Han pasado más de tres años desde que comenzó a aplicarse el RGPD (Reglamento General de Protección de Datos) y he creído interesante abordar un análisis de su cumplimiento en base a las sanciones impuestas durante este período.

La nueva normativa ha servido para poco, ya que la mayoría de las empresas lo sigue considerando como una carga administrativa más que hay que cumplir y toda la adaptación ha consistido en cambiar algunas cláusulas y poco más.

No obstante, las elevadas sanciones y la probabilidad cada vez más alta de sufrir una brecha de seguridad están obligando a las empresas a tomarse cada vez más en serio la normativa de protección de datos personales.

Las actividades que más procedimientos sancionadores recibieron son los relativos a videovigilancia, a publicidad y acciones comerciales, a las políticas de privacidad y de cookies de sitios web, a tratamientos sin base de legitimación y a no informar correctamente al interesado que se le está tratando sus datos personales.

El importe de las multas impuestas por las autoridades de control europeas por incumplimiento del RGPD superaron los mil millones de euros en 2021, siendo España uno de los países de la Unión Europea que acumula una mayor cantidad de multas.

Los medios de comunicación normalmente informan de multas millonarias a multinacionales, pero también reciben multas las microempresas y las asociaciones de vecinos como veremos a continuación.

La mayor multa en Europa hasta la fecha ha sido para Amazon Inc. por importe de 746 millones de euros por incumplimiento de los principios generales de protección de datos.

Le sigue WhatsApp Inc. a la que han impuesto una multa de 225 millones de euros por incumplimiento de sus obligaciones de informar a los usuarios y no ser suficiente transparente en relación con los datos gestionados entre la propia WhatsApp y Facebook.

En España, la sanción más alta ha sido para Vodafone España S.A.U en el Procedimiento Sancionador nº: PS/00059/2020 por valor de 8.150.000€ por un total de 191 denuncias de interesados que se quejaron de llamadas y mensajes publicitarios (correo electrónico y SMS) realizados en nombre de Vodafone España como parte de campañas de marketing.

La segunda más alta ha sido para CaixaBank S.A en el Procedimiento Sancionador nº: PS/00477/2019 por importe de 6.000.000€ debido a la cesión ilegal de los datos a las empresas del Grupo CaixaBank.

Otro de los denunciados y sancionados ha sido Mercadona S.A en el Procedimiento Sancionador nº: PS/00120/2021 por importe de 3.150.000€ instalar sistemas de reconocimiento facial en sus tiendas con el fin de rastrear a personas con condenas penales u órdenes de alejamiento.

Air Europa fue sancionada con 600.000€ en el Procedimiento Sancionador nº: PS/00179/2020 por brecha de seguridad que implicaba el acceso no autorizado a datos de contacto y cuentas bancarias de aproximadamente 489.000 personas.

Pero como decíamos anteriormente, no todas las sanciones han sido para grandes empresas y la siguiente información es buena muestra de ello. Desde pequeñas gestorías hasta propietarios de bares.

Por ejemplo el Procedimiento Sancionador nº: PS/00483/2020 con sanción de 3.000€ a una gestoría que envió un correo a un cliente con la documentación de otro cliente.

El Procedimiento Sancionador nº: PS/00228/2020 sanciona con 4.000€ a un particular que había instalado una cámara de videovigilancia orientada hacia camino público obteniendo imágenes de terceros sin causa justificada.

El Procedimiento Sancionador nº: PS/00293/2020 sanciona con 1.500€ a un propietario de un pub por el uso no autorizado de dos cámaras de videovigilancia que cubren partes del espacio público.

El Procedimiento Sancionador nº: PS/00150/2019 (Art. 5 RGPD) sanciona con 20.000€ por instalación de cámaras en el pasillo de un domicilio donde se prestan servicios sexuales con la finalidad de controlar a las trabajadoras y a sus clientes.

Por último ejemplo, nos referimos al Procedimiento Sancionador nº: PS/00404/2021 (Art. 13 RGPD y 22 LSSICE) que sanciona con 2.000€ a una empresa de ventanas por no tener una política de privacidad y con 2.000€ por no tener una Política de Cookies en su web.

Por otro lado, los expedientes derivados de brechas de seguridad han crecido espectacularmente por la adopción de medidas de seguridad totalmente insuficientes y es que, desde que el RGPD empezó a aplicarse, la cantidad de incidentes de seguridad reportados a la AEPD ha crecido de manera constante hasta llegar a una media de 331 notificaciones al día.

En cuanto a la tipología de las brechas notificadas hay que destacar las relativas al ransomware. Esta es una ciberamenaza con gran impacto sobre los datos personales que es cada vez más común.

Nuestra experiencia nos dice que las empresas pueden estar seguras de que, tarde o temprano, van a recibir ciberataques. El RGPD y la LOPD obligan a estas por el principio de responsabilidad proactiva; lo que significa adoptar las medidas técnicas y organizativas necesarias que garanticen la seguridad de los datos y minimicen el riesgo a sufrir una brecha de seguridad; siendo la falta de implantación de dichas medidas una infracción de tipo grave.

En nuestro día a día, la mayoria de empresas tienen una falsa sensación de seguridad y la única medida de seguridad que tienen implementada es un antivirus gratuito.

Ello es debido a que, entre otras causas, el informático de mantenimiento no tiene conocimientos especializados en ciberseguridad ni la experiencia de haberse enfrentado a graves incidentes de seguridad o de identificación de vulnerabilidades.

La conclusión a la que llegamos no deja lugar a dudas: existe poca concienciación de la importancia de tener medidas organizativas y técnicas que garanticen la seguridad en el tratamiento de protección de datos y ello conllevará que sigan creciendo las sanciones por parte de las autoridades de control.

En LBO Abogados estaremos siempre disponibles y dispuestos ya que contamos en nuestro equipo con expertos en normativa de protección de datos y colaboradores técnicos, certificados en ciberseguridad, y entre los servicios que realizamos están la implantación de medidas de seguridad de protección de datos, la auditoría de seguridad y los ataques de hacker ético.

Únete al grupo de empresas del portfolio de nuestra firma que SÍ se preocupan por la protección de datos personales y se ocupan de mantener actualizadas sus medidas técnicas, organizativas y de seguridad como Spathios, CoverManager, Editorial MAD, TIM.es, Nodege, Blue Banana Brand, Fresh People, Yago School, Línea Gráfica, Grupo Cycle y Kahoot! entre muchas otras.