Tradicionalmente se ha dicho que, en un entorno como el actual, uno de los riesgos más graves que puede sufrir una empresa a la que se le condene por infringir la normativa de protección de datos es el daño reputacional. En efecto, la potencial pérdida de confianza de los clientes afectados y el debilitamiento de la reputación en el mercado de la correspondiente marca solían ser elementos más preocupantes que las propias sanciones que las autoridades pudieran imponer en tales casos.
Sin perjuicio de que este análisis mantiene su vigencia, en los últimos meses se está comprobando que el coste de las multas en este ámbito está aumentando de forma significativa. De hecho, la cuantía de tales sanciones se está convirtiendo en un elemento crecientemente preocupante para las empresas.
En Europa este fenómeno podría encontrar una primera explicación en la plena entrada en vigor del Reglamento General de Protección de Datos, el cual – como se ha publicitado de forma recurrente – permite a las autoridades sancionar con multas cuya cuantía puede ascender hasta el 4% del volumen global de negocios del grupo empresarial al que pertenezca la sociedad infractora. Si bien durante los primeros meses de plena entrada en vigor del Reglamento no se dieron sanciones particularmente significativas, el escenario está cambiando a pasos agigantados.
El primer ejemplo de esta nueva tendencia lo encontramos en una multa de 50 millones de euros que la autoridad francesa de protección de datos impuso en enero de 2019, al considerar que no se había cumplido adecuadamente con los deberes de transparencia e información a la hora de configurar cuentas de servicios en línea (y, en particular, las preferencias de visibilidad respecto a los datos generados al usar tales cuentas). A ello dicha autoridad le sumó la ausencia, en su opinión, de una base legal suficiente para algunos tratamientos vinculados a la personalización de publicidad, dando lugar a un primer precedente más que significativo en lo que se refería a importe de multas.
A esta histórica sanción le han seguido los anuncios realizados a principios de julio por la autoridad británica de protección de datos, indicando que va a imponer multas por importes superiores a los 100 y 200 millones de euros. Tal y como nos hicimos eco en una entrada anterior, dichas sanciones se derivan de sendas investigaciones derivadas de la notificación de brechas de seguridad. En el marco de dichas investigaciones, la autoridad británica llegó a la conclusión que la falta de adopción de medidas de seguridad adecuadas por parte de las empresas afectadas había conducido a un riesgo y daño efectivo a sus clientes, en forma de revelación no consentida de sus datos.
Las autoridades estadounidenses no se han quedado atrás por lo que respecta al incremento en las cuantías de multas vinculadas a infracciones de la normativa de protección de datos. En efecto, la Federal Trade Commission acaba de anunciar que, junto con otras autoridades federales y estatales, ha llegado a un acuerdo con Equifax para que ésta pague como mínimo 575 millones de dólares como consecuencia de la violación de la normativa de protección de datos.
En efecto, dicha sociedad sufrió un ataque informático en 2017 que comprometió la seguridad de los datos de 147 millones de clientes. De este modo, esta sanción no pretende únicamente ser una multa administrativa, sino que además, según indica la propia FTC en el anuncio del acuerdo, sino que constituirá un fondo de compensación a los afectados cuyos datos fueron revelados ilegalmente.
A este ejemplo parece que le van a seguir otros de cuantías mucho más altas, por lo que no deberá extrañar que el aspecto financiero de las sanciones por infringir la normativa de protección de datos se convierta en una razón más para que los responsables de empresas redoblen sus esfuerzos por cumplir con la normativa de protección de datos de carácter personal a ambas orillas del océano Atlántico.
Albert Agustinoy Socio
