Protección de la información

Incumplir la ley: Esto es lo que te puede costar no cumplir el RGPD

10 minutos de lectura

Son solo cuatro letras, pero no cumplir lo que representan puede salir muy caro. El Reglamento General de Protección de Datos (RGPD) se ha comentado mucho en los medios de comunicación, pero muchas empresas todavía no gestionan los datos personales correctamente. Y eso se paga caro.

España fue en 2020 el país europeo con más multas por incumplimiento de la RGPD, tal y como queda reflejado en la web GDPR Enforcement Tracker. Y son numerosas las empresas grandes y pequeñas que tienen que hacer frente a importantes sumas de dinero. En julio de 2021 Mercadona SA era multada con 250000 euros, en agosto el banco BBVA era multado con 120000 euros, estos son solo dos de los múltiples ejemplos que se podrían dar, incluidas las pequeñas y medianas empresas cuyos montantes puede que no llamen tanto la atención, pero que pueden llegar a poner en riesgo la continuidad de un negocio.

Son muchas las causas por las que una empresa puede ser denunciada ante la Agencia Española de Protección de Datos: una mala gestión en los datos de los CV que llegan a tu empresa al emitir una oferta de trabajo, la instalación de cámaras en el lugar de trabajo sin cartel informativo que advierta de ello, enviar emails comerciales sin consentimiento, ceder datos personales de clientes a un tercero sin previo consentimiento, no disponer en tu web de todos los datos obligatorios como NIF o dirección postal, etc.

En mayo de 2018, el Reglamento General de Protección de Datos (RGPD) cambió la manera en que la empresas de la UE obtienen, guardan y gestionan la información del cliente. 

Entre otros aspectos, la ley define qué se considera datos personales y de qué maneras debe informarse a los usuarios sobre cómo se procesa su información personal. Gracias a la enorme atención que el RGPD ha recibido en la prensa, ahora el público entiende mejor sus derechos en relación con sus datos personales.

«El RGPD ha incrementado la concienciación entre los ciudadanos de a pie», comenta Jaroslav Oster, experto en seguridad de TI, «y ahora se sienten cada vez más empoderados para presentar una reclamación si se infringen sus derechos. Y todas las autoridades de la Unión Europea están siendo muy activas en el control del cumplimiento del RGPD».

Sin embargo, algunas empresas siguen percibiendo el RGPD como una carga legislativa forzosa, en lugar de aprovecharlo como una oportunidad para implementar plenamente soluciones de ciberseguridad y de protección de datos complejos. Cumplir el RGPD no les salvará necesariamente de las fugas de datos. Y si se produce un robo de datos, en la mayoría de los casos las empresas están obligadas a asumir la responsabilidad y a informar del incidente a las autoridades, y esas autoridades pueden presentar cargos si se emplearon medidas insuficientes. 

La encuesta de 2021 «DLA Piper GDPR Data Breach Survey» concluyó que, desde que el RGPD entró en vigor, se informó de más de 281,000 fugas de datos personales en los 28 estados miembros de la UE, más Noruega, Islandia y Liechtenstein. Según la página web GDPR Fines Tracker and Statistics, a finales de mayo de 2021 se habían impuesto multas por incumplimiento del RGPD por un valor de 288,256,202 millones de euros.

¿Quién ha pagado más y por qué?

1. British Airways lidera y sube hasta el cielo

Entre junio y septiembre de 2018, British Airways (BA) sufrió una fuga de datos en la que le robaron datos personales y financieros de unos 500 000 de sus clientes. ¿Cómo? Cuando los usuarios visitaban el sitio web de la línea aérea, se les desviaba a un sitio web fraudulento en el que los hackers obtenían sus datos.

Desde el punto de vista de la línea aérea, se trataba de un incidente inadvertido causado por terceros. Sin embargo, por no proteger los datos de los clientes de manera responsable, BA había incumplido el RGPD. En julio de 2019, la Oficina del Comisionado de Información (ICO) del Reino Unido impuso una multa a la empresa de más de 204 millones de euros, la mayor hasta el momento. 

