Un año de actividad sancionadora por incumplimientos del RGPD

En el presente número de breves de Regulación Digital, hacemos balance de la actividad de la Agencia Española de Protección de datos tras el primer año de aplicación del RGPD, y presentamos las resoluciones más relevantes dictadas, tanto por nuestra autoridad nacional, como por el resto de autoridades europeas.

Introducción

Tras más de un año de la plena aplicación del Reglamento General de Protección de Datos (“RGPD”), y en consecuencia, la exigencia de nuevas y más férreas obligaciones impuestas por esta normativa, así como el efectivo despliegue del nuevo marco sancionador, nos gustaría mostraros un breve resumen de la actividad sancionadora más relevante de las diferentes autoridades de control europeas competentes y de la Agencia Española de Protección de Datos (“AEPD”).

A modo de recordatorio con el régimen anterior, la cuantía más elevada que podía alcanzar una sanción por incumplimiento de las obligaciones en materia de protección de datos ascendía a 600.000 € en España. Con la nueva normativa europea, el máximo asciende a 20 millones de euros, o el 4% del máximo del volumen de negocio total anual global del ejercicio financiero anterior.

El RGPD en cifras

A nivel nacional, el número de entradas de reclamaciones en la Agencia Española de Protección de Datos (AEPD) en el año 2018, experimentó un aumento de más del 30% con respecto al año 2017, aumento que estaría relacionado con el aumento en la concienciación que los interesados han adquirido de sus derechos en la materia. En total, la AEPD registró 14.146 entradas, de las cuales 594 proceden de otras autoridades de control europeas y 547 se corresponden con notificaciones de brechas de seguridad.

Sanciones relevantes

Si nos detenemos en las áreas concretas que se ven involucradas en reclamaciones, la videovigilancia ocupa el primer lugar, con un 32% de los procedimientos, seguido por las contrataciones fraudulentas y los servicios de internet, ambos con un 13%.

A continuación, destacamos algunas de las sanciones más relevantes por su cuantía, debido entre otros factores, al elevado número de interesados afectados por el incumplimiento normativo, e impuestas tanto por la AEPD, como por el resto de autoridades de control competentes a nivel europeo.

En España

La AEPD ha resuelto 3 procedimientos con sanción para las entidades infractoras:

  • Sanción de 250.000 €, a una Asociación Deportiva de derecho privado, por la vulneración del principio de transparencia en la información proporcionada a los interesados que se instalan la app en sus teléfonos móviles, mediante la que se podía acceder en distintos momentos, sin pleno conocimiento de los usuarios al micrófono de sus teléfonos. Por ello, la AEPD establece que si el tratamiento no se lleva a cabo de forma inmediata tras la información al usuario, será necesario utilizar fórmulas que le recuerden y/o avisen de en qué momento posterior se están recabando esos datos, y reforzar las cláusulas informativas.

    “Ello intensifica la necesidad de facilitarles información complementaria para garantizar un tratamiento transparente, que debería incluir el alcance de dicho tratamiento (cómo y cuándo), e informar ‘a tiempo real’ que se está utilizando el micrófono y la geolocalización”.

    Además, la AEPD insta a la entidad a adecuar, en el plazo de un mes, el uso de la aplicación al principio de transparencia, reforzando el conocimiento de los usuarios sobre la activación del micrófono.

  • Sanción de 60.000 €, a una compañía de recobro, por la vulneración de la confidencialidad de los datos personales, al reclamar el pago de una deuda a un interesado utilizando direcciones de correo electrónicos no facilitados por esta última, y cuyo contenido era accesible por terceras personas.

  • Una compañía energética ha sido sancionada con 60.000 € por la vulneración de la confidencialidad de los datos personales, al revelar a un tercero datos incluidos en la factura de un cliente.

En Francia

A nivel europeo, una de las primera sanciones impuestas, y hasta la fecha, la más elevada, es la que impuso la autoridad francesa, Commission Nationale Informatique et Libertés, (‘CNIL’) a uno de los principales motores de búsqueda de 50 millones de euros por: el incumplimiento de los principios de transparencia y el deber de información; la inexistencia de una base legítima y; la no obtención del consentimiento en el marco del tratamiento de los datos personales realizado a la hora de crear una cuenta durante la configuración del sistema operativo Android.

Otra entidad sancionada por la CNIL, en esta ocasión con 400.000 €, fue una empresa inmobiliaria que no implementó los procedimientos adecuados para respetar el principio de limitación del plazo de conservación, ni las debidas medidas de seguridad en sus sistemas, dejando al descubierto en su sitio web datos personales de sus clientes sin necesidad de llevar a cabo ningún tipo de autenticación.

En Polonia

La Urząd Ochrony Danych Osobowych, impuso una sanción de 220.000 € a una entidad del sector infomediario por no informar debidamente a los empresarios individuales (cuyos datos provienen de fuentes accesibles al público), sobre el tratamiento de sus datos con finalidades comerciales.

En Lituania

La Valstybinė duomenų apsaugos inspekcija, sancionó con 60.000 € a un proveedor de servicios de pago online, por el incumplimiento de los requisitos legales en la notificación de una brecha de seguridad.

En Dinamarca

La Datatilsynet impuso una sanción de 200.000 € por no respetar los plazos de conservación de los datos personales, almacenándolos durante más tiempo del necesario para la finalidad perseguida, sin definir los procedimientos y plazos para la supresión de los mismos.

En Reino Unido

De las más recientes, las sanciones propuestas por la autoridad de control competente del Reino Unido, la Information Commissioner’s Office para una compañía aérea y para una hotelera, de 204 y 110 millones de euros respectivamente, por la indebida implantación de medidas de seguridad adecuadas para garantizar la privacidad de los datos personales de sus usuarios, que dio lugar a la pérdida de confidencialidad de cantidades muy elevadas de datos personales de sus usuarios, 500.000 usuarios en el primer caso y 339 millones en el segundo.

En el caso la cadena hotelera, se subraya su falta de diligencia en el proceso de adquisición de otra entidad, en cuyos sistemas se produjo la fuga de datos personales.

En Portugal

Un entidad del sector sanitario fue sancionada con 400.000 € por la Comissão Nacional de Protecção de Dados por: no garantizar la confidencialidad de los datos personales de sus pacientes; no cumplir con las medidas de seguridad necesarias y; no respetar el principio de minimización de los datos personales.

En Estados Unidos:

Al margen de las sanciones impuestas en base al RGPD, este mismo mes, la Federal Trade Comission de Estados-Unidos, a la espera de la aprobación final del departamento de justicia, ha anunciado el acuerdo con una de las principales redes sociales, que acepta la sanción de 5.000 millones de dólares por sus reiterados incumplimientos a la hora de garantizar la privacidad de los datos personales de sus usuarios.

Conclusiones

Analizadas las distintas resoluciones y las sanciones impuestas por las diferentes autoridades de control, queda patente que las principales causas de incumplimiento derivadas de un incorrecto proceso de adecuación a RGPD o de un deficiente control posterior a la adecuación o auditoría son:

  • Incumplimiento del principio de transparencia, informar adecuadamente y en tiempo real.
  • Incumplimiento del principio de minimización.
  • Falta de criterios y políticas con los plazos de conservación.
  • Incorrecta identificación de las medidas de seguridad oportunas que regulen los accesos a los datos personales.
  • Ausencia de notificación de las brechas de seguridad que comprometan datos personales.
  • Menospreciar en un proceso de fusión o adquisición societarias la necesidad de analizar el origen de los datos, finalidades y calidad del consentimiento otorgado.
Claudia Nieto: