BALANCE RGPD 2: UN FOCO SOBRE LAS SANCIONES

BALANCE RGPD 2: UN FOCO SOBRE LAS SANCIONES

Siguiendo con el balance que realizamos en nuestro post anterior  sobre el comienzo de aplicación del Reglamento europeo sobre la protección de datos (RGPD), aquí trataremos de las sanciones que se han ido aplicando en estos primeros dos años. Pondremos un foco particular en las sanciones más significativas.

Con la entrada en vigor del Reglamento, el monto de las sanciones financieras susceptibles de ser pronunciadas contra las empresas se ha multiplicado: hasta los 20 millones de euros o el 4% de la facturación mundial global.

Estas cantidades sin duda han estado en el origen del fenómeno mediático que ha atraído la atención sobre el Reglamento. De hecho, cuando entró en vigor en mayo 2018, el RGPD hizo correr ríos de tinta, tres veces más que Mark Zuckerberg y superó a superestrellas estadounidenses tales como Beyonce o Kim Kardashian en cuanto a consultas en el buscador de Google [1].

1. La casi-totalidad de las empresas interesadas

El monto de las sanciones a las que se puede incurrir es suficiente para causar sudores fríos a las empresas que procesan datos personales, que son muchas. Recordemos que la definición de “dato de carácter personal” cubre todo dato que permita identificar directamente o indirectamente a una persona. Es, por ejemplo, el caso del nombre, apellido, dirección electrónica, número de la seguridad social de una persona, pero igualmente de los datos colectados por las cookies presentes en la mayoría de las páginas web.

En países, como Francia, la CNIL (Commission Nationale de l’Informatique et des Libertés) se considera incluso que los datos relacionados con los trayectos en coche, el estado de desgaste de las piezas, las fechas de los controles técnicos, el número de kilómetros o el estilo de conducción pueden constituir, igualmente, datos personales cuando son susceptibles de ser relacionados con una persona física [2].

En España, una emprendedora ha desarrollado el primer test que permite medir el nivel de ciberseguridad de los automóviles conectados (Eurocybcar) [3]. La empresa considera que, de la misma forma que se sabe que un vehículo es seguro, el usuario también debería poder conocer si es ciberseguro. Recordemos que los coches de hoy son unos enormes ordenadores sobre cuatro ruedas, por lo que están expuestos a todo tipo de virus informáticos, así como al ataque de un ciberdelincuente, por lo que es importante tomar medidas para evitarlo. Como mínimo, el vehículo debería tener la misma protección que tienen nuestro móvil, el ordenador del trabajo y el de casa. [4]

Los objetivos y desafíos del RGPD [5] son claros: proteger y reforzar los derechos de los usuarios, asegurar la confianza y responsabilizar a las empresas en el tratamiento de los datos de carácter personal

2. Una nueva graduación de las sanciones

Como anticipo de la entrada en vigor del RGPD, las sanciones previstas por la LOPD poco a poco se fueron reforzando.

Anteriormente, las sanciones, establecidas en la LOPD y en el Proyecto de la Ley Orgánica de Protección de Datos de Carácter Personal en el caso de entidades privadas podían acarrear cantidades económicas, que iban desde los 900 a los 600.000 euros.

Con la llegada del RGPD, la LOPD-GDD (Ley Orgánica 03/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales) endurece el régimen sancionador aplicable, no sólo a los responsables del tratamiento de los datos de carácter personal, sino también a los encargados del tratamiento de estos, lo que implica un cambio sustancial a tener en cuenta por parte de todas las empresas y entidades a la hora de tratar datos personales. Adaptarse a las estipulaciones del nuevo Reglamento y adecuarse a todos los cambios puede evitar sorpresas desagradables e imprevistas. [6]

Siguiendo lo adoptado el 27 de abril de 2016, en el artículo 83.7 del RGPD que prevé sanciones mucho más disuasorias, como por ejemplo:

• Hasta 10 millones de euros o, en el caso de una empresa, el 2% de la facturación anual mundial por faltas sobre todo al Privacy By Design, Privacy By Default, en materia de PIA, etc.;
• Hasta 20 millones de euros o, en el caso de una empresa, 4% de su facturación anual mundial por faltas sobre todo a los derechos de las personas (derechos de acceso, de rectificación, de oposición, de supresión, derecho al olvido, etc.).

En cada caso, se toma en cuenta el importe más elevado.

“Hasta el momento se han producido 171 sanciones impuestas por los diferentes reguladores en materia de protección de datos. La AEPD española con 38, es la entidad que más sanciones ha impuesto” (Elena Gil, abogada experta en privacidad.) [7].

Medidas nuevas que exigen que las empresas cumplan con el juego de la puesta en conformidad, si no quieren verse infligir alguna otra de esas sanciones.

Podemos hacer un seguimiento de las sanciones aplicadas en todos los países europeos aquí.

3. Sanciones administrativas y también penales

Aunque la mayoría de los comunicadores sobre el tema insisten más sobre las sanciones administrativas, las sanciones penales no se quedan atrás. En efecto, el artículo 84 1° del Reglamento enuncia que los Estados pueden determinar el régimen de las sanciones aplicables en caso de violación de las obligaciones previstas diferentes de las sanciones administrativas.

Las sanciones penales, en caso de falta a las reglas en materia de protección de datos, ya están previstas en el derecho español. El Art. 197 del Código Penal regula tres comportamientos distintos, que además castiga con penas de prisión diferentes [8].

Los primeros apartados de este artículo están destinados a protegernos de los ataques dirigidos a descubrir y revelar nuestra intimidad, así:

Modalidades de “acceso y revelación de secretos”

• 1: castiga a quien tiene la intención de descubrir secretos de otra persona.
• 2: castiga el apoderarse, utilizar o modificar sin autorización datos reservados de carácter personal o familiar (Revelación de secretos informáticos).

