Las primeras reclamaciones jurídicas a empresas por incumplimiento del actualizado Reglamento General de Protección de Datos no se hicieron esperar: el mismo día de su entrada en vigor. Las primeras entidades en vulnerar esta normativa fueron las gigantescas de las telecomunicaciones Facebook, Instagram, WhatsApp y Android. Cada queja, por separado, fue emitida por la organización sin ánimo de lucro noyb.eu y la información recogida, de primera mano, por The Guardian. La causa: la obligación de los usuarios a aceptar los nuevos términos del servicio, los cuales violan el principio de libre y voluntario consentimiento por parte de los clientes, que es un requerimiento expreso del GDPR. Si tenemos en cuenta la magnitud de estas corporaciones y su cohorte de asesores no extraña que estos casos, solo, se sigan investigando, muy lentamente, y las implicaciones legales estén suspendidas.
En cuanto a declaraciones solemnes de incumplimiento e imposición de multas, llegaron en otoño, el pasado mes de octubre, en Austria: La cámara de seguridad de una casa de apuestas grababa parte de la acera adyacente al local. El nuevo reglamento europeo de protección de datos prohíbe la toma y almacenamiento de imágenes en grandes espacios públicos con fines de vigilancia y, sin duda, esta acción vulneraba ese mandato. Además es susceptible de ser acusado de infringir el principio de transparencia porque la cámara, por lo que parece, no estaba lo suficientemente enfocada para realizar videovigilancia, actividad que – más allá de pertinente – si es obligatoria dentro del establecimiento.
Hay que destacar que en Austria, un mes antes de la imposición de esta primera multa, ya estaban pendientes 115 multas, 58 investigaciones de oficio iniciadas, 252 violaciones de datos notificadas y, para la fecha de la sanción a la sala de juegos, ya se habían tramitado 731 reclamaciones de los interesados.
En el mismo mes, en Portugal, la Comissão Nacional de Protecção de Dados de Portugal sancionó al Hospital do Barreiro con un pago de 400.000 euros divididos en tres multas, dos de 150.000 y una de 100.000. Las tres sanciones tienen en común estar relacionadas con el tratamiento y almacenamiento de datos de carácter personal.
Las dos primeras se atribuyeron a la violación del principio de confidencialidad, a su vez la última se refiere a faltas contra la prevención del acceso indiscriminado a datos vulnerando el principio de minimización. De los 296 médicos con cuentas activas en el sistema y acceso a expedientes clínicos en el momento de la inscripción, la cifra se elevó a 895 sanitarios con dicho poder, cuando no todos cumplen las credenciales.
La CNPD inició una acción administrativa contra el Centro Hospitalario do Barreiro Montijo situado en la localidad de Barreiro, muy cercana a Lisboa, debido a que los profesionales que trabajaban en el área de servicios sociales tenían acceso a archivos de datos personales de los pacientes, algo que debería haber estado exclusivamente reservado para los médicos como infracción previa que desarrolló las siguientes y que dio apertura a las hostilidades.
En Alemania se produjo una filtración colosal de datos sin cifrar que ocasionó el robo de 808.000 direcciones de correo electrónico y más de 1,8 millones de usuarios y contraseñas, un hackeo de estas dimensiones no iba a pasar desapercibido ni iba a quedar impune. La sanción se impuso a la red social germánica Knuddels.de y tuvo que hacer frente a una multa de 20000 euros, pequeña en contraste con el potencial perjuicio económico a los usuarios que ese pirateo desenfrenado puede ocasionar.
Al calcular la sanción, también se considera el número de personas afectadas, la naturaleza de la infracción, las medidas preventivas, la cooperación con la autoridad de supervisión, el registro de transgresión y la notificación al responsable de la protección de datos. La Autoridad de Protección de Datos alemana asegura que Knuddels.de demostró una actitud ejemplar en cuanto a transparencia, cooperación y rápida implementación de actualizaciones de seguridad, lo que ayudó a aminorar la cuantía.
Lo que resulta sorprendente es que las compañías sigan presentando alarmantes déficits de adaptación a la nueva ley sobre privacidad en internet, teniendo en cuenta el inasumible – en muchos casos – coste de las penas económicas. Y es que, el porcentaje de las organizaciones que han incorporado con éxito todas las iniciativas necesarias para cumplir con el RGPD, del primer al último punto, no llegan ni al 30%.
Deja una respuesta