Continuant amb el balanç que vam fer en el nostre post anterior  sobre el començament d’aplicació del Reglament europeu sobre la protecció de dades (RGPD), aquí tractarem de les sancions que s’han anat aplicant en aquests primers dos anys. Posarem un focus particular en les sancions més significatives.

Amb l’entrada en vigor del Reglament, el conjunt de les sancions financeres susceptibles de ser pronunciades contra les empreses s’ha multiplicat: fins als 20 milions d’euros o el 4% de la facturació mundial global.

Aquestes quantitats sens dubte han estat en l’origen del fenomen mediàtic que ha atret l’atenció cap al  Reglament. De fet, quan va entrar en vigor al maig 2018, el RGPD va fer córrer rius de tinta, tres vegades més que Mark Zuckerberg i va superar a superestrelles nord-americanes com ara Beyonce o Kim Kardashian pel que fa a consultes en el cercador de Google [1].

1. La quasi-totalitat de les empreses interessades

La suma de les sancions a què es pot incórrer és suficient per causar suors fredes a les empreses que processen dades personals, que són moltes. Recordem que la definició de “dada de caràcter personal” es refereix a qualsevol dada que permeti identificar directament o indirectament a una persona. És, per exemple, el cas del nom, cognom, adreça electrònica, número de la seguritat social de una persona, pero igualment de les ddes recollides per les cookies presents en la majoria de les pàgines web.

En països com França, la CNIL (Commission Nationale de l’Informatique et des Libertés) considera fins i tot que les dades relacionades amb els trajectes en cotxe, l’estat de desgast de les peces, les dates dels controls tècnics, el nombre de quilòmetres o l’estil de conducció poden constituir, igualment, dades personals quan són susceptibles de ser relacionats amb una persona física [2].

A Espanya, una emprenedora ha desenvolupat el primer test que permet medir el nivell de ciberseguretat dels automòbils connectats (Eurocybcar) [3]. L’empresa considera que, de la mateixa manera que se sap que un vehicle és segur, l’usuari també hauria de poder conèixer si és cibersegur. Recordem que els cotxes d’avui són uns enormes ordinadors sobre quatre rodes, per aquesta raó estan exposats a tot tipus de virus informàtics, així com a l’atac d’un ciberdelinqüent, de manera que és important prendre mesures per evitar-ho. Com a mínim, el vehicle hauria de tenir la mateixa protecció que tenen el nostre mòbil, l’ordinador de la feina i el de casa. [4]

Els objectius i desafiaments del RGPD [5] son clars: protegir i reforçar els drets dels usuaris, assegurar la confiança i responsabilitzar les empreses en el tractament de les dades de caràcter personal.

2. Una nova graduació de les sancions

Com a avançament de l’entrada en vigor del RGPD, les sancions previstes per la LOPD poc a poc es van anar reforçant.

Anteriorment, les sancions, establertes a la LOPD y en el Projecte de la Llei Orgànica de Protecció de Dades de Caràcter Personal en el cas d’entitats privades podien implicar quantitats econòmiques, que anaven des dels 900 als 600.000 euros.

Amb l’arribada del RGPD, la LOPD-GDD (Llei Orgànica 03/2018, de 5 de desembre, de Protecció de Datos i garantia dels drets digitals) endureix el règim sancionador aplicable, no només als responsables del tractament de les dades de caràcter personal, sinó també als encarregats del tractament d’aquests, el que implica un canvi substancial a tenir en compte per part de totes les empreses i entitats a l’hora de tractar dades personals. Adaptar-se a les estipulacions del nou Reglament i adequar-se a tots els canvis pot evitar sorpreses desagradables i imprevistes. [6]

Taula sancionsRGPD

Seguint el que es va acordar el 27 de abril de 2016, en l’article 83.7 del RGPD que preveu sancions molt més dissuasòries, com per exemple:

  • Fins a 10 milions d’euros o, en el cas d’una empresa, el 2% de la facturació anual mundial por faltes sobretot pel Privacy By Design, Privacy By Default, en matèria de PIA, etc.;
  • Fins a 20 milions d’euros o, en el cas d’una empresa, 4% de la seva facturació anual mundial per vulnerar sobretot els drets de les persones (drets d’accés, de rectificació, d’oposició, de supressió, dret a l’oblit, etc.).

En cada cas, es té en compte l’import més elevat.

“Fins al moment s’han produït 171 sancions imposades pels diferents reguladors en matèria de protecció de dades. La AEPD espanyola amb 38, és l’entitat que més sancions ha imposat(Elena Gil, advocada experta en privacitat.) [7].

Mesures noves que exigeixen que les empreses compleixin amb el joc de la posada en conformitat, si no volen veure’s obligades a infringir alguna altra d’aquestes sancions.

Podem fer un seguiment de les sancions aplicades en tots els països europeus aquí

3. Sancions administratives i també penals

Encara que la majoria dels comunicadors sobre el tema insisteixen més sobre les sancions administratives, les sancions penals no es queden enrere. En efecte, l’article 84 1er del Reglament enuncia que els Estats poden determinar el règim de les sancions aplicables en cas de violació de les obligacions previstes diferents de les sancions administratives.

Les sancions penals, en cas de falta a les regles en matèria de protecció de dades, ja estan previstes en el dret espanyol. L’Art. 197 del Codi Penal regula tres comportaments diferents, que a més a més castiga amb penes de presó diferents [8].

Els primers apartats d’aquest article estan destinats a protegir-nos dels atacs dirigits a descobrir i revelar la nostra intimitat, són els següents:

Modalitats d’ “accés i revelació de secrets”

  • 1: castiga a qui té la intenció de descobrir secrets d’una altra persona.
  • 2: castiga a l’apropiar-se, utilitzar o modificar, sense autorització, dades reservades de caràcter personal o familiar (Revelació de secrets informàtics).

