La autoridad gala también sancionó a una aseguradora de auto con una multa de 180.000 euros debido a que grandes cantidades de documentos y datos personales de clientes eran fácilmente accesibles online(no habían adoptado sistemas de autenticación como por ejemplo nombre de usuario y contraseña).
Polonia: La Polish National Personal Data Protection Office (UODO) impuso una multa de 645.000 euros a una tienda online de electrónica por no haber adoptado suficientes medidas organizativas y técnicas que impidiesen el acceso no autorizado a datos personales, tras una brecha de seguridad que dejó al descubierto datos de más de dos millones de clientes.