«Los datos personales de la gente son precisamente eso: personales. Cuando una organización no los protege contra pérdidas, daños o robo, sucede algo más que un mero inconveniente. Por eso la ley es clara: cuando alguien te confía sus datos personales, tienes que cuidarlos. Aquellos que no lo hagan deberán afrontar el control de mi oficina, que comprobará si se han tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad», explicó Elizabeth Denham, Comisionada de Información.

infografía cantidad económica multas incumplimiento RGPD

 

2. Una estancia cara para Marriott Hotels

En julio de 2019, otra empresa británica afrontó una multa por incumplimiento del RGPD. Sin embargo, esta multa también se relacionaba con un ciberataque. En 2018, Marriott Hotels informó a la ICO de que «por ese incidente habían quedado expuestos varios tipos de datos personales contenidos en aproximadamente 339 millones de registros de huéspedes de todo el mundo, de los cuales unos 30 millones correspondían a residentes de 31 países del Espacio Económico Europeo (EEE).» La ICO declaró que Marriott no había aplicado la diligencia debida pertinente y tampoco había protegido sus sistemas. La ICO impuso una multa a la empresa de más de 110 millones de euros. 

3. Google no se queda atrás

En enero de 2019, el regulador de datos francés Comisión Nacional de Informática y Libertades (CNIL) multó a Google con 50 millones de euros por «falta de transparencia, información inadecuada y ausencia de consentimiento válido en relación con la personalización de la publicidad», según explicó la CNIL. Según las autoridades, Google no informó a los usuarios sobre cómo se utilizarían sus datos y en qué aplicaciones. «El importe que se ha decidido y la publicidad de la multa se justifican por la gravedad de las infracciones observadas en relación con los principios esenciales del RGPD: transparencia, información y consentimiento», declaró la CNIL.

En 2017, las autoridades suecas obligaron a Google a eliminar varios resultados de búsquedas de su motor de búsqueda. Pese a ello, en 2018, varios resultados que debían haberse eliminado seguían apareciendo en los resultados de búsqueda. Aparecieron varios problemas de cumplimiento más y, en consecuencia, en 2020 la Autoridad sueca de protección de datos Datainspektionen multó a Google con 7 millones de euros.

4. Las organizaciones del estado no son ninguna excepción

Las instituciones del estado también tienen que cumplir el RGPD. Según la página web GDPR Fines Tracker and Statistics, en mayo de 2019 la Dirección General de Instituciones de Bienestar Social y de la Infancia del Distrito de Ferencvaros en Budapest (Hungría) tuvo que pagar 286 euros a la Autoridad nacional de protección de datos y libertad de la información (NAIH) húngara. En ese caso, la infracción tenía su causa en factores humanos. Un empleado de la Dirección envió por error nueve cartas a un destinatario incorrecto, y esas cartas contenían datos personales de 18 interesados distintos. 

Incluso un partido político de Hungría ha tenido que pagar una multa por incumplimiento del RGPD, ya que no protegió su base de datos que contenía datos personales de más de 6000 personas. Un hacker anónimo descubrió un punto débil, entró en el sistema y accedió a la base de datos. Ese punto débil costó al partido político 34 375 euros.

Una de las infracciones más recientes se produjo en el municipio danés de Hørsholm. A un empleado del gobierno de la ciudad le robaron su PC y no solo perdió el dispositivo, sino también los datos personales de unos 1600 empleados de la ciudad, que incluía información confidencial sobre números de la seguridad social. En marzo de 2020, la Autoridad danesa de protección de datos multó al municipio con 7000 euros.

infografía multas RGPD

 

5. Las empresas pequeñas también tienen que ir con cuidado

Las empresas pequeñas también tienen que cumplir el RGPD. Aunque las multas normalmente tienden a ser más bajas, pueden tener un impacto importante en los ingresos y el presupuesto de la empresa. Si las pymes incumplen el código de prácticas del RGPD, pueden afrontar multas de hasta un 2 % de sus ingresos anuales o 10 millones de euros, lo que sea mayor. Y si se trata de una fuga de datos real, el importe se dobla. Sin embargo, según la encuesta «2019 GDPR Small Business Survey», millones de empresas se esfuerzan para implementar el reglamento y no lo cumplen por su complejidad. 

Cumplir el RGPD puede ser difícil. Según la página web GDPR Fines Tracker and Statistics, la Autoridad checa de protección de datos impuso una multa de 1165 euros a una empresa de alquiler de coches por hacer el seguimiento de los coches alquilados mediante el GPS sin informar al arrendatario. En consecuencia, la empresa tuvo que pagar mil euros y, para una empresa pequeña, puede suponer un gran golpe. 

Garantizar la seguridad de la información no es solo algo que debes asegurar para que tus clientes confíen en ti, sino también para ti mismo y para tu empresa. «Empieza abordando la seguridad como un problema tecnológico y no únicamente como una carga burocrática», comenta Jaroslav Oster, experto en TI, «y presta atención a la formación de tus empleados. Son ellos los que pueden poner a tu empresa en peligro». El RGPD no hace excepciones, tanto si no se garantizan los derechos del cliente como si alguien roba los datos personales.