El pasado 25 de mayo se cumplieron tres años desde que entrada en vigor la RGPD, también conocida como GDPR: la normativa europea relativa a la protección de datos de los ciudadanos europeos. Desde aquel mayo de 2018 han sido numerosas las empresas que han tenido que renovar sus políticas de recopilación y para hacerlas coincidir a toda prisa con el marco regulador común, pero otras tantas que han obviado sus obligaciones, conllevándoles sustanciosas multas en ocasiones millonarias. ¿Cuáles son las mayores sanciones por incumplimiento de la RGPD impuestas en estos tres años de vigencia?, ¿qué debemos, – y no debemos-, hacer para una correcta protección del dato?
La importancia de la protección del dato en la empresa
En este artículo ahondaremos en las consecuencias económicas que ha tenido a ciertas empresas caer en un uso incorrecto, no consentido, fraudulento, la no debida protección o el libre acceso a ésta de terceros o personal sin autorización previa de los datos que manejaban de sus clientes, pero también es importante que estas cuantiosas multas nos sirvan no solo como ejemplo de lo que puede pasar al no cumplir con la RGPD, sino para entender el porqué de estas sanciones, la importancia que mantener los datos de la empresa protegidos tiene.
Por ello, debemos tener en cuenta que la RGPD no tiene como misión “castigar”, sino ofrecer un marco regulador y una protección adecuada a un bien, los datos, que suponen hoy en día una gran fuente de negocio y crecimiento empresarial como para representar la que ya se ha pasado a denominar como 4º revolución industrial.
Este hecho comporta que toda empresa debe ser consciente de la importancia del dato para su actividad y, con ello, lo necesaria que es su protección, que se debería englobar dentro de una estrategia más amplia como es la del correcto gobierno del dato.
Así, las empresas que establecen el gobierno del dato como una estrategia clave no solo evitan ser sancionadas y ofrecen a sus clientes un marco de protección seguro y adecuado, sino que además aumentan hasta 23 veces las probabilidades de captación de nuevos clientes, lo que se traduce en una probabilidad de rentabilidad 19 veces superior a la media.
¿Cómo se aúnan ambas cuestiones, seguridad y rentabilidad del dato, en una estrategia? Esa es la clave por la que elternativa confía plenamente en establecer estrategias data-driven: metodologías y herramientas mediante las cuales, el procesamiento del dato evita su pérdida de control, manteniéndolo seguro y obteniendo de él la información más útil y necesaria que de él se requiere.
La jerarquización y el acceso restringido: clave en la protección del dato en la empresa
Volviendo a la materia específica de protección del dato dentro de una estrategia de su gobierno, la clave la encontramos tanto en la jerarquización como el acceso que se le da a éste a los diferentes usuarios con posibilidad de acceso a los conjuntos de datos almacenados.
Es de vital importancia que, dentro de una misma empresa, los datos “sensibles” (bancarios, identificativos, etc.) solo sean accesibles a quienes deben trabajar con ellos (nóminas solo para RRHH por ejemplo), quedando invisibilizados o directamente bloqueados para el resto.
“El 62% de los empleados de una empresa reconocen tener acceso a datos que no debería”
Esto solo es posible teniendo en cuenta una estrategia de gobierno del dato que integre la jerarquización y el acceso restringido como uno de sus elementos clave, de forma que se pueda trabajar con los datos desde diferentes departamentos (RRHH, marketing, IT, etc.), pero la visibilidad de las diferentes partes de este solo sea total en los casos en los que se requiera trabajar la información.
No solo se trata de hacer cumplir la RGPD evitando la entrada de terceros a conjunto de datos con sistemas de ciberseguridad, sino que tampoco quienes tienen un acceso autorizado (empleados) puedan acceder a capas de información sensibles irrelevante en sus desempeños. No es cuestión de evitar sanciones por RGPD, sino de crear un entorno adecuado, productivo y eficaz para nuestros datos, algo que las siguientes empresas no tuvieron para nada en cuenta…
Las mayores sanciones por RGPD desde 2018
#1 Google Francia: 50 millones de multa por incumplimiento de RGPD
El dudoso honor de encabezar esta lista lo tiene el gigante de internet por excelencia. Trabajar día a día con millones de datos provenientes de la nunca cesante actividad en internet comporta un alto compromiso en cómo se trata la información, algo que al parecer no caló en las oficinas galas de Google.
Con 50 millones de euros, los reguladores franceses impusieron en 2019 a Google la que a día de hoy es la multa más cuantiosa respecto a sanciones por RGPD. ¿Las razones para tan tremendo toque de atención? Las nada disimuladas y poco éticas prácticas para ocultar las declaraciones de procesamiento de datos de los consumidores de sus servicios, que frecuentemente desconocían aceptarlas (por ejemplo, al seguir navegando) y mucho menos conocer qué se hacía con esta información.
Otro de los agravantes se debió a no buscar el consentimiento explícito de los usuarios a la hora de realizar campañas publicitarias con la información obtenida, y también fue merecedor Google de multa en Suecia por no cumplir con el “Derecho al Olvido”, lo que le comportó otros 5 millones de multa y un 14º puesto.
#2 H&M: 35,3 millones de multa por recopilación de datos
No hace falta que el core de tu empresa sea la información obtenida de tus usuarios para que la multa por un uso indebido de ésta sea de las más cuantiosas. Que se lo digan a la textil sueca H&M, cuya multa de 35,3 millones en 2020 viene plenamente justificada por una total falta de ética no ya del tratamiento de la información, sino de la propia obtención de ésta referente a sus propios empleados.
