Las sanciones por incumplir la protección de datos siguen rompiendo récords

Las sanciones por incumplir la protección de datos siguen rompiendo récords

El número de sanciones por incumplir el RGPD continúa aumentando

Por Francisco Pérez de Bes

En lo que a sanciones a empresas respecta, 2019 se caracteriza por ser uno de los años en los que se han impuesto las multas más altas por sanciones por incumplir la normativa sobre protección de datos. En particular, la multa de 50 millones de euros que la autoridad de protección de datos francesa impuso a Google por no informar del uso publicitario que hacía de los datos, sigue siendo la sanción más alta impuesto en el continente europeo por infracción del Reglamento General de Protección de Datos, desde que entró en vigor el 25 de mayo de 2018.

Las sanciones más altas

En 2020, el regulador británico (ICO) propuso una sanción de más de 230 millones de dólares (183 millones de Libras Esterlinas) contra el operador aéreo British Airways por no tener implementadas suficientes medidas de seguridad. En agosto de este año la compañía anunció una provisión contable equivalente a unos 26 millones de dólares, lo que hace entrever que la sanción podría verse reducida en un 90% respecto a la propuesta inicial.

Otro de los procedimientos sancionadores multimillonarios abiertos por el regulador británico, se refiere a la fuga de datos sufrida por la empresa hotelera Marriott, causada por un incidente de ciberseguridad que provocó una de las peores fugas de datos conocidas hasta la fecha. En este caso, la propuesta de sanción supera los 110 millones de euros.

A comienzos de octubre de 2020, H&M se convirtió en la segunda empresa en Europa en recibir una sanción que superaba los 35 millones de euros. En esta ocasión, a juicio de la autoridad de protección de datos de Hamburgo, se considera probado que la empresa sueca habría obtenido, de forma ilícita, registros extensos de detalles sobre la vida privada de los empleados de uno de sus centros en Nüremberg desde, al menos, el año 2014.

Esta sanción relega a una tercera posición la sanción impuesta por el regulador italiano a la operadora de telecomunicaciones TIM, a quien se le impuso una multa de más de 17 millones de euros por utilizar datos sin consentimiento e incumplir varios de los derechos que el RGPD reconoce a los titulares de tales datos.

Otras sanciones millonarias y ejemplarizantes impuestas en Europa son la que afectaron al servicio postal austríaco en octubre de 2019 (18 millones de euros), al operador de telecomunicaciones italiano Wind Tre (16,7 millones de euros), y a la inmobiliaria alemana Deustche Wohnen (14,5 millones de euros).

Según la aplicación enforcementtracker.com, el total de sanciones impuestas por autoridades europeas de protección de datos rondan los 600 millones de Euros desde que el RGPD resulta aplicable.

La eficacia de las sanciones por incumplir la protección de datos

A la vista de estas cifras, debemos preguntarnos si resultan eficaces estas sanciones, ya que el número de sanciones por incumplir el RGPD continúa aumentando, habiendo pasado de una media de 100 sanciones en los meses de agosto a octubre de 2019, a una media de 350 en ese mismo periodo de 2020, lo que denota un evidente incremento del número de denuncias y una mayor intensidad sancionadora de las autoridades de control europeas.

Respecto a la situación por países, los datos analizados demuestran que son los países que mayores sanciones imponen los que tienen una menor incidencia, por lo que parece existir una clara correlación entre ambos datos. La Agencia española es la autoridad de control que mayor número de sanciones impone, con un número de 133, frente a las 37 de la agencia rumana, situada en segunda posición, o las 30 de Italia, en tercera posición. Sin embargo, el importe económico de tales sanciones en España es más moderado que en otros países, lo que sitúa al organismo nacional en el séptimo lugar en el ranking europeo de países más sancionadores, con algo más de 3,7 millones de euros recaudados en concepto de multas.

Este escenario parece repetirse al otro lado del Atlántico. En Estados Unidos, la aseguradora Anthem recientemente acaba de anunciar el pago de una sanción de 39,5 millones de dólares impuesta como consecuencia de una brecha de seguridad sufrida en 2015, que afectó a datos personales y de salud de 80 millones de norteamericanos. Esta sanción se suma al pago de 115 millones de dólares que la compañía ya abonó en 2017 en concepto de compensación a sus clientes.

La cultura de compliance

El cada vez mayor número y cuantía de las sanciones que se imponen suponen un claro riesgo para la actividad y reputación de las empresas, lo que convierte a la protección de datos en una clara oportunidad para actuar correctamente. Una adecuada cultura de compliance puede convertirse en un elemento competitivo diferencial en el mercado. Sin embargo, no se trata únicamente de proteger la continuidad del negocio provocada por la imposición de una sanción millonaria, sino de incorporar este aspecto al buen gobierno de las compañías y a prevenir la responsabilidad de los administradores por su gestión de la protección de la información.

Francisco Pérez de Bes es profesor del módulo de Ciberseguridad para despachos de abogados del Curso Legaltech de Wenex by ADAMS.