Modalidades de acceso informático ilícito:

• 3: regula los accesos informáticos ilícitos

4. Sanciones que vulneran la reputación de las empresas

La AEPD ahora puede ordenar a las empresas sancionadas que informen a las personas cuyos datos han sido vulnerado, y todo ello a expensas la empresa. Además, como parte de los procedimientos de sanción, la AEPD puede difundir un comunicado de prensa oficial detallando la falta y este es inmediatamente transmitido por la prensa al conjunto de la población [9].

En estos casos la imagen de la empresa, sobre todo en términos de seguridad y de confianza, sufre enormemente: es así como, por ejemplo, el 86% de los franceses considera que las empresas explotan los datos personales de sus clientes sin su consentimiento [10].

Además, la obligación de conformidad con el RGPD no solo está dirigida a las grandes empresas, sino que concierne a empresas de todos los tamaños, incluidas las start-ups [11].

5. Las primeras sanciones ya pronunciadas en Europa

• La primera impuesta en España:
  

  la sanción de 250.000, a una Asociación Deportiva de derecho privado, por la vulneración del principio de transparencia en la información proporcionada a los interesados que se instalan su app en sus teléfonos móviles. Dicha app solicitaba el consentimiento para el acceso a la funcionalidad del micrófono del teléfono del usuario no obstante, en opinión de la autoridad competente, no se informaba, o no se hacía de forma suficientemente clara en cuanto al procedimiento de acceso al micrófono y, en particular, respecto de cuando dicho mecanismo está en funcionamiento, requiriéndose por tanto una información complementaria que incluya el alcance de dicho tratamiento (cómo y cuándo), y que se informe ‘a tiempo real’ [12].

• La más elevada:
  

  la autoridad inglesa en la materia ha impuesto las dos sanciones más elevadas hasta la fecha. La más controvertida ha sido la de 204 millones de euros que recayó sobre la aerolínea British Airways por “falta de seguridad en la empresa” tras sufrir una brecha que afectó a unos 500.000 clientes, quedando al descubierto información sobre tarjetas de crédito (códigos de seguridad o fechas de expiración), e información de vuelos y reservas. Los responsables del ataque pudieron conocer los nombres, apellidos, direcciones físicas y de correo electrónico de los clientes [13].

• La más mediática:
  

  la sanción de 50.000.000€ pronunciada contra Google por la CNIL el 21 de enero de 2019 [14] por falta de transparencia al no informar con suficiente claridad a los usuarios y no haber recogido de manera informada, clara, específica y sin equívoco el consentimiento de las personas interesadas por el tratamiento.

• La primera pronunciada en Europa:
  

  
  la Comissão Nacional de Proteção de Dados, de Portugal, multó por un total de 400.000€ al Hospital de Barreiro por violación de los principios de integridad y de confidencialidad de los datos, violación del principio de limitación de acceso a los datos y por la incapacidad del hospital para garantizar la confidencialidad y la integridad de los datos.

• La primera pronunciada en Francia:
  
  250000 € por una violación a la seguridad de los datos de los clientes de la página web de la sociedad Optical Center. La CNIL, francesa, considera que la empresa no protegió suficientemente la seguridad de los datos de sus clientes que efectúan un pedido en línea a partir de su página web.

• La más elevada en Alemania:
  

  14,5 millones de euros de sanción le costó a la compañía inmobiliaria Deutsche Wohnen el no haber implementado efectivamente una política de conservación de datos, por guardarlos más tiempo del necesario [15].

• La más discutible:

   La autoridad polaca de protección de datos pronunció su primera multa (220 000€), bajo el régimen del RGPD, contra una sociedad de marketing digital, por no haber informado a las personas interesadas del tratamiento de sus datos en conformidad con el artículo 14 del Reglamento. La empresa debería haber informado de forma individual a la totalidad de las 6 millones de personas de quienes obtuvo los datos personales (entre los cuales la dirección postal y los números de teléfono) gracias a un open data público y no solo a aquellas cuya dirección mail disponía. La empresa se limitó a publicar la información en su página web ante el enorme coste que representaba una información individual.

En Escuda somos expertos en la aplicación del RGPD en las organizaciones, si quieres más información no dudes en llamarnos al 931 931 848 o contactarnos a través de este formulario.

[1] GRPD in numbers

[2] Véhicules connectés : un pack de conformité pour une utilisation responsable des données

[3] Eurocybcar, cybersecurity test for cars

[4] Eurocybcar, el test que mide la ciberseguridad de los coches

[5] RGPD

[6] Nuevo régimen sancionador de protección de datos

[7] ¿Cómo han evolucionado las sanciones en la UE por el incumplimiento de la normativa europea de protección de datos?

[8] DELITOS CONTRA LA INTIMIDAD – Protección de datos personales y familiares reservados. El “espionaje” personal i corporativo

[9] La AEPD sanciona a Whatsapp y Facebook por ceder y tratar, respectivamente, datos personales sin consentimiento

[10] The simplest way to connect with privacy

[11] La CNIL inflige une amende à google pour manque d’information et défaut de consentement

[12] RGPD: un año de actividad sancionadora por inclumplimientos

[13] Ranking de las mayores multas por privacidad

[14] Multa récord de Google por infracción del RGPD: 50 millones de euros

[15] Ranking de las mayores multas por privacidad

Para más información, se puede consultar:

Aproximación al nuevo régimen sancionador del Reglamento General de protección de datos a partir del 25 de mayo

Sanciones AEPD: brechas de seguridad y medidas de seguridad. Datos sindicales