La multinacional se enfrentó a tal sanción millonaria cuando la regulación alemana descubrió la monitorización no consentida de un centenar de sus empleados, que frecuentemente eran grabados durante reuniones de seguimiento tras las que se realizaban perfiles detallados de cada trabajador. Información confidencial que frecuentemente influía en decisiones tácticas dentro del organigrama de la empresa o relevante a la continuidad o no del empleado en plantilla.
#3 Tin Telecom Italia: 27,8 millones por uso indebido de datos
El cómo recopilas es muy relevante para la RGPD, pero igual de importancia tiene cómo usas la información obtenida de tus clientes. Esta es la razón por la que la telco italiana Tin Telecom recibió la sanción de 27,8 millones de euros de manos de las autoridades transalpinas el pasado año. ¿La causa? Una práctica que resulta muy ligada a la actividad comercial dentro de las telecomunicaciones: las llamadas promocionales no consentidas a sus clientes.
¿Y cómo una práctica que, aunque no resulte ética, sí común, puede comportar una multa tan multimillonaria? Al carácter ejemplificador que las autoridades italianas quisieron dar al asunto se suma las numerosas quejas que se recibían de la compañía a este respecto, que desde 2017 a 2019 intensificó su campaña comercial llamando incluso a clientes que explícitamente habían revocado su consentimiento o se habían registrado en la lista de “no llamar”.
La cantidad impuesta a Tin Telecom por infringir la RGPD se ve aún más justificada mediante el dato que, según los informes recabados por las autoridades, una sola persona fue contactada en 155 ocasiones en un solo mes.
En España existe a este respecto la Lista Robinson, donde puedes incluir tus datos gratuitamente para que empresas a las que no hayas dado tu consentimiento explícito, no te puedan contactar con fines publicitarios. |
#4 British Airways: 22 millones por deficitaria protección de datos
Llegados al 4º puesto es turno de hablar de una causa que resulta vital a la hora de tratar y trabajar con datos: es máxima responsabilidad de la empresa proteger y establecer protocolos de seguridad que impidan que terceros o personas sin consentimiento previo accedan a información delicada o sujeta al marco legislativo de la RGPD.
No cumplir con este principio conlleva enfrentarte no solo a cuantiosas multas, sino a brechas de seguridad y ciberataques como el que sufrió la compañía aérea británica, que expuso la información personal de 400.000 clientes, incluyendo datos bancarios.
La gravedad de la exposición supuso que la cuantía inicial que planteaba en 2020 la Oficina del Comisionado de Información (el organismo regulador británico al respecto) superara con creces la impuesta a Google, llegándola incluso a cuadruplicar (más de 210 millones). Fue el tener en cuenta el grave impacto económico de la crisis sanitaria y la predisposición de British Airways a colaborar informando del problema y mejorando posteriormente sus sistemas, lo que condujo a una reducción a la décima parte de la multa finalmente ratificada.
“La ciber-seguridad y el acceso protegido son pilares dentro de la RGPD”
#5 Hoteles Marriot: 21 millones como sanción por incumplimiento de RGPD
Por causas similares a la multa recibida por British Airways, la multinacional hotelera fue sancionada en 2020 debido a una brecha de seguridad que expuso la información registrada de más de 300 millones de clientes.
Se da la peculiaridad que el ciberataque tuvo lugar seis años antes de la multa, en 2014, -momento en el que aún no estaba vigente la RGPD-, pero no se desveló hasta cuatro años después, en 2018 y con la legislación recién estrenada.
El hecho de que, con ello, Marriot Hoteles incumpliera con el principio de colaboración que establece que, una vez detectado un ciberataque, se informe adecuadamente a las autoridades y a las personas afectadas en un plazo de 24-48 h., supuso que incluso con carácter retroactivo, se aplicara la máxima penalización. Penalización que en un principio se contemplaba también de récord, con 102 millones de multa, pero nuevamente el cómo la crisis del COVID19 había golpeado al sector, propició una sustancial rebaja como atenuante.
Sanciones por RGPD en España
Viendo este ranking europeo de sanciones por RGPD nos puede dar a pensar que en España la aplicación se ha llevado a cabo razonablemente bien o, al menos, no con la gravedad de los casos vistos. Algo erróneo si contrastamos la información con el hecho de que España es el país europeo que más notificaciones de incumplimiento ha comunicado a este respecto, con más de 281.000 desde que entrara en vigor hace tres años.
Sí que nuestro país es “más considerado” en cuanto a la hora de materializarlas en multas, ocupando el 5º puesto con 173 penalizaciones que suponen un monto total de 15,5 millones. ¿Y qué empresas son las que tienen el dudoso honor de ser las que más han aportado a este monto?
España es el país que más notificaciones por incumplimiento de RGPD ha expedido. En cuanto a multas ratificadas ocupa el 5º puesto
Destacan las entidades bancarias, que en el caso de Caixabank y BBVA por poco consiguen colarse en el ranking de las 10 mayores multas a nivel europeo. En el caso de la catalana recibió una sanción de 6 millones de euros por usar de forma ilícita datos de sus clientes, mientras que, en el caso de la entidad vasca, la multa ascendió a 5 millones por uso de información sin consentimiento expreso. Ambas figuran en el puesto 12º y 13º respectivamente del ranking europeo.
No obstante, se prevé que este “liderazgo” bancario, se pierda en favor de las telecomunicaciones, ya que queda pendiente de ratificación la multa de 8,1 millones de euros impuesta a Vodafone España en febrero, debido a un uso abusivo de acciones comerciales con datos de sus usuarios sin su consentimiento explícito y a una constante reiteración de las penalizaciones por infringir la normativa, acumulando desde enero de 2018 nada más y nada menos que 50 multas por diversas causas referidas a la RGPD. De confirmarse esta multa, sería la mayor impuesta en España a este respecto.