En el presente número de breves, hacemos balance de la actividad de la Agencia Española de Protección de datos tras el primer año de aplicación del RGPD, y presentamos las resoluciones más relevantes dictadas, tanto por nuestra autoridad nacional, como por el resto de autoridades europeas.
Tras más de un año de la plena aplicación del Reglamento General de Protección de Datos (“RGPD”), y en consecuencia, la exigencia de nuevas y más férreas obligaciones impuestas por esta normativa, así como el efectivo despliegue del nuevo marco sancionador, nos gustaría mostraros un breve resumen de la actividad sancionadora más relevante de las diferentes autoridades de control europeas competentes y de la Agencia Española de Protección de Datos (“AEPD”).
A modo de recordatorio con el régimen anterior, la cuantía más elevada que podía alcanzar una sanción por incumplimiento de las obligaciones en materia de protección de datos ascendía a 600.000 € en España. Con la nueva normativa europea, el máximo asciende a 20 millones de euros, o el 4% del máximo del volumen de negocio total anual global del ejercicio financiero anterior.
A nivel nacional, el número de entradas de reclamaciones en la Agencia Española de Protección de Datos (AEPD) en el año 2018, experimentó un aumento de más del 30% con respecto al año 2017, aumento que estaría relacionado con el aumento en la concienciación que los interesados han adquirido de sus derechos en la materia. En total, la AEPD registró 14.146 entradas, de las cuales 594 proceden de otras autoridades de control europeas y 547 se corresponden con notificaciones de brechas de seguridad.
Si nos detenemos en las áreas concretas que se ven involucradas en reclamaciones, la videovigilancia ocupa el primer lugar, con un 32% de los procedimientos, seguido por las contrataciones fraudulentas y los servicios de internet, ambos con un 13%.
A continuación, destacamos algunas de las sanciones más relevantes por su cuantía, debido entre otros factores, al elevado número de interesados afectados por el incumplimiento normativo, e impuestas tanto por la AEPD, como por el resto de autoridades de control competentes a nivel europeo.
En España, la AEPD ha resuelto 3 procedimientos con sanción para las entidades infractoras:
Además, la AEPD insta a la entidad a adecuar, en el plazo de un mes, el uso de la aplicación al principio de transparencia, reforzando el conocimiento de los usuarios sobre la activación del micrófono.
Una compañía energética ha sido sancionada con 60.000 € por la vulneración de la confidencialidad de los datos personales, al revelar a un tercero datos incluidos en la factura de un cliente.
En Francia:
A nivel europeo, una de las primera sanciones impuestas, y hasta la fecha, la más elevada, es la que impuso la autoridad francesa, Commission Nationale Informatique et Libertés, (‘CNIL’) a uno de los principales motores de búsqueda de 50 millones de euros por: el incumplimiento de los principios de transparencia y el deber de información; la inexistencia de una base legítima y; la no obtención del consentimiento en el marco del tratamiento de los datos personales realizado a la hora de crear una cuenta durante la configuración del sistema operativo Android.
Otra entidad sancionada por la CNIL, en esta ocasión con 400.000 €, fue una empresa inmobiliaria que no implementó los procedimientos adecuados para respetar el principio de limitación del plazo de conservación, ni las debidas medidas de seguridad en sus sistemas, dejando al descubierto en su sitio web datos personales de sus clientes sin necesidad de llevar a cabo ningún tipo de autenticación.
En Polonia:
La Urząd Ochrony Danych Osobowych, impuso una sanción de 220.000 € a una entidad del sector infomediario por no informar debidamente a los empresarios individuales (cuyos datos provienen de fuentes accesibles al público), sobre el tratamiento de sus datos con finalidades comerciales.
En Lituania:
La Valstybinė duomenų apsaugos inspekcija, sancionó con 60.000 € a un proveedor de servicios de pago online, por el incumplimiento de los requisitos legales en la notificación de una brecha de seguridad.
En Dinamarca:
La Datatilsynet impuso una sanción de 200.000 € por no respetar los plazos de conservación de los datos personales, almacenándolos durante más tiempo del necesario para la finalidad perseguida, sin definir los procedimientos y plazos para la supresión de los mismos.
En Reino Unido:
De las más recientes, las sanciones propuestas por la autoridad de control competente del Reino Unido, la Information Commissioner’s Office para una compañía aérea y para una hotelera, de 204 y 110 millones de euros respectivamente, por la indebida implantación de medidas de seguridad adecuadas para garantizar la privacidad de los datos personales de sus usuarios, que dio lugar a la pérdida de confidencialidad de cantidades muy elevadas de datos personales de sus usuarios, 500.000 usuarios en el primer caso y 339 millones en el segundo.
En el caso la cadena hotelera, se subraya su falta de diligencia en el proceso de adquisición de otra entidad, en cuyos sistemas se produjo la fuga de datos personales.
En Portugal:
Un entidad del sector sanitario fue sancionada con 400.000 € por la Comissão Nacional de Protecção de Dados por: no garantizar la confidencialidad de los datos personales de sus pacientes; no cumplir con las medidas de seguridad necesarias y; no respetar el principio de minimización de los datos personales.
En Estados Unidos:
Al margen de las sanciones impuestas en base al RGPD, este mismo mes, la Federal Trade Comission de Estados-Unidos, a la espera de la aprobación final del departamento de justicia, ha anunciado el acuerdo con una de las principales redes sociales, que acepta la sanción de 5.000 millones de dólares por sus reiterados incumplimientos a la hora de garantizar la privacidad de los datos personales de sus usuarios.
Analizadas las distintas resoluciones y las sanciones impuestas por las diferentes autoridades de control, queda patente que las principales causas de incumplimiento derivadas de un incorrecto proceso de adecuación a RGPD o de un deficiente control posterior a la adecuación o auditoría son:
Artículo de Periscopio Fiscal& Legal : https://periscopiofiscalylegal.pwc.es/un-ano-de-actividad-sancionadora-por-incumplimientos-del-rgpd/
Socia Responsable de Regulación Digital
Alejandra MatasDirectora en el área de Regulación Digital