Modalitats d’accés informàtic il·lícit:

  • 3: regula els accessos informàtics il·lícits

4. Sancions que vulneren la reputació de les empreses

La AEPD ara pot ordenar a les empreses sancionades que informin a les persones a qui se’ls han vulnerat les seves dades, i tot això a costa l’empresa. A més a més, com a part dels procediments de sanció, la AEPD pot difondre un comunicat de premsa oficial detallant la fuga de dades, aquesta comunicació és immediatament transmesa per la premsa al conjunt de la població [9].

En aquests casos la imatge de l’empresa, sobretot en termes de seguretat i de confiança pateix enormement: és així com, per exemple, el 86% dels francesos considera que les empreses exploten les dades personals dels seus clients sense el seu consentiment [10].

A més a més, l’obligació de conformitat amb el RGPD no només està dirigida a les grans empreses, sinó que afecta a empreses de totes les mides, incloses les start-ups [11].

5. Les primeres sancions que ja s’han imposat a Europa

  • La primera imposada a Espanya: la sanció de 000, a una Associació Esportiva de dret privat, per la vulneració del principi de transparència en la informació proporcionada als interessats que s’instal·len la seva app en els seus telèfons mòbils. Aquesta app sol·licitava el consentiment per a l’accés a la funcionalitat del micròfon del telèfon de l’usuari, no obstant això, en opinió de l’autoritat competent, no s’informava, o no es feia de forma prou clara pel que fa al procediment d’accés al micròfon i, en particular, respecte de quan aquest mecanisme està en funcionament, requerint per tant una informació complementària que inclogui l’abast d’aquest tractament (com i quan), i que s’informi ‘a temps real’ [12].
  • La més elevada: L’autoritat anglesa en la matèria ha imposat les dues sancions més elevades fins a la data. La més controvertida ha estat la de 204 milions d’euros que va recaure sobre l’aerolínia British Airways per “manca de seguretat a l’empresa” després de patir una bretxa que va afectar a uns 500.000 clients, aquesta fuga de seguretat va provocar que quedés al descobert informació sobre targetes de crèdit (codis de seguretat o dates d’expiració), i informació de vols i reserves. Els responsables de l’atac van poder conèixer els noms, cognoms, adreces físiques i de correu electrònic dels clients [13].
  • La més mediàtica: la sanció de 000.000€ pronunciada contra Google per la CNIL el 21 de gener de 2019 [14] per falta de transparència al no informar amb suficient claredat als usuaris i no haber recollit de manera informada, clara, específica i sense equívoc el consentiment de les persones interessades pel tractament.
  • La primera pronunciada a Europa: la Comissão Nacional de Proteção de Dados, de Portugal, va multar per un total de 400.000€ a l’Hospital de Barreiro per violació dels principis de integritat i de confidencialitat de les dades, violació del principi de limitació d’accés a les dades i per la incapacitat de l’hospital per garantir la confidencialitat i la integritat de les dades.
  • La primera imposada a França: 250 000 € per una violació a la seguretat de les dades dels clients de la pàgina web de la sociedad Optical Center. La CNIL, francesa, considera que l’empresa no va protegir suficientment la seguretat de les dades dels seus clients que efectuen una comanda en línia a partir de la seva pàgina web.
  • La més elevada a Alemanya: 14,5 millones de euros de sanció li va costar a la companyia immobiliària Deutsche Wohnen el no haver implementat efectivament una política de conservació de dades, per guardar-los més temps del que era necessari [15].
  • La més discutible: la autoritat polaca de protección de datos pronunció su primera multa (220 000€), bajo el régimen del RGPD, contra una sociedad de màrqueting digital, per no haver informat a les persones interessades del tractament de les seves dades en conformitat amb l’article 14 del Reglament. L’empresa hauria d’haver informat de manera individual a la totalitat dels 6 milions de persones dels que va obtenir les dades personals (entre els quals l’adreça postal i els números de telèfon) gràcies a un open data públic i no només a aquelles de les quals tenia una adreça de correu electrònic. L’empresa es va limitar a publicar la informació a la seva pàgina web davant l’enorme cost que representava una informació individual.

A Escuda som experts en l’aplicación del RGPD en las organizaciones, si vols més informació no dubtis en trucar-nos al 931 931 848 o contactar-nos a través de d’aquest formulari.

 

[1] GRPD in numbers

[2] Véhicules connectés : un pack de conformité pour une utilisation responsable des données

[3] Eurocybcar, cybersecurity test for cars

[4] Eurocybcar, el test que mide la ciberseguridad de los coches

[5] RGPD

[6] Nuevo régiment sancionador de protección de datos

[7] ¿Cómo han evolucionado las sanciones en la UE por el incumplimiento de la normativa europea de protección de datos?

[8] DELITOS CONTRA LA INTIMIDAD – Protección de datos personales y familiares reservados. El “espionaje” personal i corporativo

[9] La AEPD sanciona a Whatsapp y Facebook por ceder y tratar, respectivamente, datos personales sin consentimiento

[10] The simplest way to connect with privacy

[11] La CNIL inflige une amende à google pour manque d’information et défaut de consentement

[12] RGPD: un año de actividad sancionadora por inclumplimientos

[13] Ranking de las mayores multas por privacidad

[14] Multa récord de Google por infracción del RGPD: 50 millones de euros

[15] Ranking de las mayores multas por privacidad

Para más información, se puede consultar:

Aproximación al nuevo régimen sancionador del Reglamento General de protección de datos a partir del 25 de mayo

Sanciones AEPD: brechas de seguridad y medidas de seguridad. Datos sindicales