• La AEPD es la que impone más sanciones, pero con importes menores
  • Este mes, H&M recibió una sanción de más de 35 millones de euros
  • Las multas han pasado, en medio año, de una media 100 al mes a 350

Ignacio Faes    7:00 – 12/10/2020

Las empresas tuvieron un 2019 muy malo. Fue uno de los años en los que se han impuesto sanciones más altas por infringir la normativa sobre protección de datos. La multa de 50 millones de Euros que la autoridad de protección de datos francesa impuso a Google por no informar del uso publicitario que hacia de los datos, es aún hoy la sanción más alta impuesto en el continente europeo por infracción del Reglamento General de Protección de Datos (RGPD) desde que entró en vigor el 25 de mayo de 2018. Según la aplicación Enforcementtrackerel total de sanciones impuestas por autoridades europeas de protección de datos rondan los 600 millones de Euros desde que el RGPD resulta aplicable.

También el año pasado, el regulador británico (ICO) propuso una sanción de más de 230 millones de dólares (183 millones de Libras Esterlinas) contra el operador aéreo British Airways por no tener implementadas suficientes medidas de seguridad, si bien en agosto de este año la compañía anunció una provisión contable equivalente a unos 26 millones de dólares, lo que hace entrever que la sanción podría verse reducida en un 90% respecto a la propuesta inicial.

La ciberseguridad llega a los tribunales y se convierte en una nueva obligación

Otro de los procedimientos sancionadores multimillonarios abiertos por el regulador británico, se refiere a la fuga de datos sufrida por la empresa hotelera Marriott, causada por un incidente de ciberseguridad que provocó una de las peores fugas de datos conocidas hasta la fecha. En este caso, la propuesta de sanción supera los 110 millones de Euros.

A comienzos de este mismo mes de octubre de 2020, la compañía de moda textil H&M se convirtió en la segunda empresa en Europa en recibir una sanción que superaba los 35 millones de Euros, aunque en esta ocasión el motivo se debe a que, a juicio de la autoridad de protección de datos de Hamburgo, se considera probado que la empresa sueca habría obtenido, de forma ilícita, registros extensos de detalles sobre la vida privada de los empleados de uno de sus centros en Nüremberg desde, al menos, el año 2014.

Esta sanción relega a una tercera posición la sanción impuesta por el regulador italiano a la operadora de telecomunicaciones TIM, a quien se le impuso una multa de más de 17 millones de euros por utilizar datos sin consentimiento e incumplir varios de los derechos que el RGPD reconoce a los titulares de tales datos.

Sanciones ejemplarizantes

Otras sanciones millonarias y ejemplarizantes impuestas en Europa son la que afectaron al servicio postal austríaco en octubre de 2019 (18 millones de euros), al operador de telecomunicaciones italiano Wind Tre (16,7 millones de euros), y a la inmobiliaria alemana Deustche Wohnen (14,5 millones de euros).

Francisco Pérez Bes, Socio de Derecho digital de Ecix Group, destaca que “el número de sanciones por incumplir el RGPD continúa aumentando, habiendo pasado de una media de 100 sanciones en los meses de agosto a octubre de 2019, a una media de 350 en ese mismo periodo de 2020, lo que denota un evidente incremento del número de denuncias y una mayor intensidad sancionadora de las autoridades de control europeas”.

España, a la cabeza

Respecto a la situación por países, los datos analizados demuestran que son los países que mayores sanciones imponen los que tienen una menor incidencia, por lo que parece existir una clara correlación entre ambos datos.

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control que mayor número de sanciones impone, con un número de 133, frente a las 37 de la agencia rumana, situada en segunda posición, o las 30 de Italia, en tercera posición. Sin embargo, el importe económico de tales sanciones en España es más moderado que en otros países, lo que sitúa al organismo nacional en el séptimo lugar en el ranking europeo de países más sancionadores, con algo más de 3,7 millones de euros recaudados en concepto de multas.

Este escenario parece repetirse al otro lado del Atlántico, como en el caso de Estados Unidos, donde, por ejemplo, la aseguradora Anthem recientemente acaba de anunciar el pago de una sanción de 39,5 millones de dólares impuesta como consecuencia de una brecha de seguridad sufrida en 2015, que afectó a datos personales y de salud de 80 millones de norteamericanos. Esta sanción se suma al pago de 115 millones de dólares que la compañía ya abonó en 2017 en concepto de compensación a sus clientes por estos errores.

Suben los importes

“El cada vez mayor número y cuantía de las sanciones que se imponen suponen un claro riesgo para la actividad y reputación de las empresas, lo que convierte a la protección de datos en una clara oportunidad para actuar correctamente”, señala Francisco Pérez Bes.

“Una adecuada cultura de compliance puede convertirse en un elemento competitivo diferencial en el mercado. Sin embargo, no se trata únicamente de proteger la continuidad del negocio provocada por la imposición de una sanción millonaria, sino de incorporar este aspecto al buen gobierno de las compañías y a prevenir la responsabilidad de los administradores por su gestión de la protección de la información”, concluye Pérez Bes.