A raíz de la entrada en aplicación del Reglamento General de Protección de Datos 2016/679 (RGPD) en todo el territorio europeo, las autoridades de control de los Estados miembros han iniciado en 2019 su actividad sancionadora, dejándonos un primer vistazo de hasta qué punto pueden llegar las multas impuestas por no cumplir con la normativa en Protección de Datos y ciberseguridad.
Este artículo no pretende realizar un análisis pormenorizado de todas sanciones impuestas, pero sí de algunas de las más relevantes y/o mediáticas, tanto a nivel europeo como en el ámbito nacional (en un posterior artículo que publicaremos próximamente).
Recordemos que el RGPD califica las infracciones según la gravedad de la vulneración normativa, y asigna unos baremos de sanción que deberán determinar las autoridades de control:
- Infracciones leves.
- Infracciones graves: Se sancionan con multas administrativas que pueden ascender hasta los diez millones de euros o una cuantía máxima del 2% de la facturación si se trata de empresa.
- Infracciones muy graves: Se sancionan con multas administrativas que pueden alcanzar los veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% de la facturación del año anterior.
Vector de Negocios creado por freepik – www.freepik.es
RGPD en FRANCIA
La autoridad francesa en Protección de Datos (la Commission nationale de l’informatique et des libertés) sancionó al gigante de Internet (Google) con una multa de 50 millones de euros. El motivo no fue otro que la falta de transparencia, la información insatisfactoria proporcionada y la falta de consentimiento válido para la personalización de publicidad dirigida a los usuarios del buscador. La CNIL justificó la elevada sanción por la gravedad de las deficiencias observadas, que infringían principios esenciales del RGPD tales como la transparencia, la información y el consentimiento.
RGPD en ALEMANIA
La autoridad alemana en Protección de Datos (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) sancionó con 14,5 millones de euros a la compañía inmobiliaria Deutsche Wohnen, por no haber implementado una política de conservación de datos tal y como establece en el RGPD, de forma que los guardaba en sus sistemas más tiempo del necesario.
RGPD en REINO UNIDO
La autoridad inglesa en la materia (the Information Commissioner’s Office) ha impuesto las dos sanciones más elevadas a día de hoy en Europa.
La primera, de 204 millones de euros, recayó sobre la aerolínea British Airways, por una brecha de seguridad surgida en septiembre de 2018. La misma se debió a un fallo grave de seguridad informática sufrido durante días, el cual desencadenó en la filtración de los datos financieros de 380.000 tarjetas de crédito (incluyendo códigos de seguridad y fechas de expiración), además de nombres, apellidos, direcciones físicas y correos electrónicos de alrededor de unos 500.000 clientes. La sanción equivalía al 1,5% de los ingresos globales de British Airways en el ejercicio finalizado el 31 de diciembre de 2017.
La segunda recayó en la cadena de hoteles Marriott, que sufrió una brecha de seguridad que desencadenó en la exposición de unos 339 millones de registros de clientes de 31 nacionalidades del Espacio Económico Europeo. La autoridad inglesa impuso una sanción de 110 millones de euros.